· 

La vérité sur le facteur humain en sécurité de l’information

À votre avis, quel est le lien entre :

  • Le prix de l’essence
  • L’élection de Donald Trump
  • Le mal de dos (mal du siècle, soit dit en passant)
  • Le métro bondé où ça sent pas très bon
  • La 6ème extinction des espèces
  • Les pizzas tièdes à pâte ramollie 

(Vous allez voir, ça va vous sembler teeeellement évident…

Mais je continue ma liste pour vous mettre sur la piste…)

  • Le cholestérol
  • La voisine du dessus qui marche avec des talons aiguilles sur le carrelage la nuit
  • Les prix qui montent toujours dans les magasins même si c’est écrit «en baisse»
  • Les cheveux qui tombent sans autorisation
  • Un temps pourri en plein pour ma semaine de vacances

» » » Tout ça, c’est la faute des Russes.

Ils peuvent bien se cacher sous des chapkas en fourrure de lapin de Sibérie, ils peuvent même faire les gens-qui-n’y-sont-pour-rien-dans-tout-ça, coupés de Facebook à rester entre eux dans leur machin social hyperboréen, on le sait bien, nous, que c’est la faute des Russes.

 

Au 21ème siècle, l’ours russe est devenu un plantigrade informatique

Les exemples accumulés en introduction ne suffisent encore pas à vous convaincre que la totalité des problèmes de sécurité informatique ont une seule origine, la même que tous les autres problèmes dans le cosmos ?

 

Lisez cet article, alors. Hum… ? Quiiiiii… a exposé les données confidentielles de centaines de grosses cravates germaniques ? 

C’est les Russes. 

 

Enfin…

Ça, c’était l’hypothèse un peu audacieusement balancée par la société Checkpoint, qui avait incriminé le traditionnel petit-groupuscule-bien-louche-et-effrayant-qui-va-bien pour accréditer le scénario de l’attaque par ours interposé. 

 

Bad buzz, étant donné que, dans cette affaire, au lieu d’une attaque coordonnée conduite par plusieurs personnes ayant reçu l’appui d’un Etat, on a au final un étudiant de 20 ans, et tout bêtement allemand. 

C’est d’autant plus embarrassant que tout en désignant avec plus d’impétuosité que de rationalité le classique gros méchant ours de l’ex-G8, le gouvernement allemand a demandé de l’aide, pour y voir clair, aux américains, lesquels, comme on s’en souvient, avaient, eux, bel et bien espionné leurs petits camarades

 

Qu’à cela ne tienne, ils se joignent désormais au hourvari visant à interrompre l’hibernation du plantigrade d’en face. Sans blague. Il y a même une opération de haute sécurité tout ce qu’il y a de plus officielle pour en finir avec les cyberattaques des maudits Russes «Opération Grizzly Steppe» !!! Ça claque.

 

Ça va… ! me direz-vous, une battue médiatique… pas de quoi polémiquer non plus.

«ET LE PRIX DE LA SÉCURITÉ INFORMATIQUE EST ATTRIBUÉ À …»

 

L’attribution des attaques informatiques est (pour un tas de raisons, dont certaines que je ne saurais même pas expliquer bien précisément) tellement difficile que normalement on y renonce.

 

Vous remarquerez par exemple que le monsieur web-sécurité de la Gendarmerie Nationale, le Général Marc Watin-Augouard, ne dit pas :

«Encore un sale coup des Russes, maudits cosaques !»

Mais :

 

«Je pense qu’aujourd’hui,

 il faut être extrêmement prudent dans l’attribution.»

 

 

On ne va pas se cacher derrière son stylo numérique…

 

(surtout vu que ça masquerait beaucoup moins la réalité qu’un gros ours ventru…) 

 

…en vérité, les défaillances humaines sont la première source de problèmes en sécurité de l’information, très loin devant les failles logicielles (ou les causes fantasques).

 

Et bim ! Nous voilà déjà rendus à ce point critique où l’on va ranger d’un côté l’humain et de l’autre la machine. 

Ce qui soulève une intéressante question : notre monde est-il devenu à ce point machiniste qu’on en vienne à rappeler qu’il existe, au milieu de cette prodigieuse mécanique, un élément accessoire, presque invisible, l’élément humain ?

 

C’est ce que font à peu près tous les éditorialistes qui parlent du «facteur humain» comme d’une incongruité qu’on aurait tendance à oublier. 

 

Et puis il faut bien admettre que dans certains secteurs, la réponse (notre monde est-il…etc.) est oui. 

 

À la Bourse, par exemple, l’élément humain est devenu très minoritaire.  Même dans ce qui était le dernier carré des humains, les ordres d’échange. 

 

À Wall Street, 70% des échanges sont générés par des algorithmes de trading haute fréquence. 

 

N’en déplaise aux transhumanistes de tous poils, les entreprises sont encore remplies d’humains, ce qu’une expression irrévérencieuse mais répandue désigne comme «interface chaise-clavier».

 

Et ces humains, vous et moi (si du moins vous n’êtes pas un bot, ami lecteur), sont désignés de manière pas plus flatteuse comme «le maillon faible» de la cybersécurité.

 

Comment ça «maillon faible» !? (ok cette question est faible).

 

»»» Question forte pour un maillon faible [mode réflexivité : ON] :

 

 

Qu’est-ce que l’humain ?

 

Il existe de bons livres à ce sujet, et beaucoup a déjà été dit. Tant et plus. 

 

Tellement, même, que je vais procéder directement à une bonne petite synthèse des familles, le truc qui va nous débrouiller cette problématique plus vite qu’un CyBorg (©Danemark) qui joue au Rubik’s cube ®.

 

 

*** Synthèse magistrale : ***

Le propre de l’homme, c’est le rire.

 

 Sans blague ! Rabelais l’a écrit en 1534 dans Gargantua, excusez donc sa langue peu «French Tech» :

 

 Mieulx est de ris que de larmes escripre,
Pource que rire est le propre de l'homme.

 

 

Non, en fait je plaisante… 

Un peu de sérieux, il s’agit de l’Homme tout de même !

 

***** Synthèse magistrale (pour de vrai, cette fois) : *****

 

L’humain est sujet à des affects et passions. 

 

On peut classer ses passions en 3 catégories :

 

(voyez que c’est réellement synthétique, et en plus vous pouvez le vérifier sur n’importe qui ou même «pas n’importe qui» : ça marche tout le temps) 

 

1 - ignorance (pour la gestion des cyber risques, j’y rangerais l’égarement, la naïveté, l’inconscience, la maladresse…) ;

 

2 - avidité (pour nos questions de sécurité informatique, ça désignera une tendance à l’impulsivité, la curiosité, le désir d’obtenir quelque chose…) ;

 

3 - aversion (là en ce qui nous concerne, j’entends le refus des contraintes, le rejet de la nouveauté, mais aussi la paresse).

[mode réflexivité : OFF] 

 

 

QUAND IL S’AGIT DE CLIQUER NOUS SOMMES TOUS CONCERNÉS

Je ne vais pas multiplier les exemples, vous n’avez qu’à le faire vous-même. 

 

Enfin… pensez à un collègue si vous êtes trop mal à l’aise en songeant à la dernière fois que vous avez cliqué sur un lien de hameçonnage bien bidon. (vous avez bien noté les 3 «o» ?)

 

Ou à la dernière fois que vousce maillon faible de collèguen’a pas signalé à un responsable un message on ne peut plus intriguant... Qu’un collègue indélicat a bafoué la charte de bonnes pratiques pour faire des copies Système en urgence et éviter ainsi les bouchons sur le périph.

 

Comme quoi, les campagnes de sensibilisation à la cybersécurité ont tout bon quand ça dit : «nous sommes tous concernés…». 

 

Si vous venez de culpabiliser rudement en repensant à tous vos méfaits, voilà un exemple de vulnérabilité informatique via facteur humain qui va vous mettre du baume au processeur à 8 cœurs cadencé à 2,2 GHz :

 

            »»» d’après une étude de la société Proofpoint »»» cliquez ici, (c’est sans danger) 50 % des clics sur des URL malveillantes ont lieu dans la première heure après réception du mail vérolé !!! 

 

C’est-t-y pas de l’impulsivité, ça ? Ecce homo : il voit un lien, il clique !!!

Lol.  

Mdr.

Il clique…

 

Tel Chirac avec son mulot, « je clique !». 

 

Et pourquoi il clique comme ça ? Tout de suite (comme un gros bourrin), sans analyser avec circonspection l’authenticité de cet e-mail, et sans appliquer toutes ses facultés sceptiques, en bon disciple de Pyrrhon, préalablement à l’application de son curseur de souris? Pourquoi ? Pourquoi ??

 

Une partie de la réponse ne sera révélée que dans un billet de blog à venir. Un secret plus grand que celui la nature humaine. 

 

L’autre partie, je vous la donne : le phishing, qui reste l’arme de prédilection pour dérober des informations– loin devant les attaques «avancées», redoutables, mais rares -, le hameçonnage, donc, devient de plus en plus astucieux.

 

Pour vraiment achever de vous faire vous sentir normal, si vous en êtes encore à vous ravager les doigts dans un accès d’onychophagie qui altère vos possibilités futures d’utilisation du clavier, apprenez ceci :

 

          -      Incroyable mais vrai  

 

Madame Karla Burnett, employée d’une entreprise de paiement en ligne, Stripe («oulà ! ils doivent être balèze en cybersécurité là-dedans, ça compte pas !») a soumis ses collègues a plusieurs test de phishing

 

Même après la catastrophique première expérience, qui a donné lieu à une intense campagne de sensibilisation en interne, bon nombre de ses collaborateurs ont continué à se faire piéger, allant même, pour certains, jusqu’à ignorer délibérément les messages de mise en garde émis par leur ordinateur, et bien peu ont signalé les atteintes dont ils avaient eu connaissance.

 

 

Tout ça pour dire quoi ???

 

Que c’est pas les Russes le problème, c’est les humains ?

Non.

En fait… les Russes sont des humains. 

 

Sting l’a chanté dans «Russians» avec des paroles telles que «we share the same biology».

(Pour le clip, cherchez vous-même, je crains que vous n’osiez plus cliquer.)

 

«Bah… tout ça pour dire quoi du coup ?»

 

 

LA ROUE DE DEMING, C’EST PAS POUR LES HAMSTERS

 

C’est pas parce que :

 

  • la plupart des intrusions se font au moyen de simples appels à clics
  • c’est hyper commode de conduire les victimes à exécuter elles-mêmes les attaques 
  • les humains sont mus par des ressorts psychologiques bizarres, voire irrationnels

 

…qu’on va continuer (en tout cas pas sur ce blog) de propager des slogans du genre «maillon faible».

 

L’humain est certes plus faillible qu’une machine en termes de résultats sur une opération machinale répétée un grand nombre de fois, mais pour l’heure, en l’absence d’intelligence artificielle forte, il est le seul à disposer de capacités critiques élaborées et à pouvoir montrer une adaptation permanente à un environnement qui évolue et se reconfigure. 

 

 

On va donc plutôt affirmer, comme l’a éloquemment résumé un magazine de référence, qu’au lieu de maillon faible, l’humain peut être vu comme première ligne de défense de la sécurité informatique en entreprise.

 

De la même manière que la SNCF diffuse des messages du type «nous vous prions de nous signaler tout colis suspect» et fait de chaque usager des transports un agent vigilant à la sécurité de tous, dans l’entreprise les employés peuvent être les yeux et les oreilles de la fonction sécurité.

 

Ce type de fonctionnement collaboratif colle parfaitement à l’esprit du temps. 

 

Il ne demande pour être mis en application qu’un peu d’organisation.

 

Car s’il est pénible de réaliser qu’en tant qu’humains on est au cœur du problème, c’est aussi le niveau où l’on peut reprendre le plus sûrement le contrôle de la situation. 

 

En tout cas le management des équipes est plus à portée de main que la géopolitique des ours polaires. 

 

«J’EN PARLERAI À MON OURS».

Examinons différentes possibilités pouvant conduire à une vulnérabilité des SI, et voyons si elles sont plus réalistes que Vlad à dada sur le dos d’un dodu plantigrade :

  • il n’existe pas de procédures écrites de sécurisation des données
  • il existe des procédures mais elles n’ont pas été communiquées
  • les procédures ont été communiquées mais aucune démarche n’a permis leur appropriation
  • les procédures sont rejetées par les opérateurs, qui les trouvent lourdes et déconnectées du réel

J’aime bien l’exemple des procédures de sécurité, parce qu’il met immédiatement en lumière un paradoxe : 

 

»»» le paradoxe de la libération normative (ça rigole moins, là).

 

C’est un paradoxe parce que, dit comme ça, les procédures, boh… c’est pas d’un attrait irrésistible.

 

Pourtant, tout le monde connait cette sensation de malaise qu’on éprouve quand on est dans le flou et l’ignorance. Et le soulagement d’avoir des repèreset une procédure à suivre. 

 

Avoir des règles auxquelles se référer est clairement un atout et une nécessité.

 

L’essentiel est qu’elles soient adaptées et acceptées.

 

«Justemeeeeent ! J’en veux bien moi des procédures adaptées, mais chez nous laisse tomber c’est trop n’importe nawak…», râle le lecteur qui rêve de sérénité et déplore la confusion qui règne autour de lui. 

 

C’est là où j’en reviens, tel le chat qui retombe toujours sur ses pattes après avoir longtemps tripoté la souris, à la question du propre de l’homme.

 

Parce qu’en fait, le propre de l’homme, c’était pas le rire. 

 

En fait … ///  RÉVÉLATION FINALE !!! ///

 

Le propre de l’homme, c’est la perfectibilité.

 

 Eh oui. Rousseau l’a écrit, à je ne sais plus quelle date, mais largement avant l’œuvre philosophique de Sting. 

 

Quand les difficultés qui environnent toutes ces questions laisseraient quelque lieu de disputer sur cette différence de l'homme et de l'animal, il y a une autre qualité très spécifique qui les distingue et sur laquelle il ne peut y avoir de contestation, c'est la faculté de se perfectionner, faculté qui, à l'aide des circonstances, développe successivement toutes les autres.

 

C’est pas beau, ça ? Franchement ? 

 

Ce qui fait de Rousseau, je m’empresse de le dire, l’ancêtre de tous les coachs en entreprise, de tous des ardents combattants de l’amélioration continue, faisant toujours avancer, par la force sublime de son verbe éteint, depuis le fond des siècles (enfin presque) les glorieuses conquêtes de la qualité grâce à l’implacable mécanisme rotatif Plan-Do-Check-Act.

 

Celui qui croit à la perfectibilité, celui-là ne peut pas tout-à-fait désespérer de l’humain.

 

Très humainement, Thomas.

 

 

PS : «Un peu d’huile de girofle : le soulagement est immédiat.»

Écrire commentaire

Commentaires: 0