Dans ce monde toujours plus numérique, la cybersécurité est plus importante que jamais. Pourtant, les solutions à caractère purement technologique en matière de cybersécurité sont appelées à échouer. Des études récentes montrent que près de 90 % des atteintes à la protection des données résultent toujours d’une erreur humaine. Ce phénomène s’explique par le fait que la posture de sécurité de nombreuses organisations ne prend pas en compte le comportement humain. Les cyberassurances peuvent recommander plusieurs contrôles à leurs clients, notamment l’authentification multifactorielle (MFA), la détection et la réponse aux points de terminaison (EDR) et les sauvegardes non-modifiables, aussi dites « immuables ». Cependant, les organisations ne devraient pas investir uniquement dans des technologies afin de contourner les failles. Pour protéger les entreprises contre les brèches de données, il devient de plus en plus important de se concentrer sur le changement de comportement des utilisateurs.
Étant donné que les brèches sont largement basées sur l’utilisateur, les organisations doivent investir dans leurs collaborateurs humains. Munis d’un encadrement efficace en matière de sensibilisation, les employés seront mieux équipés pour faire face aux menaces de cybersécurité.
De nos jours, les organisations se trouvent face à un terrain de sécurité plus complexe et plus évolutif que jamais. Pour répondre à cette situation, nombre d’entre elles se sont tournées vers l’intelligence artificielle (IA) et les processus automatisés pour renforcer leur posture de sécurité. Bien que ces technologies puissent sans aucun doute contribuer à améliorer la sécurité, nous estimons qu’elles ne devraient pas être au cœur de la stratégie de sécurité d’une organisation.
Une prise en compte du comportement humainLa réalité, c’est que la grande majorité des failles de sécurité sont toujours causées par l’erreur humaine. Qu’il s’agisse du fait de cliquer sur un courriel d’hameçonnage ou de négliger les meilleures pratiques, le comportement humain demeure le maillon faible de la chaîne de sécurité de la plupart des organisations. C’est pourquoi nous considérons que les organisations se doivent de se préoccuper de la sensibilisation et de l’amélioration des comportements de sécurité de leurs employés.
Nous participons à plusieurs conférences et événements dédiés à la cybersécurité. Le plus récent d’entre eux était le 8e sommet annuel NetDiligence sur le risque cybernétique, il y a quelques jours à Toronto. Nous étions ravis de rencontrer des leaders du secteur ainsi que des professionnels de la cyberassurance et d’autres intervenants du domaine. Plusieurs échanges avec des experts en responsabilité liée à la protection des renseignements personnels et à la gestion des risques ont également été très éclairants. Les intervenants ont insisté sur l’importance d’investir dans des technologies de sécurité robustes. Nous convenons que de bonnes technologies et des contrôles de sécurité granulaires font bien partie de la solution. En revanche, nous soutenons que la technologie seule n’est pas la réponse appropriée à un problème largement humain.
La technologie seule ne suffit pas à résoudre vos problèmes de sécurité
Les utilisateurs humains sont des vecteurs de vulnérabilité de sécurité, mais ils représentent aussi une source d’opportunités. La problématique elle-même dépend tellement de la conduite des utilisateurs qu’il serait insensé pour les organisations d’investir de manière disproportionnée dans l’IA et d’autres technologies comme approche principale pour y remédier. Rien que pour cette raison, nous estimons que le moment est propice à un tournant dans le mode de pensée. Plutôt que de se concentrer uniquement sur la technologie, il faut également investir dans la posture de sécurité, la résistance à l’hameçonnage et les meilleures pratiques en matière de comportement des utilisateurs. La sensibilisation doit se faire à tous les niveaux de l’organisation pour créer une base d’utilisateurs – et une entreprise – mieux équipée pour faire face aux cybermenaces
Établir une stratégie de sécurité centrée sur l’humain
Les mesures de sensibilisation à la cybersécurité sont essentielles pour que les organisations puissent relever les défis du contexte actuel en matière de sécurité. En formant les employés aux meilleures pratiques et en les sensibilisant aux menaces potentielles, les entreprises peuvent mieux se protéger des bris de données et d’autres incidents de cybersécurité. Les technologies comme l’IA et les processus automatisés peuvent jouer un rôle dans l’amélioration de la sécurité. Mais elles ne peuvent et ne doivent pas être le point focal de la stratégie de sécurité d’une entreprise. Les entreprises devraient se concentrer davantage sur le changement de comportement des utilisateurs et investir dans leurs gens. Grâce à une bonne formation de sensibilisation, les employés pourront mieux faire face aux menaces de cybersécurité. Selon nous, une approche de la sensibilisation des utilisateurs basée sur la participation de ces derniers est plus constructive et plus susceptible d’entraîner des effets bénéfiques à long terme. Et ce, tant pour les individus que pour les organisations dont ils font partie.
À vous de vous exprimer
Où en êtes-vous sur cette question ? Sachant que près de 9 bris de données sur 10 auxquels sont confrontées les organisations sont causés par leurs propres utilisateurs, pensez-vous que celles-ci devraient investir davantage dans les solutions comportementales et de sensibilisation et moins dans les technologies individuelles ? Faites-nous signe
Pierluigi, conseiller principal en solutions chez Awee
Pour plus d’informations sur contact@versalys.com