Le rôle de l'erreur humaine dans la réussite des brèches de cybersécurité

Il n'y a pas une seule personne au monde qui ne fasse jamais d'erreurs. En fait, faire des erreurs est une partie essentielle de l'expérience humaine - c'est ainsi que nous grandissons et apprenons. Pourtant, dans le domaine de la cybersécurité, les erreurs humaines sont bien trop souvent ignorées.

D'après une étude de IBM, l'erreur humaine est la cause principale de 95% des brèches de cybersécurité. En d'autres termes, si l'erreur humaine était entièrement supprimée, 19 brèches de sécurité sur 20 n'auraient peut-être pas eu lieu du tout !

Alors, pourquoi l'erreur humaine est-elle à l'origine de tant de brèches et pourquoi les solutions existantes n'ont-elles pas permis d'y remédier ? Examinons l'histoire de l'erreur humaine et ce que vous pouvez faire pour améliorer le cyber comportement des employés dans votre organisation.

Qu'est-ce que l'erreur humaine en matière de sécurité informatique ?

Lorsque l'on parle d'erreur humaine en matière de cybersécurité, le sens de ce terme est légèrement différent de son utilisation en termes plus généraux.

Dans un contexte de sécurité, l'erreur humaine signifie des actions non intentionnelles - ou l'absence d'action - de la part des employés et des utilisateurs qui provoquent, propagent ou permettent qu'une brèche de sécurité se produise. 

Cela englobe une vaste gamme d'actions - du téléchargement d'une pièce jointe infectée par un malware à la non-utilisation d'un mot de passe fort - ce qui explique en partie pourquoi il peut être si difficile d'y remédier.

Avec nos environnements de travail toujours plus avancés et compliqués, nous utilisons un nombre croissant d'outils et de services - et nous avons des noms d'utilisateur et des mots de passe et d'autres choses à retenir pour chacun d'entre eux. Tout cela s'additionne, et lorsqu'ils ne disposent pas de solutions alternatives et sûres, les employés commencent à prendre des raccourcis pour se faciliter la vie.

Comme si cela ne suffisait pas pour que les utilisateurs finaux luttent pour prendre les bonnes décisions, ils doivent également faire face à la menace constante des cybercriminels qui affectent leur prise de décision. L'ingénierie sociale joue un rôle croissant dans tous les types de brèches de sécurité, et est utilisée pour exploiter la capacité des employés à remettre des données ou des informations directement entre les mains de personnes malveillantes sans qu'ils aient à écrire une seule ligne d'un programme malveillant ou d'un logiciel d'exploitation.

employee with coffee and tablet making an error

Types d'erreurs humaines

Si les possibilités d'erreur humaine sont presque infinies, elles peuvent être classées en deux grandes catégories : les erreurs liées aux compétences et les erreurs liées aux décisions. La différence entre ces deux types d'erreurs tient essentiellement au fait que la personne possède ou non les connaissances requises pour effectuer l'action appropriée.

Erreurs liées aux compétences

L'erreur humaine basée sur les compétences est constituée de lacunes et de défaillances : de petites erreurs qui se produisent lors de l'exécution de tâches et d'activités quotidiennes. Dans ces scénarios, l'utilisateur final sait ce qu'il faut faire, mais ne le fait pas en raison d'une maladresse, d'une erreur ou d'une négligence temporaire. Ces erreurs peuvent se produire parce que l'employé est fatigué, qu'il ne fait pas attention, qu'il est distrait ou qu'il a un bref trou de mémoire.

Erreurs de décision

On parle d'erreurs de décision lorsqu'un utilisateur prend une décision erronée. Plusieurs facteurs peuvent jouer un rôle dans ce cas : souvent, l'utilisateur n'a pas le niveau de connaissances nécessaire, il n'a pas assez d'informations sur les circonstances spécifiques, ou il ne se rend même pas compte qu'il prend une décision par son inaction.

Réduire l'erreur humaine grâce à une formation efficace en matière de sensibilisation à la sécurité.

Découvrez comment usecure aide les entreprises à adopter un comportement sûr grâce à une formation de sensibilisation à la cybersécurité intelligemment automatisée - que vos employés adoreront.



Téléchargement gratuit

Le guide de lancement d'une formation efficace à la
sensibilisation à la cybersécurité

Le guide de lancement dune formation efficace à la cybersensibilisation

Téléchargez »



 

Exemples d'erreurs humaines dans les entreprises

L'erreur humaine peut compromettre la sécurité de votre entreprise d'un nombre presque infini de façons différentes, mais certains types d'erreurs se distinguent par leur fréquence plus que d'autres. Examinons quelques-unes de ces erreurs très courantes.

Erreur d'envoi

Les erreurs d'envoi - les envois de quelque chose à un mauvais destinataire - sont une menace courante pour la sécurité des données des entreprises. Selon le rapport 2018 de Verizon, les erreurs d'envoi sont la cinquième cause la plus fréquente de toutes les brèches de cybersécurité. De nombreuses personnes utilisent des fonctionnalités telles que la suggestion automatique dans leurs clients de messagerie. Il est donc facile pour n'importe quel utilisateur d'envoyer accidentellement des informations confidentielles à la mauvaise personne s'il ne fait pas attention. 

an employee firing off emails from their mobile phoneL'une des plus graves brèches dans les données causées par l'erreur humaine a été la révélation, par un cabinet du NHS (sécurité sociale anglaise), des adresses électroniques (et donc des noms) de plus de 800 patients qui s'étaient rendus dans des cliniques VIH. Comment l'erreur s'est-elle produite ? L'employé qui envoyait une notification par courrier électronique aux patients séropositifs a accidentellement saisi leur adresse électronique dans le champ "to", plutôt que dans le champ "bcc", exposant ainsi leurs coordonnées les unes aux autres. Il s'agit d'un exemple classique d'erreur de compétence, car l'employé connaissait la marche à suivre, mais n'a tout simplement pas pris suffisamment de précautions pour s'assurer qu'il faisait ce qu'il avait l'intention de faire.

Problèmes liés au mot de passe

Les humains et les mots de passe ne s'entendent tout simplement pas. Les données du rapport 2019 du Centre national de la cybersécurité donnent une image désastreuse : 123456 reste le mot de passe le plus populaire au monde, et 45 % des personnes réutilisent le mot de passe de leur compte de messagerie principal sur d'autres services. En plus de ne pas créer de mots de passe solides et uniques, les utilisateurs non formés commettent de nombreuses autres erreurs de mot de passe, notamment en écrivant les mots de passe sur des post-it sur leur écran ou en les partageant avec des collègues.

Patching, ou correctif

Les cybercriminels sont constamment à la recherche de nouveaux failles dans les logiciels. Lorsque des failles sont découverts, les développeurs de logiciels se précipitent pour corriger la vulnérabilité et envoyer le correctif à tous les utilisateurs avant que les cybercriminels ne puissent compromettre d'autres utilisateurs. C'est pourquoi il est essentiel que les utilisateurs installent les mises à jour de sécurité sur leurs ordinateurs dès qu'elles sont disponibles. Malheureusement, le plus souvent, les utilisateurs finaux retardent l'installation des mises à jour - et avec des résultats désastreux.

a computer taken over by ransomwareL'attaque par ransomware du logiciel WannaCry en 2017 a touché des centaines de milliers d'ordinateurs dans le monde entier, causant des millions de dollars de dommages aux entreprises et aux organisations. Pourtant, la faille utilisé par l'attaque, baptisé "EternalBlue", a été corrigé par Microsoft des mois avant que les attaques n'aient lieu. Si les ordinateurs touchés avaient simplement téléchargé et installé la mise à jour de sécurité, ils n'auraient jamais été compromis.

 

Erreurs de sécurité physique

Si les brèches de données sont le plus souvent attribuées à des cyberattaques, les entreprises sont également exposées à des menaces physiques. Les informations confidentielles et les références peuvent être volées ou consultées par des personnes non autorisées si elles ont accès à des locaux sécurisés. 

Les erreurs de sécurité physique se présentent sous de nombreuses formes différentes, mais l'une des plus courantes consiste à laisser des documents sensibles sans surveillance sur les bureaux, les salles de réunion ou même les bacs de sortie des imprimantes. Toute personne qui accède aux locaux de l'entreprise peut alors simplement récupérer le document sans que personne ne remarque sa disparition.

Une autre erreur de sécurité physique très courante est d'autoriser le "tailgating" (talonnage en français). Il s'agit du cas où une personne non autorisée suit quelqu'un à travers une porte ou une barrière sécurisée, généralement en marchant tout près derrière elle. De nombreux employés trouveront impoli de contester le fait que quelqu'un les suive à travers une porte, ce qui garantit un taux de réussite élevé pour les tentatives de talonnage.

Quels sont les facteurs à l'origine de l'erreur humaine ?

Il existe une grande variété de facteurs qui jouent dans l'erreur humaine, mais la plupart d'entre eux se résument à ces trois éléments : l'opportunité, l'environnement et le manque de sensibilisation.

Opportunité

L'erreur humaine ne peut se produire que lorsqu'elle a la possibilité de le faire. Cela peut sembler évident, mais le fait est que plus il y a de possibilités que quelque chose tourne mal, plus il y a de chances qu'une erreur soit commise à un moment donné.

Environnement

Il existe de nombreux facteurs environnementaux qui peuvent rendre les erreurs plus probables. 

L'environnement physique d'un lieu de travail peut contribuer de manière significative au nombre d'erreurs qui se produisent. Si tout ouvrier de chantier pourra vous dire que les erreurs sont plus fréquentes les jours de grande chaleur ou de froid glacial, ces considérations s'appliquent également aux bureaux. S'il est important de veiller à ce que la température du bureau soit correcte, le respect de la vie privée, le niveau de bruit et la posture sont autant d'éléments qui peuvent contribuer à créer un environnement plus propice aux erreurs.

an employee works in a loud environmentLa culture joue également un rôle important dans les considérations environnementales. Souvent, les utilisateurs finaux connaissent la bonne marche à suivre, mais ne la suivent pas parce qu'il existe une manière plus simple de faire les choses ou parce qu'ils ne pensent tout simplement pas que c'est important. Une culture où la sécurité est toujours reléguée au second plan entraînera une banalisation des erreurs.

Manque de sensibilisation

Une grande partie de l'erreur humaine résulte du fait que les utilisateurs finaux ne savent tout simplement pas quelle est la bonne ligne de conduite à adopter. Par exemple, les utilisateurs qui ne sont pas conscients du risque de phishing sont beaucoup plus susceptibles de tomber dans le piège des tentatives de phishing, et quelqu'un qui ne connaît pas les risques des réseaux Wi-Fi publics verra rapidement ses informations récoltées. Un manque de connaissances n'est presque jamais la faute de l'utilisateur - mais l'organisation doit y remédier afin de s'assurer que ses utilisateurs finaux possèdent les connaissances et les compétences nécessaires pour assurer leur propre sécurité et celle de l'entreprise.

Comment éviter l'erreur humaine dans votre entreprise ?

L'erreur humaine ne peut se produire que lorsqu'il existe une possibilité de le faire, et il est donc essentiel d'éliminer autant que possible les possibilités d'erreur. Dans le même temps, les utilisateurs finaux continueront à commettre des erreurs s'ils ne savent pas quelles sont les bonnes pratiques et quels sont les risques. Pour combler cette lacune, il est essentiel d'aborder l'erreur humaine des deux côtés afin de créer une défense globale pour votre organisation.

Réduire les opportunitiés d'erreurs

La meilleure façon de commencer vos efforts d'atténuation est de modifier vos pratiques de travail, vos routines et vos technologies afin de réduire systématiquement les possibilités d'erreur. Bien que la manière d'y parvenir dépende des activités et des environnements spécifiques de votre entreprise, il existe des lignes directrices communes pour réduire les risques d'erreur humaine.

Contrôle des privilèges : assurez-vous que vos utilisateurs n'ont accès qu'aux données et aux fonctionnalités dont ils ont besoin pour remplir leur rôle. Cela permet de réduire la quantité d'informations qui seront exposées même si l'utilisateur commet une erreur qui entraîne une brèche. 

passwords on post-it notes on a computer monitor

Gestion des mots de passe : comme les erreurs liées aux mots de passe constituent un risque majeur d'erreur humaine, le fait d'éloigner vos utilisateurs des mots de passe peut contribuer à réduire les risques. Les applications de gestion des mots de passe permettent à vos utilisateurs de créer et de stocker des mots de passe solides sans avoir à les mémoriser ou à risquer de les écrire sur des post-it. Vous devriez également imposer l'utilisation d'une authentification à deux facteurs dans toute votre entreprise afin d'ajouter une couche de protection supplémentaire à vos comptes.

 

Changer sa culture

Une culture axée sur la sécurité est essentielle pour réduire l'erreur humaine. Dans une culture de la sécurité, la sécurité est prise en considération dans chaque décision et action, et les utilisateurs finaux rechercheront activement et discuteront des problèmes de sécurité au fur et à mesure qu'ils les rencontreront.

Il y a un certain nombre de choses que vous pouvez faire pour aider à créer une culture de sécurité dans votre organisation.

Encourager la discussion. L'un des meilleurs moyens de s'assurer que la sécurité reste au premier plan est de faire parler d'elle. Proposez des sujets de discussion sur la sécurité et veillez à ce qu'ils soient pertinents pour les activités professionnelles quotidiennes de vos utilisateurs finaux afin qu'ils soient plus enclins à s'engager. Cela les aidera à voir ce que chacun d'entre eux peut faire personnellement pour contribuer à maintenir la sécurité de votre organisation.

Facilitez la possibilité de poser des questions. Dans le cadre du processus d'apprentissage, vos utilisateurs finaux se trouveront probablement dans de nombreuses situations où ils ne sont pas sûrs des implications en matière de sécurité. Dans ces situations, vous préférez qu'ils vous posent des questions, à vous ou à quelqu'un d'autre ayant des connaissances, plutôt que de faire une supposition et de risquer de faire le mauvais choix par eux-mêmes. Veillez à ce que quelqu'un soit toujours disponible pour répondre amicalement aux questions des utilisateurs finaux, et récompensez les utilisateurs qui soulèvent de bonnes questions.

Utilisez des affiches et des rappels. Les affiches et les conseils de sécurité servent de petits rappels pour aider à faire en sorte que vos utilisateurs finaux pensent à la sécurité tout au long de leur journée de travail. Une affiche contenant des informations sur les mots de passe forts permettra, par exemple, aux utilisateurs de voir facilement quelles sont les exigences en matière de sécurité des comptes d'entreprise.

Remédier au manque de connaissances par la formation

S'il est essentiel de réduire les possibilités d'erreur, vous devez également aborder les causes d'erreur sous un angle humain. La formation de vos employés aux principes de base et aux meilleures pratiques en matière de sécurité leur permet de prendre de meilleures décisions, et leur permet de garder la sécurité à l'esprit et de demander des conseils supplémentaires lorsqu'ils ne sont pas sûrs des conséquences d'une certaine action.

Former les employés sur tous les sujets de sécurité essentiels : comme l'erreur humaine peut se manifester de nombreuses manières différentes, il est essentiel de former les employés à un niveau de base sur tous les sujets de sécurité qu'ils peuvent rencontrer dans leurs activités professionnelles quotidiennes. L'utilisation de l'e-mail, d'Internet et des réseaux sociaux, ainsi que le phishing et les logiciels malveillants ne sont que quelques-uns des sujets que la formation doit aborder.

an employee with a secure computerLa formation doit être attrayante et pertinente : vos employés ont une durée d'attention limitée, et vous devez vous assurer que leur formation ne va pas simplement les endormir. Les formations interactives qui utilisent des images et des vidéos sont bien plus efficaces que les sessions PowerPoint d'une heure. La formation ne doit pas non plus se présenter sous la forme de sessions annuelles que vos employés oublieront une semaine plus tard, mais se répéter régulièrement tout au long de leur vie professionnelle sous une forme brève et facilement digérable.




Téléchargement gratuit

Le guide de lancement d'une formation efficace à la
sensibilisation à la cybersécurité

Le guide de lancement dune formation efficace à la cybersensibilisation

Téléchargez »




Les humains ne sont pas forcément le maillon le plus faible

Nous avons commencé cet article avec une statistique effrayante sur le nombre de violations causées par l'erreur humaine - mais il y a une autre façon d'examiner cette statistique. Si 95 % des brèches sont causées par l'erreur humaine, le moindre petit pas vers la réduction de l'erreur humaine peut créer d'énormes gains en matière de sécurité.

L'atténuation de l'erreur humaine doit se faire sous deux angles : la réduction des possibilités et l'éducation des utilisateurs. Moins il y a de possibilités d'erreur, moins vos utilisateurs seront testés pour leurs connaissances - et plus vos utilisateurs ont de connaissances, moins ils risquent de faire une erreur même lorsqu'ils en ont l'occasion. 

L'approche que nous promouvons chez usecure vous encourage à voir votre risque humain sous un autre angle. Bien que les utilisateurs finaux non formés puissent être le maillon faible de la sécurité de votre organisation, des outils et une formation adaptés vous permettent de leur donner les moyens de constituer votre première ligne de défense contre toute attaque ou brèche, protégeant ainsi votre entreprise sur le long terme. 

Pour en savoir plus sur nos programmes de formation à la sensibilisation à la sécurité, intelligemment automatisés et axés sur l'utilisateur, cliquez sur le lien ci-dessous.

Apprendre encore plus »

Réduire l'erreur humaine grâce à une formation efficace de sensibilisation à la sécurité.

Découvrez comment usecure aide les entreprises à adopter un comportement sûr grâce à une formation de sensibilisation à la cybersécurité intelligemment automatisée - que vos employés adoreront.

(Version précédente de l'article écrit par Emma Woods en avril 2019).