« Le problème se trouve entre la chaise et le clavier ». Cet adage, (trop) souvent employé dans l’informatique et la cybersécurité, rappelle qu’une des principales vulnérabilités cyber d’une entreprise repose sur la naïveté de ses collaborateurs. Mais est-il réellement pertinent ? Et qui sont ceux qui sont les plus susceptibles d’être piégés par les cyber-criminels ? Éléments de réponse.
Dans l’inconscient collectif, les cyberattaques prennent pour cible un collaborateur haut placé dans la hiérarchie de l’entreprise, tant il aura des accès à des informations sensibles et critiques. Pour autant, Sébastien Viou, Directeur Cybersécurité Produits & Cyber-Évangéliste chez Stormshield, rappelle que « ces cibles de valeur sont aussi les plus protégées et les plus prudentes ». C’est pourquoi le cyber-criminel « agit généralement par opportunisme. Il attaque là où se présente la faille dans la chaîne de sécurité ». Et si, derrière les profils évidents des dirigeants, tous les collaborateurs n’étaient pas alors des cibles en puissance ?
Cyberattaque en entreprise : quand le pion prend la dame
Car même une cible disposant d’accès limités aux ressources numériques de l’entreprise peut devenir le premier jalon d’une cyberattaque. À l’instar du pion, qui, sur un échiquier, peut aller jusqu’à renverser la dame. « La plupart des attaques numériques se déplacent dans le réseau de l’entreprise, précise Sébastien Viou. Un terminal disposant d’accès limités peut très bien être converti en cheval de Troie afin d’infecter d’autres terminaux du réseau, ce qui permet aux cyber-criminels de subvertir progressivement des autorisations d’accès de plus en plus importantes ». Ainsi, bien qu’un collaborateur n’ait pas de droits importants dans le système d’information d’une entreprise, il n’en reste pas moins une cible intéressante pour le cyber-criminel, dans cette optique de déplacements latéraux et d’élévation de privilèges.
Il y a encore de très nombreuses entreprises où des collaborateurs ont accès à des ressources critiques sans aucune justification apparente. Pour certains, les droits admin sur des postes sont des acquis sociaux.
Sébastien Viou, Directeur Cybersécurité Produits & Cyber-Évangéliste Stormshield
Et encore, ce serait à supposer que les entreprises gèrent correctement leurs politiques d’accès. Or, Sébastien Viou relève « qu’il y a encore de très nombreuses entreprises où des collaborateurs ont accès à des ressources critiques sans aucune justification apparente. Pour certains, les droits admin sur des postes sont des acquis sociaux... ». Une (autre) réalité qui fait du phishing non ciblé le premier vecteur d’attaque dans le baromètre 2021 du CESIN : 80% de ses membres ont été victimes de cette pratique en 2020. Une cyberattaque facile à mettre en œuvre qui permet de multiplier les tentatives et viser la masse des collaborateurs. Les cyber-criminels misent ainsi sur la quantité pour faire jouer les statistiques en leur faveur : tôt ou tard, le piège finira par se refermer sur quelqu’un dans l’entreprise… Échec et mat. Des attaques massives donc, et même performantes pour Joseph Graceffa, président du Club de la sécurité de l’information en réseau (CLUSIR) Nord de France, qui alerte sur le fait « qu’aucune personne au sein de l’organisation ciblée n’est complètement à l’abri d’une négligence », y compris les personnalités les plus prudentes…
Des éléments qui permettent malheureusement de répondre à la question initiale de ce papier ; en entreprise, tous les collaborateurs peuvent (et sont) visés par des cyberattaques. Alors, comment faire pour éviter d’être pris dans les mailles ?
Passer de la sensibilisation à la responsabilisation des collaborateurs
S’il est difficile de proposer une analyse générale des profils de vulnérabilité basés sur la fonction qu’occupent les collaborateurs au sein des entreprises, il apparaît pourtant nécessaire d’identifier les plus vulnérables.
Au gré des tests, il devient possible d’identifier les personnes tombant systématiquement dans le piège, et donc les maillons humains les plus faibles de la chaîne de sécurité
Joseph Graceffa, président du Club de la sécurité de l’information en réseau (CLUSIR) Nord de France
Joseph Graceffa prend ainsi l’exemple du phishing : « il existe aujourd’hui des solutions très faciles d’accès et peu coûteuses pour automatiser des tests ». Avec de tels outils, les entreprises peuvent programmer des campagnes s’exécutant en toute autonomie et adressant de faux emails malveillants à leurs collaborateurs. « Au gré des tests, il devient possible d’identifier les personnes tombant systématiquement dans le piège, et donc les maillons humains les plus faibles de la chaîne de sécurité. » L’entreprise peut ainsi agir auprès de ces collaborateurs à risque, « à commencer par s’assurer de les sensibiliser aux conséquences potentielles de leur comportement et de les former aux notions de base de la cybersécurité ». En effet, pour renforcer la maîtrise qu'ont leurs collaborateurs des règles d’hygiène numérique, les entreprises sont nombreuses à mener des campagnes de sensibilisation et de formation aux enjeux de cybersécurité. Elles y sont par ailleurs fortement encouragées par les organismes publics tels que l’ANSSI, qui propose un guide pratique à l’attention des entreprises, dont le premier chapitre est ainsi intitulé Sensibiliser et former. À l’échelle européenne, l’Agence de l’Union européenne pour la Cybersécurité (ENISA) intègre directement cette notion de sensibilisation du public à sa mission. Et pour l’accomplir, l’institution se propose d’aider « les États-membres dans leur démarche de sensibilisation », de favoriser « la coordination entre les États-membres » et de fournir « des codes de bonnes pratiques à adopter en matière d’hygiène informatique et d’habileté numérique ». Une stratégie qui est également prônée par la France. Suite à la hausse des cyberattaques observées pendant la crise sanitaire, Guillaume Poupard, directeur général de l’ANSSI, a réaffirmé devant le Sénat l’importance de miser sur la formation, la certification et la recherche continue de règles d’hygiène numérique sectorielles : « Le respect des règles d’hygiène informatique est la base, c’est comme vouloir pratiquer de la chirurgie de haute précision avec des mains sales ».
Le respect des règles d’hygiène informatique est la base, c’est comme vouloir pratiquer de la chirurgie de haute précision avec des mains sales
Guillaume Poupard, directeur général de l’ANSSI
Pourtant, s’il ne remet pas en cause l’importance de la sensibilisation des collaborateurs comme réponse des entreprises face aux risques cyber, Sébastien Viou la considère « complètement insuffisante pour s’assurer que les règles d’hygiène numérique fondamentales soient appliquées ». La bataille de la sensibilisation cyber est-elle déjà perdue ? La tentation de répondre oui est grande en se fiant aux publications sur les réseaux sociaux de photos de PC professionnels que des individus laissent accessibles et sans surveillance dans des lieux publics. Pour Sébastien Viou, cela démontre qu’il est grand temps de passer à la vitesse supérieure et d’ajouter à la sensibilisation une forme de responsabilisation des collaborateurs. « La sensibilisation n’est pas perdue, aujourd’hui la majorité des collaborateurs sont sensibilisés aux risques cyber et c’est une bonne chose. Cependant, ils n’appliquent pas les règles de sécurité malgré tout car ils estiment à tort que le risque ne les concerne pas. » Cette responsabilisation pourrait prendre la forme de l’intégration à la fiche de mission du collaborateur du respect des normes et règles de sécurité mises en place par l’entreprise. « De fait, le risque serait partagé, puisqu’en cas de manquement grave et avéré, l'entreprise pourrait sévir. » Une opinion partagée par Joseph Graceffa, qui rappelle d’ailleurs que cette responsabilisation des collaborateurs est déjà une réalité, en particulier dans les grandes entreprises anglo-saxonnes. « Elles complètent généralement leurs règlements intérieurs de chartes informatiques puis mettent en place une échelle de sanction », pour pouvoir sévir selon la gravité des manquements de leurs collaborateurs.
Garantir un meilleur accès à la cybersécurité
Mais cette responsabilisation devrait s’accompagner d’une plus grande accessibilité des collaborateurs aux outils et informations relatives à la cybersécurité. « Puisqu’on leur demande d’être responsables, il est certain qu’il faut aussi pouvoir les aider à comprendre les menaces et ce qui se produit autour d’eux », confirme Joseph Graceffa. Toutefois, « les solutions de cybersécurité de l’entreprise sont traditionnellement du ressort des équipes de la RSSI. Et peu d’efforts ont été faits, encore à ce jour, pour en simplifier l’usage par un public non spécialiste ». Des solutions de cybersécurité plus accessibles et portées sur l’ergonomie (ou UX-friendly) pourraient ainsi participer à l’adoption par les collaborateurs de l’entreprise et leur montée en compétence.
Du point de vue de l’organisation interne, la direction des ressources humaines (DRH) doit avoir un rôle renforcé sur les questions liées à la cybersécurité. C’est en tout cas ce que suggère une étude dédiée de la chaire RHO de l’Université de Fribourg et du CISEL Informatique SA. Du fait de ses responsabilités traditionnelles, la DRH de l’entreprise serait la mieux qualifiée pour assurer le niveau de qualification générale de l’organisation en matière de cybersécurité. En effet, elle peut, dès la phase de recrutement, intégrer des paramètres de culture cybersécurité en fonction des profils. Par ailleurs, la DRH étant responsable des programmes de formation des employés, c’est elle qui est la plus à même d’assurer l’actualisation constante de leur savoir en matière de cybersécurité (et ce par le biais de méthodes aussi pédagogiques que possible, comme les tests). Pour cela, la création d’une structure d’échange renforcée entre la DRH et la RSSI peut permettre de garantir la concordance des programmes de formation aux réalités du terrain. Pour finir, la DRH (en lien avec les services juridiques) est la plus à même d’assurer la responsabilisation et la pénalisation des collaborateurs contrevenants aux règles de sécurité en vigueur au sein de l’organisation. Elle doit pour cela participer à l’écriture et à la mise à jour de ces dernières tout en s’assurant qu’elles soient régulièrement portées à la connaissance des collaborateurs.
Dans un monde idéal, tous les collaborateurs d’une entreprise seraient responsables et qualifiés en matière de cybersécurité. Si tel était le cas, l’entreprise pourrait-elle leur accorder toute confiance ? Pour Sébastien Viou, « la confiance n’exclut pas le contrôle. Elle pourrait avoir confiance en leur bonne foi, mais pas en leur infaillibilité. Même s’ils venaient à tous respecter les règles d’hygiène numérique, le risque zéro n’existerait pas. La plus prudente des personnes, parfois même un expert en cybersécurité, peut se faire avoir ». Une analyse renforcée par l’essor du cloud computing ou des modes d’organisation intégrant le télétravail ou le BYOD. Dans ce contexte, les entreprises ne peuvent plus partir du principe que ce qui existe à l’intérieur de leur périmètre informatique est absolument digne de confiance. Et elles sont de plus en plus nombreuses à adopter le concept de Zero Trust. En effet, d’après une étude rapportée par IT SOCIAL, 90% des entreprises répondantes se penchent sérieusement sur cette approche holistique qui a pour objet de faire évoluer le concept de périmètre en n’accordant aucune confiance par défaut à quiconque dans ou en dehors du réseau de l’organisation. Pourtant, pour Joseph Graceffa, le Zero Trust « n’est ni plus ni moins qu’un énième terme marketing ». Le Président du CLUSIR Nord de France rappelle que bien que le terme soit de plus en plus employé, il s’agit surtout d’une « mise à jour des procédés de Network Access Control [NAC] désormais appliqués à toutes les ressources IT (applications, postes informatiques, etc.). Mais que les RSSI et spécialistes de la cybersécurité connaissent depuis plus de 20 ans ». Dans tous les cas, l’application étendue d’une approche Zero Trust est une transformation qui pourrait être extrêmement longue, en particulier pour des entreprises exploitant un patrimoine IT hérité et cloisonné. La mise en œuvre de cette approche semble donc devoir s’effectuer de manière graduelle.
La cybersécurité n’est donc pas seulement une affaire de moyens. Face à l’essor des cyberattaques, il ne fait plus aucun doute que l’humain est le principal vecteur de risque. Il est ainsi primordial que l’entreprise forme, sensibilise, et pour finir responsabilise les collaborateurs qui la composent. Car si elle est responsable d’eux, ils sont autant responsables d’elle.