Jean-Francois Beauzel

Mais quel(le) ******, pourquoi il(elle) a cliqué dessus…

Cette phrase, combien de fois je l’ai entendue, et parfois utilisée. Des histoires d’utilisateurs qui ont ouvert un lien, un fichier ou une archive contenant une charge virale, nous en avons tous entendu ou vécu.

Mais prenons les choses sous un angle différent, pourquoi n’aurait-il pas dû cliquer? Après tout, ce qui est naturel pour un professionnel de l’IT, et a fortiori un expert en sécurité, est-ce si naturel que cela pour un utilisateur ? La question se pose réellement, car comment pouvons nous reprocher à un utilisateur d’être tombé dans le piège d’un phishing si nous n’avons pas pris la peine de former les gens, de communiquer sur le sujet. Après tout, il connait l’expéditeur, qui lui a souvent envoyé des fichiers Word ou PDF, alors pourquoi cette fois-ci il n’aurait pas dû ?

C’est comme faire offrir le petit déjeuner a un(e) collègue, en envoyant un email parce qu’il n’a pas verrouillé sa session, c’est devenu un sport de bureau, mais qu’en est-il de la perception du risque? Du vol de donnée(s) ? “Mais je ne me suis absenté(e) qu’une minute, tu n’aurais pas pu voler grand chose” ou le, “Non, mais je t’ai vu approcher du clavier”.

Pour qu’il y ait une vraie prise de conscience des employés, il est indispensable de faire des campagnes de communication et de sensibilisation régulières. Mais surtout de s’assurer que le message ne reste pas une consigne incomprise, en mettant en avant des exemples de cas concrets qui sont redoutés. Même sans entrer dans les détails, une démonstration de prise en main d’un poste, ou de déploiement d’un malware, peut permettre aux utilisateurs de mieux appréhender la menace et le risque qui en découle.

Au-delà de la prévention, prendre le temps de discuter avec un utilisateur dont le poste a été compromis, comprendre ce qu’il a fait, lui expliquer son erreur et ce qu’il s’est passé est, de ma propre expérience, réellement bénéfique. Expliquer plutôt que de stigmatiser, cela peut transformer un utilisateur imprudent en un ambassadeur de la sécurité auprès de ses collègues.

Une campagne de sensibilisation ne coûte qu’une fraction des sommes investies annuellement dans l’implémentation et le maintien en condition opérationnelle de vos outils de sécurité. Alors la prochaine fois que vos mécanismes de défenses seront mis à mal par un utilisateur inconscient de la menace, demandez-vous si vous avez investi correctement pour le sensibiliser.

Si le sujet vous intéresse, n’hésitez pas à nous contacter pour en discuter :
contact@idna.fr
aurore.malpel@idna.fr

Articles associés

Ransomware, sont ils inéluctables?

24 mars 2020
Une municipalité, un hôpital, une chaîne de télévision, un constructeur automobile, un groupe de lingerie et un fabriquant de charcuterie, aucun rapport a priori ? Eh bien le dénominateur commun est qu’ils ont tous été victimes d’une attaque par ransomware et ont vu tout ou partie de leurs services paralysé, ou a minima fortement perturbé, […]

Réseau et Sécurité, amalgame pour un échec

9 janvier 2020
Certains penseront que je suis parfois un peu négatif, ceux qui me connaissent savent que ce n’est pas totalement faux, mais le raccourci réseau = sécurité perdure encore et ce pour le meilleur, mais surtout pour le pire. Certes, et je suis le premier à le dire, maîtriser totalement les flux entrant et sortant de […]
Partager cet article
Derniers articles

La continuité d’activité face à la pandémie

  Le Coronavirus ou COVID-19, qui touche une grande partie des pays en ce moment, met à l’épreuve les services informatiques et les infrastructures de toutes les sociétés. Les Plans de Continuité d’Activité (PCA), quand il y en a !, sont tous testés grandeur nature actuellement, et parfois dans une situation non prévue, ou dont la […]

Ransomware, sont ils inéluctables?

Une municipalité, un hôpital, une chaîne de télévision, un constructeur automobile, un groupe de lingerie et un fabriquant de charcuterie, aucun rapport a priori ? Eh bien le dénominateur commun est qu’ils ont tous été victimes d’une attaque par ransomware et ont vu tout ou partie de leurs services paralysé, ou a minima fortement perturbé, […]

Sécurisation des accès réseaux, un enjeu majeur pour les entreprises

Les entreprises d’aujourd’hui sont confrontées à une croissance exponentielle du nombre d’équipements interconnectés au sein de leurs réseaux informatiques : Téléphone IP, switches, routeurs,  PC de bureau, ordinateurs portables, photocopieurs, caméras IP, des objets IoT (l’Internet des objets), équipements de visioconférences, ainsi qu’une multitude de mode d’accès à leurs réseaux internes qu’il faudra sécuriser, allant […]

to be or not to be ?

La haute disponibilité est un enjeu important pour les infrastructures informatiques. Une étude de 2007 estime que la non-disponibilité des services informatiques peut avoir un coût de 440 000 euros de l’heure Lors de la construction d’un Datacenter, l’infrastructure est conçue en tenant compte de cet enjeu ; les architectes IT doivent pouvoir concevoir leurs […]