Chat with us, powered by LiveChat
Nous utilisons des témoins à des fins d’analyse du Site Web, de statistiques, de profilage et de reciblage publicitaire. Nous pouvons aussi partager de l’information sur votre utilisation du Site Web avec nos partenaires publicitaires et analytiques. Vous pouvez désactiver les témoins dans les paramètres de votre navigateur à tout moment. Politique de confidentialité .
FERMER X
 Dans Blogue, FoIP, Innovation, Productivité, Sécurité, Technologie

Beaucoup de solutions et de journaux spécialisés en matière de cybersécurité s’intéressent surtout aux menaces extérieures provenant de pirates ou escrocs informatiques – des personnes qui cherchent résolument à pénétrer dans votre entreprise dans le but de dérober des données précieuses, de les bloquer en échange d’une rançon ou de simplement semer le chaos.

Même si ces menaces sont sérieuses et doivent être maîtrisées, elles ont tendance à éclipser un autre problème souvent non pris en compte : les menaces internes. La plus grosse menace intérieure n’est pas une attaque délibérée, mais bien la négligence délibérée à l’égard des consignes de sécurité et l’erreur humaine.

De nombreux problèmes de sécurité proviennent de l’intérieur de votre entreprise
Une étude révèle que 64 % des menaces intérieures sondées émanaient de la négligence du personnel – des fautes d’inattention ou des erreurs humaines (DTEX Systems, 2019). À titre de comparaison, seulement 13 % des menaces internes sondées dans cette étude relevaient d’informations d’identification compromises, et seulement 23 % étaient des tentatives intentionnelles du personnel visant à nuire l’entreprise.

1. La sécurité n’est sécurisée que si elle est utilisée

Ce qui n’est en rien surprenant, étant donné l’énorme somme d’argent que représentent les appareils, logiciels et autres solutions qui permettent de gagner du temps sur le marché de la consommation, mais l’être humain apprécie ce qui est pratique et déteste ce qui est pénible.

Lorsqu’il s’agit de contre-mesures de sécurité, tant physiques qu’électroniques, l’aspect de la protection semble souvent primer sur la facilité d’utilisation. Malheureusement, il arrive un moment où le système devient moins sûr, et non mieux sécurisé, parce qu’il prend tellement de temps ou est tellement frustrant que le personnel ne veut pas s’en occuper.

Différend de cultures : Lorsque le personnel forme d’autres employés à contourner la sécurité
Parfois, les moyens de contournement de la sécurité deviennent si endémiques sur le lieu de travail qu’ils deviennent une partie officieuse de l’intégration. Les nouveaux employés apprennent de leurs collègues que « c’est ce que tout le monde fait », et la pression de leurs pairs renforce la pratique et les empêche de la signaler.

« Plus récemment, nous avons entendu des cadres supérieurs dire que l’employée la plus récente d’une équipe médicale est responsable d’appuyer régulièrement sur la barre d’espace du clavier de tout le monde pour empêcher l’ordinateur de déconnecter l’utilisateur actuel. » (Blythe, Koppel, & Smith, 2013)

Dans cette situation, on peut avoir l’impression que les dirigeants « ne comprennent tout simplement pas » et qu’ils n’hésitent pas à imposer des procédures déraisonnables aux employés sur le terrain parce qu’ils n’ont pas à s’en occuper eux-mêmes.

« Dans les endroits où l’on discute entre groupes, dans la salle à dîner, des façons de contourner l’accès, les violations semblent insignifiantes et arbitraires. Plutôt que d’être perçues comme protectrices, les règles sont perçues comme agaçantes, comme les lois contre les piétons qui traversent n’importe où. » (Blythe, Koppel, & Smith, 2013)

Une fois que ce genre de tendance s’installe, il peut être difficile de l’inverser, avec des mesures plus strictes et des pénalités plus sévères qui favoriseraient encore plus de mauvaise volonté.

2. Un mauvais temps  « économisé » devient un temps perdu

Même si le contournement des mesures de sécurité n’a jamais entraîné le piratage d’une entreprise, l’imposition d’une amende pour violation de la HIPAA ou toute autre conséquence négative évidente, il y a un coût associé. Bien que certains membres du personnel puissent gagner du temps en évitant les mesures de sécurité, cela signifie souvent que d’autres membres du personnel sont bloqués en essayant de les arrêter. Le personnel informatique passe de la défense contre les menaces extérieures au maintien de l’ordre au sein même des utilisateurs en interne.

Nous avons vu des entreprises qui utilisaient un système d’authentification manuel à 2 facteurs (les mots de passe des fichiers cryptés étaient envoyés séparément par téléphone ou par texte) où le personnel informatique devait surveiller tous les courriels sortants pour s’assurer que les utilisateurs n’envoyaient pas simplement les codes. Cette perte globale de productivité dans une situation où la plupart du temps il n’y avait pas de problème était stupéfiante.

3. Le temps passé à sécuriser ce qui ne devrait pas est du temps perdu

Ne perdons pas de vue non plus que si la protection de l’entreprise est essentielle, il est également important de bien analyser le rapport coûts-avantages des politiques de sécurité. Le temps de l’utilisateur est souvent considéré comme une ressource gratuite dans le monde de la sécurité, ce qui n’a aucun sens lorsque d’autres modificateurs des processus font l’objet d’une évaluation rigoureuse des économies de de temps et des dépenses du personnel au moment de l’achat.

« Si le coût est plus élevé que le préjudice total causé par l’attaque… alors la recommandation ne fait pas seulement plus de mal que de bien, elle fait plus de mal que l’attaque qu’elle vise. Supposons, par exemple, que certaines recommandations en matière de sécurité réduisent de 50 % le risque de devenir victime d’un hameçonnage. Si l’hameçonnage fait 0,37 % de victimes par année chez les utilisateurs… et que chaque victime perd 10 heures à trouver la solution, l’effort à réaliser au quotidien à la suite de la recommandation devrait être inférieur à 0,0037 x 10 = 365 heures ou 0,36 secondes par jour pour être rentable. De toute évidence, un utilisateur qui fait l’effort de lire les URL pour identifier les sites d’hameçonnage passera plus de temps que cela. Par conséquent, la recommandation fait plus de mal que de bien en fin de compte. Mais pire encore, la recommandation fait plus de mal que l’hameçonnage lui-même. » (Herley, 2009)

Ce qui ne veut absolument pas dire que la cybersécurité dans son ensemble est une perte de temps, mais elle se doit d’être efficace pour être réellement utile, même lorsque vos principaux utilisateurs sont vraiment coopératifs et que chaque personne respecte les règles.

4. Une sécurité trop compliquée peut accroître les erreurs humaines

Outre la question du temps passé par les utilisateurs à mettre en œuvre les consignes de sécurité, il est également important d’anticiper les coûts de l’erreur humaine lorsque vos employés s’efforcent (de bonne foi) d’observer des règles trop compliquées. Certes, les utilisateurs feront toujours des erreurs et le personnel informatique devra toujours œuvrer à les corriger, mais le coût du temps des utilisateurs et du personnel informatique dans le cas d’une telle défaillance doit également être pris en compte dans l’équation.

Si une simple modification d’une politique de sécurité vous permet de conserver votre protection, tout en réduisant le nombre d’utilisateurs bloqués, elle peut vous faire gagner du temps (et donc un gain en productivité).

5. Sécurité et facilité = mieux sécurisé

Votre entreprise ne devrait pas être exposée à des risques en raison d’une sécurité compromise car elle pose trop de problèmes. Les contrôles de sécurité les plus coûteux et les plus assidus ne valent rien si les gens les contournent plutôt que de les observer. De plus, le temps, les efforts et le moral du personnel sont des aspects précieux, et ne devraient pas être automatiquement considérés comme « le prix à payer » chaque fois que des options de sécurité sont examinées.

Il est temps de commencer à mettre la facilité d’utilisation au cœur de toute évaluation d’une solution de sécurité.

Les meilleures solutions face à cette culture d’insensibilité aux besoins de sécurité sont soit a) de donner aux employés de meilleures raisons d’observer les règles, autres que « c’est la politique de l’entreprise » ou « vous aurez des problèmes si vous ne le faites pas », soit b) de rendre la conformité plus facile que la non-conformité.

Vos utilisateurs veulent probablement faire ce qu’il faut. Vous devez faire en sorte que ce soit aussi simple que possible pour qu’ils ne soient pas tentés de prendre des raccourcis.

Aussi simple que l‘email, mais beaucoup mieux sécurisé

XMedius se spécialise dans les solutions de transmission sécurisée de documents à la fine pointe de la technologie qui sont intuitivement conçues pour une alliance idéale entre une excellente sécurité et la facilité d’utilisation.

XM Fax est une solution de fax sur IP (FoIP) de pointe, chef de file dans son secteur, qui permet d’envoyer et de recevoir des fax sécurisés aussi facilement qu’un courriel, tout en réduisant considérablement les coûts par rapport au fax classique et en simplifiant la conformité réglementaire.

XM SendSecure permet la transmission sécurisée et rapide de fichiers numériques de tous formats jusqu’à 5 To. Cette solution cryptée comprend l’authentification à 2 facteurs, le stockage éphémère, le double cryptage optionnel, l’analyse automatique des virus, une fonction de suivi détaillé des accès et des modifications, le clavardage crypté et d’autres avantages en matière de sécurité.

Découvrez comment la Mansfield Building Society a économisé des heures par jour grâce à XM SendSecure

Les deux produits sont disponibles en déploiement logiciel ou dans le Cloud (XM Fax est également disponible pour des installations hybrides), ce qui vous permet de choisir ce qui convient le mieux aux besoins de votre entreprise. N’hésitez pas à nous joindre pour parler de la façon dont les produits XMedius peuvent simplifier vos flux de travail, tout en protégeant mieux votre entreprise et en simplifiant la conformité avec GDPR, HIPAA, FERPA, SOX et autres réglementations.

 

PARLEZ À UN EXPERT

 

 

Ouvrages cités

Blythe, J., Koppel, R., & Smith, S. W. (septembre/octobre 2013). Contournement de la sécurité : même les bons utilisateurs agissent mal. Systems Security, 80-83.

DTEX Systems. (Avril 25). Rapport de veille sur les menaces internes. Tiré de https://dtexsystems.com/2019-insider-threat-intelligence-report/

Herley, C. (2009). So Long, And No Thanks for the Externalities: The Rational Rejection of Security Advice by Users. New Security Paradigms Workshop 2009. Oxford: Association for Computing Machinery.

 

Leave a Comment

Start typing and press Enter to search