La Sécurité c'est l'affaire de tous

04.02.20 02:44 PM

«  La sécurité, c’est l’affaire de tous ». Si le slogan est connu, sa réalité est plus nuancée.

D’abord parce qu’à l’heure de la division du travail, la sécurité a ses spécialistes. La direction sécurité sureté rassemble les acteurs en charge de la sauvegarde de l’intégrité des biens et des personnes de l’entreprise. Mais dans la plupart des cas, ces spécialistes font leur métier sans surgir à tout bout de champs dans le quotidien du vôtre. Et c’est mieux comme ça, car quand vous êtes amenés à faire la connaissance des experts de la sécurité, c’est souvent que la votre est déjà compromise.

 

« La sécurité informatique, c’est l’affaire de tous ». Le slogan est moins connu et sa réalité encore plus nuancée. D’abord parce qu’à l‘heure du travail sur ordinateur, la sécurité informatique devrait déjà avoir fait l’objet d’une formation spécifique propre à chaque métier d'utilisateur. Mais dans la plupart des cas, Cette formation s’est limitée à lui rappeler de vérifier la présence de quelques icônes sur son écran pour s’assurer que la sécurité était assurée « automatiquement ». Sauf qu’en matière de sécurité, les automatismes sont pratiquement aussi dangereux que les menaces…Activer les antivirus, paramétrer les firewall, mettre à jour le système d’exploitation sans faire intervenir l’utilisateur, c’est lui laisser penser deux choses :

Qu’il n’est pas assez compétent pour s’en charger 


Que ces actions ne sont pas de sa responsabilité 


C’est d’ailleurs pour les confier à un profil aisément identifiable qu’est né le Responsable de la Sécurité du Système d’Information (RSSI) : ses premières missions ont consisté à rendre la sécurité aussi transparente que possible aux utilisateurs. Et comme il fallait que ce RSSI soit capable d'ausculter un ordinateur pour savoir s’il était infecté ou pas, il s’est retrouvé à la DSI : la Direction des Systèmes d’Information. Celle-là même chargée de l’intégration des logiciels et du maintien en condition opérationnel des « Systèmes ».

Dès ses origines, la sécurité informatique s’est donc construite sur l’idée d'intégrer des briques technologiques à l’infrastructure existante pour assurer sa disponibilité optimale. Implicitement s’est installée l’idée que le retour sur investissement de la sécurité informatique était corrélé à la performance de process parmi d’autres: les mises à jour (de systèmes d’exploitation, d’applications, d’antivirus…), les paramétrages (de postes de travail, d’application, de réseaux…) plus quelques autres considérés comme des opérations de support ou de maintenance.

 

Puis est arrivé le Cloud. Le Cloud, c’est ce qui aurait du alerter les Direction des Systèmes d’Informations de la nécessité de changer de paradigme. De passer d’une vision centrée sur le système (basée sur l’automatisation systématique et la généralisation des process) à une vision centrée sur l’information (basée sur l’analyse intelligente et la communication ciblée). Tout avait commencé un peu avant son arrivée avec le concept de « mobilité » : après avoir mis un ordinateur sur chaque bureau, les directions financières avaient réalisé qu’il était plus économique d'inciter les salariés au nomadisme : ça économisait le coût des espaces. En 2009, les nomades équipées de portables accédaient aux Systèmes d’Informations d’à peu près n’importe où… Les commerciaux pouvaient lancer les commandes depuis chez le client, les dirigeants consulter leur mail depuis chez eux. Chacun expérimentait des usages nouveaux sans soucis de lieu ou de temps. Et faisait naitre « entre la chaise et l’écran » un nouveau type de menace : comment distinguer un vrai collaborateur de mon entreprise d’un inconnu qui aurait réussi à lui soutirer ses identifiants ? Les organisations avaient laché dans ce cyberespace leurs salariés sans avoir vraiment pris la mesure des sollicitations et des dangers qu’ils allaient y rencontrer.

 

Et les dangers n’ont pas manqués : 

17% des sociétés françaises ont subi des pertes de données suite à des attaques de ransomware (source altospam). Rançon moyenne : 450€. A multiplier par le nombre d’ordinateurs infectées… Le principe : un utilisateur non-expert clique une pièce jointe et active un programme malveillant qui verrouille les données de son ordinateur.

En Janvier 2016, La police nationale recensait 2300 plaintes pour escroquerie aux faux ordres de virement (FOVI autrement appelés « fraudes au président ») déposées au cours des 5 années précédentes pour un préjudice global de 485 millions d’euros (source ministère de l’intérieur). Le principe : un utilisateur non vigilant effectue en urgence une opération ponctuelle sur l’injonction de ce qu’il croit être un décideur de son organisation.

La réussite d’attaques plus élaborées repose souvent également sur le manque de vigilance d’utilisateurs insuffisamment avertis : Des clés USB préalablement infectées, des objets à connecter peuvent permettre d’introduire les éléments nécessaires à la conduite d’une attaque.

Enfin, les menaces avancées persistantes (APT : Advanced Persistent Threats) combinent plusieurs de ces actions pour isoler et exfiltrer des données d’entreprises. Actives sur des temps plus longs, ces menaces sont parmi les plus redoutées. Leur principe repose là encore sur l’exploitation de comportements humains récurrents et « statistiquement prévisibles ».

 

Il devient donc critique de sensibiliser les utilisateurs non-experts à la protection de l’information : eux seuls sont en mesure d’exercer une vigilance adaptée pour ne pas laisser fuiter les informations critiques qu’ils détiennent (dont leurs identifiants).

Leur "non-expertise » va révéler une première difficulté : n’oublions pas que les organisations actuelles se sont constituées autour de la spécialisation des compétences. De fait, consacrer du temps et de la ressource pour dispenser connaissances et pratiques à des personnels dont ce n’est pas le coeur de métier va être généralement perçu comme contre-productif. Pour avancer, la challenge va consister à apporter les bonnes réponses à deux questions clés :

Comment légitimer un leader sur un projet de sensibilisation ? 


Comment lui permettre de mobiliser les budgets adaptés ? 


 

Le leadership des projets de sensibilisation va se disputer entre 3 expertises :

la sécurité qui sait appréhender les menaces et proposer des parades 


La communication qui sait formuler les messages et maximiser leur impact 


La formation qui sait normaliser les pratiques et les intégrer aux fonctions existantes 


Couramment, les sponsors émergent des fonctions sécurité, mais chaque organisation aura sa particularité pour intégrer les autres expertises à sa démarche de sensibilisation. Soit en essayant de loger toutes les compétences requises au sein d’une même entité, soit en décidant de rassembler les acteurs de différentes directions autour d’un même projet transverse.

Le cas du rattachement à la DSI est très répandu : la sensibilisation s'effectue sous la houlette du RSSI. son budget est un sous-budget de la sécurité informatique lui-même intégré à celui de la DSI. Si d’autres rattachements peuvent exister, le principe de la ligne budgétaire unique (quand elle existe…) reste la règle.

La rassemblement de plusieurs entités autour d’un même projet transverse est encore limité. Si les fonctions sécurité ont pris l’habitude d’échanger entre elles (Direction Sécurité Sureté et Sécurité des Systèmes d'Informations), ces échanges sont moins fluides avec la Direction Marketing (où est rattachée la communication) et la Direction des Ressources Humaines (abritant la formation). En conséquence, les échanges restent ponctuels et ne permettant pas (encore) d’entreprendre des opérations ambitieuses aux budgets plus ambitieux.

 

Ainsi, la déclinaison budgétaire est calqué sur un découpage classique.

Dans le cas le plus courant, la règle des 3x5 permet de qualifier la place de la sensibilisation dans le scope des entreprises : 5% du CA en budget informatique. 5% du budget informatique en sécurité. 5% du budget sécurité en sensibilisation. Pour une entreprise réalisant 100M€ avec 1000 personnes, celà représente tout calcul fait un budget de 12500€. Soit 1€ par mois par personne ou encore 1 heure d’indisponibilité par salarié sur l’année (quelques minutes pour les mieux payés…). Reste à espérer que l'indisponibilité évoquée n’est pas celle occasionnée par la sensibilisation elle-même !

 

Si pendant longtemps il a été tabou d’évoquer les couts des dommages, les choses sont en train de changer sous l’impulsion de la règlementation (mise en place du RGPD fin Mai 2018) et des autorités (l’ANSSI lance le programme SecNumAcademy  et le groupement ACYMA Action contre la CYberMAlveillance).

De plus en plus de témoignages de chefs d’entreprise contribuent à faire prendre conscience à leurs pairs de la facilité à subir une attaque et des difficultés rencontrés pour s’en sortir. Ces témoignages ont pour but d'inciter les décideurs à considérer la sensibilisation pour ce qu'elle est : un investissement de prévention pour former les utilisateurs à une meilleure mobilisation de leur attention.

A l’heure de l’omniprésence de la données, de la surabondance de l’information, de l'hyper sollicitation des utilisateurs, cet investissement n’est pas seulement un enjeu de sécurité mais concerne aussi la façon de s’approprier les contenus transmis et de leur donner de la valeur. En un mot d’adopter une nouvelle culture.

 

« La culture de l’information, c’est l’affaire de tous ». Voilà un slogan a fort potentiel ! Si la donnée est réputée être le pétrole de demain, c’est l’information qui fait le véhicule d’un esprit à un autre. Afin de rendre le chemin sûr et facile entre ces deux esprits, il est déterminant de proposer des pratiques et des repères permettant aux deux de se reconnaitre. Et de les entrainer à adopter les mesures nécessaires lorsque l’interlocuteur qui leur est proposé n’est pas celui attendu. C’est finalement davantage une question de valeurs qu’une question d’argent.


Cet Article a initialement été rédigé le 10 avril 2018