On Oz
La sensibilisation par l’exemple : CQFD
05/10/2017

La sensibilisation par l’exemple : CQFD

> L’ANSSI a réalisé un guide de règles de sécurité, à l’attention des PME, fait en partenariat avec la CPME.
> La Hack Academy, le MOOC #SecNumacadémie sont des exemples de sensibilisation à la cybersécurité supportés par l’ANSSI.

En plein Mois Européen de la Cybersécurité, s’il y a bien un mot qui est sur toutes les lèvres des professionnels de la sécurité numérique, c’est celui de la sensibilisation.

Que ce soit à l’endroit des particuliers comme des entreprises, c’est un travail qui exige rigueur et patience, en somme un éternel recommencement, car convaincre n’est pas toujours chose aisée.

Les vidéos, les guides, les articles, les reportages, les évènements se multiplient de plus en plus et pour autant, c’est parfois à se demander si seuls les experts de la sécurité ne les fréquentent. Il semble en effet, selon certaines études, que la sensibilisation des individus aux risques numériques n’en soit qu’à ses débuts. Et si le préventif n’avait que peu d’effets pour convaincre les individus, à commencer par les dirigeants ? Tels Saint Thomas, les utilisateurs n’ont-ils pas besoin de voir concrètement pour croire aux risques dont on leur parle ?

Il n’est pas rare d’entendre des RSSI se demander comment convaincre les collaborateurs de suivre les règles quand les dirigeants eux-mêmes passent outre, à l’image d’un dirigeant souhaitant consulter ses emails professionnels sur son terminal personnel, ou bien télécharger ou user d’applications non visées par la DSI.

 

« Récemment, c’est lorsque nous avons découvert des dizaines de plateformes de stockage différentes utilisées par les collaborateurs sans aucune règle de sécurité et sans avoir vérifié que ces services étaient chiffrés que notre interlocuteur a été convaincu de définir une procédure pour ramener tout le monde dans le droit chemin » commente Joël Mollo, directeur Europe du Sud Skyhigh.  C’est ce que fait aussi Flashpoint sur le créneau du renseignement humain, « Une démonstration de notre outil a par exemple permis de démontrer à un client que l’attaque dont il avait été victime avait permis l’exfiltration de 90 millions de dossiers sensibles sur des patients hospitalisés, bien plus qu’il ne l’avait imaginé. » confirme Leroy Terrelonge III, Directeur Intelligence et Opérations de Flashpoint.

Partant de la même logique, Varonis participe à des actions concrètes comme celles initiées par Troy Hunt, auteur du site Have I Been Pwned?  pour vérifier la compromission ou pas de son adresse mail, de la libraire publique de mots de passe déjà compromis, récemment dévoilée, ou encore d’une vidéo de sensibilisation « Nous voulions créer une ressource utile et démonstrative que les consommateurs comme les professionnels puissent utiliser pour mieux se sensibiliser à la sécurité » présente Christophe Badot, Directeur France Varonis.

 

La preuve par l’exemple, est donc peut-être devenue la nouvelle solution en vogue pour convaincre les plus pessimistes. Mais n’est-elle pas un peu excessive ? Ne révèle t-elle pas une certaine défiance du marketing en cybersécurité ? « Chez Olfeo, tempère Alexandre Souillé,nous croyons fermement à un travail de sensibilisation qui repose sur l’action des individus et non pas sur une sensibilisation passive ou des discours trop Top-Down. En coproduisant les règles, en responsabilisant l’utilisateur en lui laissant le choix et en lui permettant de faire sa propre analyse d’impact de son geste, il n’y a guère moyen de tricher. C’est à notre sens le moyen le plus efficace de transformer les bonnes pratiques en réflexes. »

Nos autres billets d'humeur...
04/11/2018

La sécurité comme un accélérateur de business

Les systèmes d’authentification modernes simplifient la fusion informatique lors d’un rachat. La nouvelle génération de firewall virtualisés rend possible le déploiement d’appli...

04/11/2018

RSSI : le challenge de mieux anticiper pour moins subir

Le périmètre à sécuriser s’étend au-delà de l’IT et nécessite de travailler avec des partenaires qui connaissent mieux les métiers de l’entreprise. Les SOAR sont de nouveaux log...

04/11/2018

Multi-Cloud : le défi de rester protégé quand les données s’éparpillent

Les données et les applications migrées en Cloud ne bénéficiant plus des remparts physiques des serveurs, les entreprises doivent déployer des règles de sécurité plus élaborées....

04/11/2018

Intelligence artificielle : le nouveau moyen de détecter l’indétectable

Les dispositifs de protection classiques, reposant sur la reconnaissance d’empreintes connues, sont inopérants face aux nouvelles générations de malwares. Grâce à leur moteur de...

04/11/2018

Ransomwares, cryptojacking : les malwares atteignent une efficacité inédite

Les pirates ne frappent plus au hasard mais visent les meilleurs gains et les attaques qui peuvent rester discrètes le plus longtemps possible. Face à la sophistication des mena...

04/11/2018

Fuites de données : comment y faire face ?

Les DSI et les RSSI naviguent en plein brouillard en ce qui concerne la sécurité intérieure, à cause d’un périmètre utilisateur de plus en plus complexe. Fouiner sur les espaces...

04/11/2018

Espionnage : les nouveaux moyens des hackers pour infiltrer les entreprises

Les hackers privilégient désormais l’usage des protocoles et des commandes disponibles dans les systèmes ciblés, plus discrets que l’infection par un malware espion. Ils n’attaq...

04/11/2018

Phishing : vers un ciblage sophistiqué des victimes

Cibler une victime permet de gagner plus et de passer sous les radars des dispositifs de sécurité. Dans ce contexte, les cybercriminels préfèrent s’en prendre aux entreprises pl...

19/01/2018

L’Europe, le nouvel échiquier de la sécurité numérique

L’action cyber sécurité européenne sur un plan opérationnel a longtemps consisté en la tenue d’exercices et de simulations de crise cyber. Aujourd’hui, portée par les politiques...