On Oz
La sensibilisation par l’exemple : CQFD
05/10/2017

La sensibilisation par l’exemple : CQFD

> L’ANSSI a réalisé un guide de règles de sécurité, à l’attention des PME, fait en partenariat avec la CPME.
> La Hack Academy, le MOOC #SecNumacadémie sont des exemples de sensibilisation à la cybersécurité supportés par l’ANSSI.

En plein Mois Européen de la Cybersécurité, s’il y a bien un mot qui est sur toutes les lèvres des professionnels de la sécurité numérique, c’est celui de la sensibilisation.

Que ce soit à l’endroit des particuliers comme des entreprises, c’est un travail qui exige rigueur et patience, en somme un éternel recommencement, car convaincre n’est pas toujours chose aisée.

Les vidéos, les guides, les articles, les reportages, les évènements se multiplient de plus en plus et pour autant, c’est parfois à se demander si seuls les experts de la sécurité ne les fréquentent. Il semble en effet, selon certaines études, que la sensibilisation des individus aux risques numériques n’en soit qu’à ses débuts. Et si le préventif n’avait que peu d’effets pour convaincre les individus, à commencer par les dirigeants ? Tels Saint Thomas, les utilisateurs n’ont-ils pas besoin de voir concrètement pour croire aux risques dont on leur parle ?

Il n’est pas rare d’entendre des RSSI se demander comment convaincre les collaborateurs de suivre les règles quand les dirigeants eux-mêmes passent outre, à l’image d’un dirigeant souhaitant consulter ses emails professionnels sur son terminal personnel, ou bien télécharger ou user d’applications non visées par la DSI.

 

« Récemment, c’est lorsque nous avons découvert des dizaines de plateformes de stockage différentes utilisées par les collaborateurs sans aucune règle de sécurité et sans avoir vérifié que ces services étaient chiffrés que notre interlocuteur a été convaincu de définir une procédure pour ramener tout le monde dans le droit chemin » commente Joël Mollo, directeur Europe du Sud Skyhigh.  C’est ce que fait aussi Flashpoint sur le créneau du renseignement humain, « Une démonstration de notre outil a par exemple permis de démontrer à un client que l’attaque dont il avait été victime avait permis l’exfiltration de 90 millions de dossiers sensibles sur des patients hospitalisés, bien plus qu’il ne l’avait imaginé. » confirme Leroy Terrelonge III, Directeur Intelligence et Opérations de Flashpoint.

Partant de la même logique, Varonis participe à des actions concrètes comme celles initiées par Troy Hunt, auteur du site Have I Been Pwned?  pour vérifier la compromission ou pas de son adresse mail, de la libraire publique de mots de passe déjà compromis, récemment dévoilée, ou encore d’une vidéo de sensibilisation « Nous voulions créer une ressource utile et démonstrative que les consommateurs comme les professionnels puissent utiliser pour mieux se sensibiliser à la sécurité » présente Christophe Badot, Directeur France Varonis.

 

La preuve par l’exemple, est donc peut-être devenue la nouvelle solution en vogue pour convaincre les plus pessimistes. Mais n’est-elle pas un peu excessive ? Ne révèle t-elle pas une certaine défiance du marketing en cybersécurité ? « Chez Olfeo, tempère Alexandre Souillé,nous croyons fermement à un travail de sensibilisation qui repose sur l’action des individus et non pas sur une sensibilisation passive ou des discours trop Top-Down. En coproduisant les règles, en responsabilisant l’utilisateur en lui laissant le choix et en lui permettant de faire sa propre analyse d’impact de son geste, il n’y a guère moyen de tricher. C’est à notre sens le moyen le plus efficace de transformer les bonnes pratiques en réflexes. »

Nos autres billets d'humeur...
19/01/2018

L’Europe, le nouvel échiquier de la sécurité numérique

L’action cyber sécurité européenne sur un plan opérationnel a longtemps consisté en la tenue d’exercices et de simulations de crise cyber. Aujourd’hui, portée par les politiques...

18/01/2018

Comment l’acceptation et la normalisation du risque cyber ont conduit à une mutation opérationnelle à tous les échelons ?

S’il est indéniable que les trois dernières années ont contribué à réveiller les consciences des médias, des entreprises et commencé à interpeller le grand public sur toutes les...

17/01/2018

Du collaborateur à l’individu… Comment la façon de sensibiliser et de former à la sécurité numérique a complètement muté ?

Il y a encore une dizaine d’années, former ses collaborateurs à la cybersécurité, revenait pour l’entreprise à faire une présentation Powerpoint des normes ISO 27001 et 27002. C...

13/10/2017

Start-up, Scale-up, Sec-up ?

En ce Mois Européen de la Cybersécurité, 4 grandes actions ont été retenues et la première d’entre elles est « Participez à la sécurité du numérique de votre entreprise ». Vaste...

05/10/2017

Le Top management et les administrateurs : Je t’aime moi non plus

> La protection du patrimoine informationnel d’une entreprise dépend largement du facteur humain bien plus que de potentielles défaillances technologiques. > D’origine acciden...

05/10/2017

Portrait-robot du cybercriminel dans le deep web

> Le renseignement impose de connaître les individus, les groupes, leurs relations, leurs connaissance et leurs objectifs et cibles. > Le niveau 0 regroupe les vantards ininté...

05/10/2017

Comment gagner du temps au quotidien ?

> L’automatisation grâce à des logiciels autonomes permet un traitement de données, en continu, sans erreur de traitement. > Elle permet de gagner du temps et de libérer des t...

05/10/2017

L'Internet de demain, un monde d'applications ?

> Qu’il s’agisse de se connecter à sa banque en ligne ou de faire des achats sur Internet, l’accès aux applications et aux données confidentielles est aujourd’hui indispensable...