
Après
30 ans de cybersécurité orientée vers les moyens techniques, les spécialistes
veulent replacer l’humain au centre de la protection informatique. Plus de 90 %
des cyberattaques commencent par une tentative de « phishing ».
Il est urgent de former l’utilisateur.
L’humain serait l’avenir
de la machine… ou en tout cas de la cybersécurité. Repousser les
cyberattaques passe par la formation de l’utilisateur, pour une bonne
utilisation des outils. Les parades techniques ont leurs limites, rapportait Les Échos ce mardi. Dans l’univers
de la protection informatique, l’utilisateur serait autant le maillot faible
que le remède.
90 % des cyberattaques commencent par du « phishing »
La première attaque
informatique remonte à 1983, à l’époque où l’étudiant Kevin Mitnick (20 ans)
essaya de pénétrer dans les fichiers informatiques du Pentagone. Depuis, la
cybersécurité reste affaire de techniciens. Une erreur de stratégie, selon la
société américaine PhishMe spécialisée de la
prévention du piratage par « phishing »
ou en français « hameçonnage ».
Pour son directeur
général Jim Hansen, le doute n’est pas permis. « Plus de 90 % des cyberattaques commencent par une tentative de « phishing » et un salarié qui tombe dans le
panneau » explique-t-il. Un simple clic sur un lien hypertexte dans un
email non-sécurisé suffit pour compromettre la sécurité informatique de
l’entreprise.
« Se mettre à la portée des
utilisateurs »
Suffirait-il d’enseigner
la vigilance à l’utilisateur ? Trois chercheurs du géant américain Google
se sont penchés sur la question. Ils ont demandé à 231 experts de leur donner
trois recommandations essentielles pour se protéger des cyberattaques.
Malheureusement, ils ont obtenu au moins 152 conseils différents. Soit une bien
longue liste pour le tout-venant !
« Un des grands défis de la cybersécurité d’aujourd’hui est d’apprendre
aux spécialistes à se mettre à la portée des utilisateurs » en conclut
Angela Sasse, professeur à l’University College London (Royaume-Uni) et
directrice de l’Institut de recherche britannique en science de la sécurité
(RISCS). Angela Sasse s’est spécialisée en de « human-centred security » c’est-à-dire en « sécurité centrée sur l’humain ».
Arbitrer entre poids du risque et des mesures
A l’heure du tout
numérique, former les collaborateurs devient crucial pour les entreprises. Les
outils ne manquent pas. L’employeur a le choix entre les MOOCs dédiés (celui de l’ANSSI reste gratuit jusqu’en
avril 2019), les kits de cybersécurité (exemple celui du Centre for
Cybersecurity Belgium), les serious games (voyez l’association Cigref), les tests grandeurs
natures organisés par PhishMe… et pourquoi pas à l’avenir une intelligence
artificielle dédiée ?
Ajouter un commentaire