Section générale
Que signifie le «facteur humain» en sécurité informatique?
Lorsqu’il est question de sécurité informatique sur le lieu de travail, l’un des plus grands risques, souvent cité, est le «facteur humain». Manque de connaissances, charge de travail élevée ou sensibilisation insuffisante aux thématiques relatives à la sécurité sont autant de dangers. La réduction de ces risques devrait donc être au centre de toute stratégie informatique réussie. Nous vous montrons comment faire du «facteur humain» une partie de la solution et vous ouvrir ainsi de nouvelles opportunités.
Problème n°1: les êtres humains agissent comme des êtres humains
Il est tout d’abord important de comprendre en quoi l’être humain représente le plus grand risque en matière de sécurité informatique en entreprise. La raison est simple: il agit comme un être humain, et non comme une machine qui suit une logique programmée. Un exemple: un collaborateur raconte à une connaissance d’une autre société que son entreprise utilise une version obsolète du CRM. Un collaborateur de la concurrence entend cette conversation et retient toutes les informations.
De nombreuses attaques de piratage débutent de cette façon. De même, le comportement de collaborateurs licenciés est également délicat, car ceux-ci peuvent laisser s’exprimer leur frustration. La plupart des entreprises victimes d’attaques peuvent confirmer que, sans le «facteur humain», une attaque de piratage n’aurait pas été possible.
Solutions possibles
Assurez-vous que vos collaborateurs soient conscients des dangers. Les formations et des stages réguliers sont un bon moyen d’ancrer le sujet de la sécurité informatique dans les consciences. Mais il est aussi important de montrer que ce sujet est pris au sérieux dans l’entreprise; le management doit donner l’exemple.
Problème n°2: les mots de passe sont pénibles
Tout aussi humaine est l’aversion envers les mots de passe compliqués. Qu'il s’agisse du nom de son chien ou d’une suite de trois chiffres, de nombreux mots de passe sont faciles à deviner. Il arrive même souvent qu’ils soient utilisés plusieurs fois ou, plus grave encore, notés de façon visible à tout le monde, sur un post-it par exemple.
Souvent, les collaborateurs ne réalisent pas le danger que représente ce comportement qu’ils supposent normal. Il suffit pourtant qu’un petit délinquant se fasse passer pour un collaborateur de la société de nettoyage et utilise le mot de passe laissé au vu de tous. Il peut alors dérober les données de l’entreprise à l’aide d’une clé USB. Ou encore installer un logiciel malveillant. Et s’il a encore un peu de temps et qu’il essaie le mot de passe sur d’autres PC ou d’autres systèmes, il y a alors de grandes probabilités qu’il puisse accéder à d’autres données critiques.
Solutions possibles
Définissez des mots de passe contenant au moins 8 caractères. N’utilisez pas de mots connus, de mots de passe courants ni de suites de chiffres simples. N’utilisez chaque mot de passe qu’une fois. Idéalement, combinez des chiffres, des lettres et des caractères spéciaux sans logique apparente. Ne conservez pas vos mots de passe physiquement sur votre lieu de travail. Utilisez à la place un gestionnaire de mots de passe. Important: ne partagez vos mots de passe avec personne – même pas avec votre supérieur ou avec l’assistance informatique.
Problème n°3: les êtres humains sont des êtres sociaux
Les êtres humains aiment qu’on les flatte. Ils aiment s’entendre dire qu’ils font bien leur travail. Et dans ce cas-là, les collaborateurs sont souvent enclins à révéler une chose ou deux sur leur métier. Un pirate peut exploiter cette faiblesse et soutirer des informations importantes en posant des questions habiles.
De plus, chaque pirate dispose également de toutes les informations partagées sur les réseaux sociaux. Le risque est ici réel, notamment pour les collaborateurs candides ou frustrés. À propos des réseaux sociaux: les applications Web de services de messagerie connus représentent aussi un danger lorsqu’elles sont utilisées sur un ordinateur professionnel. En effet, la moindre faille de sécurité peut servir de porte d’entrée pour des attaques sur les systèmes de votre entreprise. C’est également un moyen très facile de propager des fichiers infectés et d’attendre qu’ils soient téléchargés.
Solutions possibles
Formez vos collaborateurs et montrez-leur les risques d’une attaque ainsi que les stratégies possibles des pirates. Veillez à ce que les collaborateurs n’accèdent pas aux réseaux sociaux via les appareils de l’entreprise – sauf bien évidemment à des fins professionnelles.
Problème n°4: les appareils sont utilisés à titre personnel et professionnel
Vous souhaitez mettre votre WiFi à disposition de vos collaborateurs? Bonne idée. Vous comptez aussi le rendre accessible à des appareils personnels? Très mauvaise idée. En effet, en tant qu’entreprise, vous n’avez aucune visibilité sur la sécurité des appareils extérieurs. Cela ouvre des portes aux attaquants. Il en va de même pour les appareils personnels tels que les clés USB ou les disques durs externes utilisés au quotidien. Ce matériel appelé «Shadow IT» est généralement utilisé sans l’approbation du service informatique et constitue un risque pour la sécurité.
Il peut aussi être dangereux d’utiliser un ordinateur portable professionnel à des fins personnelles. Le risque pour l’entreprise augmente même dans le cadre d’un usage récréatif courant, par exemple dans le cas d’utilisations de réseaux WiFi privés ou publics non sécurisés.
Solutions possibles
Soyez prudents en ce qui concerne l’accès au WiFi de l’entreprise. Tous les appareils connectés doivent être connus du service informatique et leur sécurité doit avoir été testée. Seuls des clés USB et des disques durs propres à l’entreprise doivent être utilisés comme supports de données. Il convient aussi de ne pas abuser des droits d’administrateur et de les accorder uniquement aux collaborateurs qui en ont vraiment besoin pour leur travail. Vous empêcherez ainsi les installations de programmes malveillants.
Problème n°5: les collaborateurs ne savent pas gérer les données
Imaginez que votre comptable ait imprimé par erreur les fiches de paie en double. Il jette l’exemplaire en trop à la poubelle. Le document devient alors accessible à d’autres collaborateurs ou, plus grave encore, à des concurrents. Des données stratégiques sensibles de l’entreprise peuvent ainsi rapidement arriver entre de mauvaises mains.
Il en va de même dans l’espace numérique: conserver sur son PC des données sensibles qui ne sont plus utilisées expose l’entreprise au risque de divulgation d’informations importantes en cas d’attaque. Qui plus est, on peut se demander si les collaborateurs signaleraient effectivement une perte de données de ce type. Si toutefois ils se rappelaient encore qu’ils conservaient toujours ces documents.
Solutions possibles
Assurez-vous que vos collaborateurs manipulent les données confidentielles de façon responsable. Tous les documents contenant des données relatives à l’entreprise doivent être archivés en toute sécurité, ou détruits de façon à être rendus illisibles. Il convient aussi de communiquer clairement sur le fait que la moindre perte de données doit faire l’objet d’un signalement. Il faut cependant savoir faire preuve de tact. Les collaborateurs ne doivent ressentir ni gêne, ni peur.