La Cyber Security Awareness

Pour la sécurité informatique, le maillon faible c’est l’homme.

 

Intro

 

Dans le domaine de la sécurité informatique, la métaphore la plus couramment utilisée voit le système d’information comme une forteresse dont les murs doivent être protégés contre les failles potentielles (Frincke et Bishop, 2004). Ainsi les organisations protègent leurs précieuses informations dans une enceinte fortifiée, peut-être encerclée par un fossé, accessible par des portes et surveillée par des gardiens qui bloquent toutes personnes non autorisées (Karas, Moore et Parrott, 2008). D’ailleurs quand on parle de cyber sécurité, on est imprégné d’une terminologie toujours liée à l’urgence : à la guerre (attaques, ennemis, destruction, espionnage, zone démilitarisée), au judiciaire (voler, traquer) ou à la santé (virus, recovery). Par conséquent, la plupart du temps les stratégies de sécurité des entreprises se focalisent sur la tactique, les aspects techniques ou procédurales, plutôt que sur l’attitude humaine liée à la sécurité.

 

 

Pourtant, dans de nombreux cas d’attaque les failles se trouvent dans des actions humaines simples : cliquer sur un lien, compléter un formulaire ou installer un logiciel. Les Responsables de la Sécurité des Systèmes d’Information (RSSI) peuvent mettre en place les technologies les plus puissantes pour protéger leurs données, cependant ces mesures seront inefficaces si quelqu’un ouvre une porte pour faire rentrer un cheval de Troie. La sécurité sera garantie à condition que tout le monde soit impliqué, que les activités quotidiennes soient responsables ; car la sécurité informatique suppose un vrai changement culturel.

 

Hors, il serait simpliste de demander une militarisation des tous les collaborateurs, de solliciter une transformation culturelle qui ne prend pas en compte la collaboration entre équipes, la créativité individuelle, la participation aux solutions et l’autonomie décisionnelle. Sinon on risquerait seulement de pointer du doigt les utilisateurs ou de complexifier le quotidien de l’organisation.

 

De ce fait, l’un des facteurs clés pour une cyber-sécurité efficace est l’intégration correcte des personnes avec les processus et les technologies (Eminagaoglu, Uçar et Eren, 2009). Au contraire, en concentrant ses activités sur les processus et les technologies, les RSSI ont fréquemment négligés les comportements individuels, encourageant ainsi les attaques d’ingénierie sociale. Il en résulte qu’aujourd’hui plus que jamais le facteur humain et le comportement individuel sont devenus les « principales menaces pour la cyber-sécurité » (Gyunka et Christiana, 2017).

Toutefois, un changement de cap est encore possible : nous pouvons remettre l’homme au centre de la sécurité. D’autant plus que, comme l’a démontré l’expérience, nous avons besoins de petits investissements pour atteindre un niveau de sensibilisation suffisant pour protéger les entreprises de la majorité des attaques.

 

Que ce que c’est la Cyber-Security Awareness ?

La Cyber-Security Awareness est usuellement assimilée dans les organisations comme « la prise de conscience des risques et dangers liés à la sécurité informatique». Néanmoins cette définition pourrait être trompeuse en vue d’une action efficace.

 

On sait que se laver les mains réduit drastiquement la transmission des maladies. C’est à partir de 1847, aussitôt que le docteur Ignace-Philippe Semmelweis a démontré l’utilité du lavage des mains, que les états ont mis en place des prophylaxies d’hygiène publique qui ont diminué la contamination de germes et bactéries. Bien que le faire soit entré désormais dans la culture générale, quand on se lave les mains, on ne connaît pas dans le détails quels germes (les risques) et quelles maladies (les dangers) on évite. On le fait avec une approche positive, et pas seulement pour une phobie hypocondriaque liée à l’hygiène.

De même la Cyber-Security Awareness est une prise de conscience collective des avantages; en pratique elle est applicable en adoptant des actions simples qui visent à :

  • une hygiène numérique (par rapport à la création et à la gestion des mots de passe ; aux navigations sur internet ; aux logiciels installés)
  • une attitude prudente, (par rapport au comportement devant des mails entrants, des informations ou des personnes inconnues)
  • une communication ouverte (par rapport au RSSI)

 

 

Comment arriver à la Cyber-Security Awareness ?

 

Regarder la Cyber-Security Awareness comme un processus culturel, et pas seulement comme un outil, nous permettra de comprendre quelles actions peuvent être efficaces.

 

Quand on parle de sécurité informatique, nous utilisons des images empruntées par l’immunologie comme le virus. Pour éviter certains virus les institutions sanitaires pratiquent des vaccins sur toute la population. Quand on baisse la garde et que le point critique passe un niveau au-dessus duquel un changement devient imparable, certaines maladies reviennent.

 

De façon analogue, la Cyber-Security Awareness doit s’appliquer à « vacciner » le plus grand nombre possible de personnes, afin de réduire globalement les risques d’attaque informatique. Mais, contrairement à un vaccin, la Cyber-Security Awareness ne peut pas être inoculée une fois pour toute, elle a besoins de rappels constants.

 

Par exemple, lors d’une expérience menée à l’académie militaire de West Point, des chercheurs ont démontré qu’après un cours de 4 h sur la sécurité informatique, presque 80% des cadets sont tombés dans un piège en cliquant sur un mail bien construit avec les règles de l’ingénierie sociale (Ferguson, 2005). En bref, grouper tous les salariés d’une entreprise dans une salle pour une formation d’une journée, pourrait être insuffisant.

 

En réalité, comme toutes les prises de conscience, la Cyber-Security Awareness implique un changement culturel profond. Pas seulement un changement d’attitude dans le périmètre de notre organisation, mais une mutation qui transformera aussi la vie privée des collaborateurs. Si il est vrai qu’un collaborateur ne doit pas installer un logiciel inconnu sur son poste de travail, il est aussi vrai qu’il ne doit pas le faire chez lui ou sur son portable, et si possible il doit apprendre à ses enfants à ne pas le faire.

 

La Cyber-Security Awareness n’est pas un objectif, mais un parcours dans lequel on peut utiliser plusieurs outils : des campagnes de sensibilisation, des discussions de groupe (Khan, Alghathbar, Nabi et Khurram Khan, 2011), des attaques simulées (Brodie, 2008), des recherches-actions (Prestaasen, 2011), des actions d’influence (Robinson, 2013), des formations (Brink, 2014).

 

Néanmoins ces actions peuvent être efficaces seulement si elles sont utilisées en même temps, avec un programme unique et des actions coordonnées.

 

En tout état de cause, si d’une part l’objectif visible est de modifier les comportements des utilisateurs, d’autre part celui invisible est de transmettre la prise de conscience au-delà du périmètre de l’organisation. D’ailleurs atteindre ce deuxième objectif signifie affecter les motivations intrinsèques, qui restent toujours plus fortes que les règles ou les sanctions. Puisque c’est seulement si les collaborateurs deviennent des partisans de l’hygiène informatique, qu’on peut affirmer avoir réveillé leurs consciences.

 

Il existe 3 étapes (Wilson, 2003) pour construire un programme efficace de Cyber-Security Awareness :

  • Concevoir le programme
  • Développer le matériel de sensibilisation et de formation
  • Mettre en œuvre le programme.

 

Bien qu’il semble similaire à n’importe quel processus de développement, la difficulté de l’élaboration d’un programme de sensibilisation à la Cyber Sécurité est cachée dans son objectif. Il ne suffit pas d’apporter la connaissance des risques et des dangers aux collaborateurs, mais il faut changer leurs comportements (ce qui est bien plus difficile).

 

Pour arriver à une modification du comportement il est fondamental de comprendre quels sont les éléments qui facilitent et ceux qui gênent le changement. Ainsi il devient évident qu’il faut construire des programmes de Cyber Sécurité Awareness sur la base des modèles et théories psychologiques (Khan, Alghathbar, Nabi et Khurram Khan, 2011), afin que les biais cognitifs ou les biais sociaux puissent devenir des leviers puissants pour le changement des comportements.

 

On découvre aussi que la participation des employés, à travers la réflexion collective et les processus de groupe, produisent des changements sur les comportements plus rapides et plus profonds que les présentations formelles, les mailings, les dépliants et les affiches (Albrechtsen et Hovden, 2010).

 

En plus il est bon de rappeler que les techniques d’ingénierie sociale évoluent rapidement, donc un programme de Cyber Security Awareness doit être flexible et s’adapter à l’évolution constante de l’environnement. Plus le programme sera agile, plus il sera léger et rapide à mettre en place, plus il sera efficace.

Éviter les erreurs

Dans le monde de la sécurité on n’a pas le temps de progresser avec la méthode trail and error (essai et erreur), au contraire on doit absolument éviter de commettre les mêmes fautes déjà réalisées dans le passé. Car les erreurs connues sont les failles par lesquelles on pourrait être attaqué. Un programme de Cyber Security Awareness a donc l’objectif de prévenir les erreurs les plus courantes.

 

Erreurs courantes Propositions
Manque de compétence de base Cycle de formation pour connaître les bons réflexes à avoir
Ne pas avoir une autorité claire Clarifier et divulguer le rôle du RSSI
Contenu ennuyeux Améliorer la qualité des contenus, utiliser plus de contenu graphiques (ex. infographies)
Objectifs peu clairs Clarifier et divulguer les attentes en sécurité
Déconnexion du public Travailler plus sur la facilité d’utilisation
Renforcements rares Augmenter la fréquence des actions
Défaut de récompense des succès Renforcer positivement les comportements vertueux.

 

 

 

Éviter les contres effets

Pourquoi les collaborateurs ne parviennent pas à changer de comportement ? Bien que le programme de Cyber Security Awareness soit mis en œuvre correctement, bien que tous les indicateurs fournis par les questionnaires montrent que l’information ait été acquise, pourquoi leurs comportements ne changent pas ?

 

La première cause d’échec dans les campagnes de Cyber Security Awareness est la Security Fatigue, un préjugé cognitif qui dérive directement de la « decision fatigue ». En pratique, les utilisateurs peuvent parfois se lasser des procédures mises en place par les responsables de la cyber-sécurité, notamment si ils perçoivent la sécurité comme un obstacle qui les dérange tout le temps. La Security Fatigue est à la base de tous les contournements aux actions préétablies pour protéger le système informatique (Bada et Sasse, 2014). Il est important de rappeler qu’il faut chercher un équilibre entre sécurité, fonctionnalités et facilité d’utilisation dès la première phase de la construction des politiques de sécurité informatique.

 

 

Exemples des risques Exemples des propositions
Réutiliser partout le même mot de passe, car il y a trop d’applications qui demandent une authentification Avoir un système de Single Sign-On (SSO) qui permet d’utiliser un système unique d’identification
Utiliser un mot de passe simple, car la session expire rapidement et l’utilisateur doit retaper le mot de passe trop souvent Avoir une session plus longue ou paramétrable selon les besoins

Mettre en place des systèmes de verrouillage/déverrouillage physique

 

La deuxième cause d’échec vient de la peur de la sanction. En effet les punitions ont un effet négatif sur le comportement des utilisateurs (Herath et Rao, 2009). Par exemple la simple crainte d’être jugé en tant que responsable d’un problème informatique, rend les utilisateurs réticents à communiquer directement avec leurs hiérarchies ou avec les Responsables de la Sécurité des Systèmes d’Information (RSSI). Au contraire, si un comportement de détournement d’une procédure de sécurité est détecté, alors cela sera l’occasion de comprendre quel type de facilité d’utilisation est recherchée par le collaborateur afin d’améliorer la procédure même. Cela ne signifie pas que la sanction doit être interdite, mais elle doit être utilisée modérément pour prévenir les effets opposés.

 

On pourra préparer un programme de Cyber Security Awareness efficace et durable, seulement si on arrive à trouver un équilibre entre les motivations intrinsèques (où les collaborateurs arrivent à avoir une perception d’efficacité) aux motivations extrinsèques (dues aux punitions et à la pression sociale).

 

Exemples des risques Exemples des propositions
Manque de communication avec la hiérarchie par peur de la sanction Mise en place des figures intermédiaires en sécurité, pour apaiser le dialogue
Détournement caché des procédures de sécurité, à cause d’une politique de sécurité perçue comme absurde Renforcement et partage des objectifs

 

Mesurer l’efficacité du programme

 

Une fois mis en œuvre, le programme de Cyber Security Awareness nécessite une évaluation constante : toutes les actions doivent être mesurées afin de le rendre plus efficaces. Cependant il est préconisé de définir les attentes dans la toute première phase de conception du programme, pour les mesurer et les analyser dans la phase de mise en œuvre, à travers des questionnaires, des interviews directes ou des attaques simulées. Car mesurer est essentiel pour savoir ce qui est efficace (Veseli, 2011).

 

D’abord il faut focaliser sur les métriques qui arrivent à mesurer le risque humain ou comportemental capital pour l’organisation. Après il faut construire un système de mesurage automatique et/ou économique, pour pouvoir l’utiliser dès que nécessaire dans le but d’avoir un support décisionnel rapide. Enfin il faut que les métriques soient employables, notamment pour mesurer des données qui puissent être transformées en action.

 

 

Les attaques simulées sont de loin l’outil le plus efficace pour vérifier le changement comportemental. On prépare des actions spécifiques, par exemple on envoi un mail de spear phishing (harponnage) et on vérifie le taux de transformation et la rapidité de communication interne. On répète le test plusieurs fois par an pour avoir une vision globale sur la tendance de la Cyber Security Awareness.

 

Les interviews directes sont parfaites pour être connecté avec le public de l’organisation et prévenir les effets secondaires de la « security fatigue ». En effet, cette technique permet d’obtenir des aspects privés du comportement et de recueillir des données qualitatives détaillées même sur des problèmes délicats.

 

Enfin, les questionnaires sont l’outil le plus simple à mettre en place ; très bon pour la mesure des compétences théoriques, mais moins performant pour évaluer le comportement. Néanmoins un questionnaire n’est pas qu’un outil d’évaluation, mais aussi un outil de formation. Donc si il est bien structuré, selon une approche constructiviste, il peut devenir un dispositif redoutable de formation et de sensibilisation.

 

Conclusions

Aujourd’hui toutes les organisations doivent mettre en place leur propre programme de Cyber Security Awareness, car les risques liés à l’informatique commencent à prendre de l’ampleur. Les collaborateurs doivent être formés et accompagnés dans un changement comportemental à long terme ; d’autant plus que les comportements doivent être renforcés dans le temps.

 

Il faut bien comprendre que l’ingénierie sociale est en train de monter en puissance et que ses techniques deviennent plus raffinées d’une part, et se vulgarisent et se diffusent d’autre part. De ce fait une simple campagne de sensibilisation n’est guère suffisante pour répondre aux enjeux de la cyber-sécurité.

 

Pour résumer, nous avons besoins d’une prise de conscience massive, c’est pourquoi la Cyber-Security Awareness doit être considérée comme un pilier pour parvenir à une protection d’entreprise plus efficace et plus durable.

 

 

 

Bibliographie

  1. T. Siponen, A conceptual foundation for organizational information security awareness, 2000, Information Management & Computer Security
  2. H.A. Krugera, W.D. Kearney, A prototype for assessing information security awareness, 2006, Computers & Security
  3. M. Stanton, K. R. Stam, P. Mastrangelo, J. Jolton, Analysis of end user security behaviors, 2004, Computers & Security
  4. VV., Best Practices for Implementing a Security Awareness Program, 2014, Security Awareness Program Special Interest Group PCI Security Standards Council
  5. Wilson, J. Hash, Building an Information Technology Security Awareness and Training Program, 2003, NIST
  6. Bada, A. Sasse, Cyber Security Awareness Campaigns : Why do they fail to change behaviour?, 2014, Global Cyber Security Capacity Centre
  7. Khan, K. S. Alghathbar, S. I. Nabi, M. Khurram Khan, Effectiveness of information security awareness methods based on psychological theories, 2011, African Journal of Business Management
  8. Herath, H.R. Rao, Encouraging information security behaviors in organizations: Role of penalties, pressures and perceived effectiveness, 2009, Decision Support Systems
  9. Aiello, End User Information Security: How InfoSec Literacy A ects Business, 2015, MBA Student Scholarship
  10. I. Al-Alawi, S. M.H. Al-Kandari, R. H. Abdel-Razek, Evaluation of Information Systems Security Awareness in Higher Education:
An Empirical Study of Kuwait University, 2016, Journal of Innovation & Business Best Practice
  11. T. Siponen, Five Dimensions of Information Security Awareness, 2001, Computer & Society
  12. J. Ferguson, Fostering E-Mail Security Awareness: The West Point Carronade, 2005, Educause Quarterly
  13. Hayden, Human Information Security Behaviors- Differences Across Geographies and Cultures in a Global User Survey, 2008, Cisco
  14. Dittmer, Implementing an Information Assurance Awareness Program: A case study for the Twenty Critical Security Controls at Consulting Firm X for IT Personnel, 2014, SANS Institute
  15. Albrechtsen, J.Hovden, Improving information security awareness and behaviour through dialogue, participation and collective reflection. An intervention study, 2010, Computer & Security
  16. Prestaasen, Improving Security Awareness and Ownership using a method based on Action Research, 2011, Master’s thesis of Gjøvik University College
  17. Veseli, Measuring the Effectiveness of Information Security Awareness Program, 2011, Master’s Thesis of Gjøvik University College
  18. H. Karas, J. H. Moore, L. K. Parrott, Metaphors for Cyber Security, 2008, Sandia National Laboratories
  19. Russell, Security Awareness – Implementing an Effective Strategy, 2002, SANS Institute
  20. C. Johnson, Security awareness- switch to a better programme, 2006, Network Security
  21. Brodie, The Importance of Security Awareness Training, 2008, SANS Institute
  22. Brink, The Last Mile in IT Security : Changing User Behaviors, 2014, Aberdeen Group
  23. Eminagaoglu, E. Uçar, S. Eren, The positive outcomes of information security awareness training in companies. A case study, 2009, Information Security Technical Report
  24. Robinson, Using Influence Strategies to Improve Security Awareness Programs, 2013, SANS Institute
  25. Drevin, H.A. Kruger, T. Steyn, Value-focused assessment of ICT security awareness in an academic environment, 2007, Computers & Security

Comment

There is no comment on this post. Be the first one.

Leave a comment