January 31, 2023
RSSI : Le facteur humain est le plus grand risque


Selon le RSSI (Chief Information Security Officer), il existe de nombreuses façons dont le facteur humain peut avoir un impact commercial sur la cybersécurité des entreprises. Mais, d’un sondage de Proofpoint, il ressort que 94% d’entre eux conviennent que le plus grand risque vient des employés.

“L’être humain représente généralement le maillon le plus faible de la ‘chaîne’ de défense”, commente-t-il Henri MorisiICT Security Manager, “mais cette hypothèse doit toujours être contextualisée dans le contexte de la posture de sécurité de l’entreprise”.

De plus, «la recherche alimentée par ProofPoint», explique-t-il Pierluigi Paganinianalyste en cybersécurité et PDG de Cybhorus, “nous livre de nombreux points de discussion, principalement les pourcentages d’entreprises qui ont subi une violation de données”.

Une entreprise sur quatre a été potentiellement compromise

16% des entreprises ont subi une violation de données. De plus, il y a “un inquiétant 10% d’entreprises qui ne disposent manifestement pas de contrôles adéquats pour reconnaître si elles ont été attaquées”, prévient Paganini : “Globalement, donc, une entreprise sur quatre a été potentiellement compromise, un chiffre qu’il devrait nous alarmer si nous considérons les chaînes d’approvisionnement respectives et les effets potentiels sur les entreprises partenaires et les clients ».

CYBERSÉCURITÉ : les meilleures stratégies pour la protection et la continuité des services informatiques

Ce sont les données photographiées par l’enquête Proofpoint, menée en collaboration avec The Cybersecurity Digital Club.

Principale cause des cyberattaques sur l’entreprise, selon les Chief Information Security Officers, le danger passe des clics sur les liens sans vérification et du partage des identifiants. Les RSSI italiens sont également conscients que 90 % des cyberattaques nécessitent une interaction humaine pour réussir.

RSSI : Le facteur humain est le plus grand risque

Selon les RSSI, 80 % des employés ont tendance à cliquer sur des liens dangereux, tandis que 65 % utilisent des périphériques USB de manière incontrôlée. 57 % téléchargent des pièces jointes et des fichiers provenant de sources inconnues. Au lieu de cela, 57 % partagent des données personnelles avec des sources externes.

“La prise de conscience du risque lié au facteur humain se confirme”, souligne Paganini, “cause de la quasi-totalité des violations, et de la menace due aux insiders, aujourd’hui plus que jamais source d’inquiétude. D’où l’importance cruciale d’une formation spécifique pour les entreprises et de l’adoption de processus et de contrôles visant à prévenir les activités malveillantes ».

Ce sont des employés négligents, pas toujours malveillants. Mais 47% d’entre eux accordent peu d’attention à la sécurité, partageant les informations d’identification de leur compte. 39 % autorisent l’accès et l’utilisation des appareils de l’entreprise à leurs amis et à leur famille.

“La sécurité liée au monde des appareils mobiles”, souligne Morisi, représente “un contexte où le ‘facteur humain’ devient encore plus décisif, et les investissements dans la promotion de la culture de la sécurité jouent un rôle encore plus stratégique et décisif”.

Près des deux tiers des organisations qui ont confirmé une cyberattaque ont admis que des initiés négligents ou criminels étaient responsables.

Pour autant, “le facteur humain ne peut pas être ramené uniquement et simplement à des ‘stéréotypes’ comme, par exemple, celui du collaborateur victime d’une attaque de phishing, au centre de tout”, poursuit Morisi qui lance une provocation : “En prenant des extrêmes, même toute personne impliquée dans la gestion de la sécurité est un être humain, et son comportement, ses connaissances, son implication, ses capacités de communication, son consentement, son attitude, comme celles de tout autre collaborateur au sein de l’organisation quel que soit son rôle, sont tous aspects qui peuvent contribuer à la promotion ou à l’appauvrissement de la culture de la sécurité ».

L’impact des infractions

Les conséquences des cyberattaques sont graves : 38 % des RSSI admettent des pertes financières. 50 % disent que l’entreprise a subi une atteinte à sa réputation. 25% confirment la perte de données critiques de l’entreprise suite à une violation de données.

Mais seuls 43 % des RSSI italiens disposent d’un agent spécifique de prévention des pertes de données (DLP). 14 % ne disposent d’aucun type de protocole ou de technologie de prévention des pertes de données.

En effet « si une entreprise n’a pas encore décidé de développer un programme de sécurité de l’information ou a fortement négligé les autres types de risques fondamentaux, technologiques et organisationnels, le facteur humain peut ne pas être aussi pertinent en termes de risque relatif », confirme Enrico Morisi qui met l’accent sur la posture de sécurité de l’entreprise.

Formation et rôle du RSSI

Alors que les RSSI italiens prennent au sérieux la question du risque facteur humain, ils développent des initiatives de entraînement. « Les données ne se perdent pas, les gens les perdent. Ils sont volés par un attaquant extérieur via des informations d’identification compromises, transmis à un tiers non autorisé par un utilisateur négligent ou volés par un employé malveillant qui les transmet souvent à un concurrent », commente-t-il. Emiliano MassaArea Vice President de la région Europe du Sud de Proofpoint.

Il s’agit de programmes visant à identifier les menaces basées sur le courrier électronique (96 %), la gestion des mots de passe (88 %) et les meilleures pratiques de sécurité (80 %). Seuls 4 % des RSSI admettent que leur entreprise est exposée : faute d’une initiative continue d’éducation à la cybersécurité.

“L’élément le plus important qui ressort du rapport”, souligne Paganini, “est certainement la centralité de la figure du RSSI dans les entreprises modernes”.

65% des RSSI ont mis en place des technologies dédiées au contrôle et à la gestion des menaces internes. 33 % ont mis en place un plan de réponse aux risques internes.

“Reconnaître la donnée comme un élément habilitant pour le développement de l’entreprise et sa principale ressource nécessite une gestion adéquate du risque cyber et la définition d’une stratégie adéquate, des fonctions de responsabilité du RSSI avec l’engagement des organes décisionnels de l’entreprise” , conclut Paganini .

Mais malgré cela, un tiers des entreprises italiennes restent sans outils ad hoc pour faire face aux menaces internes. Un cinquième (20%) est totalement dépourvu de fiches protocolaires spécifiques.

De plus, plus des deux tiers (71 %) des RSSI déclarent compartimenter la visibilité et l’accès aux informations sensibles, et limiter l’accès à certains employés. Cependant, moins de la moitié des RSSI (43 %) surveillent régulièrement l’accès des utilisateurs aux données. Environ un quart (24 %) n’ont pas une bonne visibilité sur les emplacements de stockage.

Selon 22% des DSI, le facteur humain est la préoccupation à l’heure du travail hybride et de la diffusion croissante des plateformes cloud.

« En matière de protection des données, le problème fondamental se situe souvent en amont, et réside dans un inventaire incomplet voire inexistant des actifs, notamment en référence à leur classement selon des critères de criticité et de valeur, pour l’entreprise, des informations concernées » , prévient encore Enrico Morisi.

Pour se protéger “il est essentiel de se référer à la culture de la sécurité dans son sens le plus complet, ce qu’on appelle l’ABC (Awareness, Behaviour and Culture)”, explique Morisi. “La connaissance (la prise de conscience) ne conduit en effet pas nécessairement à un changement de comportement et à l’atteinte conséquente d’un niveau adéquat de maturité culturelle”.

“Ce n’est qu’en adoptant cette vision, fondée sur la centralité de l’humain dans toutes les activités de l’entreprise, que l’on pourrait peut-être vraiment dire : ‘l’humain est le maillon le plus faible de la cybersécurité'”, conclut l’expert.

Tendances et perspectives d’avenir du marché de la gestion des grumes

@TOUS LES DROITS SONT RÉSERVÉS



Source link

Leave a Reply

Your email address will not be published. Required fields are marked *