Notre chroniqueur Michel Juvin épingle la tentation de faire de l’utilisateur uniquement le « maillon faible » ou au contraire le « dernier rempart » en cybersécurité. Pour lui, la comparaison avec un civil pris dans une guerre qui le dépasse est sans doute plus juste. Dès lors, comment l’accompagner dignement ?
On entend trop souvent, et à tort, de la part des experts cybersécurité et fournisseurs de solutions de sécurité, que l’utilisateur est le maillon faible de la cybersécurité ; d’autres pensent justement qu’ils sont le dernier rempart à toutes les attaques dont ils sont victimes. Mais n’aurait-on pas tout simplement oublié de comprendre les utilisateurs et les problèmes auxquels ils sont confrontés ?
Cette chronique propose de prendre un peu de recul et contrebalancer des idées reçues tout en privilégiant l’Humain. N’est-il pas finalement un civil exposé dans le théâtre d’opérations de la cyber-guerre ? Est-ce que les armes qu’on lui propose sont à la hauteur pour qu’il se défende ainsi que l’entreprise ?
L’utilisateur navigue dans un environnement à risque
Beaucoup d’articles retraçant la chronologie d’une cyber-attaque laissent planer le doute autour de la responsabilité de l’utilisateur alors que l’on constate qu’il est le patient zéro d’une cyber-attaque. Majoritairement, les utilisateurs sont informés et formés aux risques auxquels ils sont confrontés dans l’utilisation de systèmes externes telle que la messagerie ou les droits d’accès à des applications situées dans des Cloud externes. On leur apprend à reconnaître un mail de phishing, renforcer leur procédure d’identification, éviter de partager leurs droits d’accès et être prudents dans les lieux publics à risques. On ajoute aussi beaucoup de solutions de protection complexifiant leurs connexions aux systèmes d’information sans parfois être très efficaces. Certains disent qu’ils n’ont plus d’excuses alors que les organisations cybercriminelles trouvent toujours plus de failles dans les systèmes d’informations – à voir le nombre de patchs de sécurité à appliquer sur les OS et Middleware toujours en augmentation depuis des années[1].
Mais peut-être faudrait-il mieux comprendre le contexte de l’utilisateur et son environnement de travail avant de le condamner parfois publiquement dans l’entreprise. D’ailleurs, le rôle de celle-ci n’est-il pas de le protéger dans cet univers à risque ? Les moyens mis à disposition de l’utilisateur doivent le mettre à l’abri (s’il utilise un poste configuré par sa DSI). On parle souvent de cadre de travail idéal et rassurant, mais le nombre actuel des cyber-attaques montrent que l’environnement de travail est devenu à risque pour les employés.
On a tous conscience qu’une cyber-attaque « réussie » entraine des coûts, des arrêts de production, des clients insatisfaits, une perte d’image quand il n’y a pas de perte de données suite à un vol ou la paralysie de l’entreprise suite un chiffrement de l’ensemble des données ; sans parler des conséquences pour les sous-traitants et partenaires. Le poids psychologique sur un utilisateur d’une attaque n’est jamais évoqué et son équilibre professionnel et personnel peut être détruit pour de nombreux mois. C’est un Humain qui « part au travail » le matin et reviendra le soir atteint psychologiquement. Le point de rupture peut être atteint dans un contexte anxiogène et cela peut se traduire par un « burn out » dont les conséquences sont sur plusieurs mois voire, laisser une trace à vie.
D’un point de vue purement financier, l’entreprise devra trouver les ressources pour recouvrir ses systèmes d’information et progressivement redémarrer une activité de production. Mais il n’existe pas encore assez de cellules psychologiques pour aider ces utilisateurs à comprendre les enjeux et a en profiter pour être plus fort la prochaine fois.
Il y a certains rôles dans l’entreprise qui sont très largement exposés aux cyber-attaques. Dernièrement, un comptable Hong-Kongais s’est retrouvé dans une arnaque au président utilisant l’Intelligence Artificielle afin de cloner deux de ses collègues avec leurs voix et images, l’incitant à faire des virements vers des comptes frauduleux. Le niveau de cette attaque est remarquable et l’effort des médias et de la communauté cyber pour illustrer ce fait doit permettre d’apprendre et prévenir les personnes exposées à ce type de risques.
Les formations et éveil à la cybersécurité sont désormais largement répandues dans les entreprises, mais sont-elles suffisantes ?
L’utilisateur est un civil exposé au centre du théâtre d’opération de la cyber-guerre.
Est-il pour autant responsable d’une faute d’appréciation du risque lors d’une attaque ciblée ?
Je ne connais pas de cyber-attaque ciblée qui n’ait pas « réussi » ! Tout le monde peut se faire avoir par un spear phishing de qualité, il faut rester très humble sur ce point. D’ailleurs, aucune entreprise n’arrive à descendre en-dessous de 4% de taux de clics sur des campagnes d’hameçonnage à blanc ; et il en suffit d’un ! Les exemples de Stuxnet à Pegasus montrent que lors de ce type d’attaque, les hackers utilisent les moyens appropriés pour atteindre leur cible.
Ayant eu dans mon entourage des cas de cyber-attaques « réussies », j’ai rencontré les personnes ayant subi la pression de ces attaques et constaté la violence de l’impact de l’attaque de la même manière qu’une arme de poing aurait eu physiquement sur une personne, mais, cela sur le plan psychologique.
Les deux conséquences sur l’utilisateur lors d’une cyber-attaque sont :
1. L’estime de soi ; savoir qu’on a fait une erreur dont l’importance impacte directement tous les collaborateurs de l’entreprise et,
2. Comment faire face au regard des autres lorsqu’ils ne parlent pas avec l’agressé pour comprendre les faits.
Le sentiment de culpabilité transforme les réunions et les espaces de travail en des environnements compliqués pour ce patient zéro qui subit cette pression informelle.
Le rôle de l’expert cybersécurité est aussi très important à ce moment là pour aider les personnes qui ont été des victimes de ce type d’attaque. Il permet d’expliquer les faits et apporter une écoute attentive et compréhensive pour redonner confiance à cette personne afin qu’elle puisse retravailler sereinement. De plus, nous avons à apprendre pour comprendre la démarche de l’attaquant et diminuer les risques qu’elle ne se reproduise. Ce sera sans doute l’occasion de remettre à jour le ou les modules de formation ou éveil à la protection de l’information dans l’entreprise.
Il est trop facile de dire que la formation ou l’éveil à la protection de l’information étant obligatoire dans l’entreprise ainsi que les tests de phishing par mail envoyés à tous les employés, pour que l’entreprise rende responsable le patient zéro par qui l’attaque à réussie. Il n’existe pas de loi précisant qu’un utilisateur ciblé par une attaque est financièrement ou pénalement responsable vis-à vis de l’entreprise qui l’emploie !
De même, dans une chronique précédente, je rappelais qu’en l’absence de délégation de responsabilité signée et motivée (en ressources et en formation acquise), l’expert ou directeur cybersécurité n’est pas responsable d’une cyber-attaque réussie ; il en est de même pour un utilisateur. Seul le Responsable du Traitement (le dirigeant de l’entreprise) porte cette responsabilité.
N’oublions pas l’importance de la charte informatique signée par tous les employés qui a pour but aussi de protéger le « civil » dans ce théâtre d’opération en même temps que de lui rappeler d’appliquer une hygiène informatique.
Le combat n’est pas égal
Personne ne conteste aujourd’hui que la situation s’est aggravée pour les utilisateurs ; ils sont exposés aux risques de cette cyber-guerre et même si les solutions techniques s’améliorent pour les protéger, la course entre la défense et les attaquants est malheureusement défavorable pour les entreprises et les experts cybersécurité. Les utilisateurs seront toujours exposés et devront être le dernier rempart contre les attaquants. De fait, ils sont et seront de plus en plus nombreux à porter l’image de celui par qui l’attaquant a potentiellement ou temporairement détruit l’entreprise.
Soyons humains
La force d’une armée est la qualité de sa préparation, sa stratégie, ses armes et la solidarité qui unit les soldats entre eux. Ils savent retourner au feu pour sauver une vie. Soyons aussi à l’écoute de ceux qui subissent parfois un manque de préparation de la part de l’entreprise et développons l’écoute pour que l’environnement de travail à risque aujourd’hui plus qu’hier, soit une force dans cette cyber-guerre. Notre rôle en tant qu’expert ou directeur cybersécurité est de prendre conscience de cet enjeu et de savoir apporter une aide psychologique aux patients zéro.
Près de 100.000 CVE de niveau 7 ou plus à appliquer par an ; https://www.cvedetails.com/ dont 50 « zéro-day » : https://www.zerodayinitiative.com/blog/2024/3/12/the-march-2024-security-update-review