Utilisateurs et cybersécurité…

Comportements des utilisateurs : au cœur de… l’insécurité ?

Dans une étude publiée en mars 2016 par un acteur du marché IT*, on demandait aux « users » ce qui leur paraissaient le plus traumatisant entre la perte de leurs données personnelles et celle de leur… portefeuille. Réponse sans appel avec plus de 70% d’entre eux qui plaçaient la perte de leurs datas en tête. En revanche à la question « La sécurité et la protection des données constituent-elles une priorité au sein de mon entreprise » seuls 40,64% en sont sûrs et 36% plutôt favorables. Bref, données personnelles et données « corporate » ne sont pas pas considérées avec le même regard par les utilisateurs.

Utilisateurs : un comportement de plus en plus  « à risque »

A en croire les chiffres, les utilisateurs sont à l’origine d’un comportement « risqué » si on rapproche ces chiffres de ceux du « baromètre » sur l’état de la cybersécurité au sein des entreprises françaises réalisé par le cabinet I-TRACING, membre du CESIN (Club des experts de la sécurité de l’information et du numérique).

Le sondage réalisé auprès des membres du CESIN fournit une vision synthétique des problèmes réels de cyber-sécurité vécus par les grandes entreprises. Ce premier baromètre du CESIN montre que la plupart des membres estiment que le risque lié à la dépendance humaine est le premier risque en entreprise. Un risque lié aux cybermenaces qui elles, sont bien réelles. 81% des représentants des entreprises déclarent avoir au moins 1 attaque au cours de 12 derniers mois; le nombre moyen des attaques pour cette période étant de 13. Les attaques qui arrivent en tête pour réaliser des vols d’informations s’effectuent selon les méthodes d’attaques virales généralisées, attaques par malware ciblées et ransomwares.

Des attaques ciblées « utilisateurs » pour atteindre des données critiques

De plus en plus d’attaques visent indirectement les utilisateurs. Les ransomwares illustrent cette approche. Les demandes de rançon auprès des utilisateurs s’effectuent via des méthodes d’infection et de propagation par phishing et ingénierie sociale. On comprend mieux dès lors, les stratégies de certains éditeurs qui privilégient dans leurs dernières annonces l’usage d’outils de contrôles via un renforcement de solutions de protection des messageries (Sophos Sandstorm).

De nouvelles techniques de prévention, de détection et d’investigation sont fédérées au sein d’une solution unique. L’objectif étant entre autres de protéger les utilisateurs contre les stratégies d’ingénierie sociale. Bref, surveiller voire anticiper l’évolution des comportements des utilisateurs devient stratégique pour les éditeurs soucieux de définir les outils de sécurité du futur.

Des plus en plus d’utilisateurs cherchent à « court-circuiter » les règles édictées par les DSI et RSSI

Tous les experts le constatent : si les comportements des utilisateurs évoluent en fonction des environnements culturels, géographiques voire sectoriels ils changent aussi avec leurs « besoins » de productivité personnelle. L’évolution des outils et des applications modifient les approches des utilisateurs. L’explosion des données, leur partage, les échanges et la disponibilité d’applications ouvertes (e-commerce, SaaS, mobilité, réseaux sociaux, etc.) poussent les utilisateurs métier à « court-circuiter » les DSI et les RSSI, jugés trop rigides, pour contractualiser directement des services digitaux. Ces comportements initiés par les évolutions des outils applicatifs d’une part et les besoins en productivité personnelle d’autre part poussent parfois les « users » dans des impasses sécuritaires. C’est le cas avec les usages BYOD ou les prises en compte des contraintes de sécurité, de confidentialité, de conformité légale, etc… sont souvent oubliées.

Pour les utilisateurs, de nouvelles solutions et une sensibilisation accrue

Ces évolutions imposent aux éditeurs la prise en compte de nouveaux paramètres de sécurité sur l’ensemble de leurs outils. Ces solutions doivent notamment déterminer les menaces comportementales en environnements hétérogènes au niveau des devices (Windows, Mac et Android) comme au plan des réseaux et systèmes (environnements virtuels également). Pour les utilisateurs et les entreprises l’enjeu est de taille : il consiste a passer d’une zone d’insécurité à un espaces « secure ». Au delà des outils, c’est aussi la sensibilisation des utilisateurs qu’il faut impérativement prendre en compte.

Jérôme Vosgien chez Sophos propose des formations cybersécurité intra-entreprise afin de prêcher la bonne parole sécurité directement auprès de employés.

*Extrait étude Toluna / CITRIX 2016 “La sécurité des données vue par les employés”.

Article invité de Jean-Philippe Bichard – www.cyberisques.com – Journaliste IT Cybersécurité / Data Protection
Follow @JPBICHARD//platform.twitter.com/widgets.js
Follow @SophosFrance//platform.twitter.com/widgets.js