Pour que l’utilisateur devienne le maillon fort
En matière de sécurité, l’utilisateur est souvent identifié comme le problème qui réside entre la chaise et l’écran. Jusqu’à présent, les différentes tentatives pour le responsabiliser ou l’impliquer dans ce domaine ont fait chou blanc. Ne peut- il pas devenir la réponse au problème et le maillon fort de la sécurité ?
C’est à la fois une idée reçue et une évidence. L’utilisateur est à la fois l’imprudent qui clique là où il ne faut pas mais aussi le premier rempart face à des attaques. Certains sont d’ailleurs particulièrement ciblés, ce sont des « VIP users » . Par leur position dans l’entreprise, leurs relations ou les systèmes auxquels ils peuvent accéder, ils sont une porte d’entrée idéale. Avec les changements induits par le travail à distance et l’impréparation de beaucoup d’entreprises à cette nouvelle organisation du travail, l’utilisateur a été souvent un peu laissé à luimême avec pour simple rempart une connexion « chiffrée » pour accéder à distance aux applications de l’entreprise ajoutée à un antivirus. C’est souvent largement insuffisant face à la force de frappe des attaquants de tous poils qui sévissent sur Internet. Il y a bien des politiques de sensibilisation dans les entreprises, mais elles semblent insuffisantes face à la recrudescence des attaques. Il convient donc de passer un cran plus haut. Certaines entreprises ont mis en place des sessions de formation à la cybersécurité pour les utilisateurs. Dans le domaine, de nombreuses sociétés ont créé des supports en e- learning pour former les collaborateurs aux bonnes pratiques de la cybersécurité.
Hygiène cyber
Ainsi, Oeilpouroeil Créations a mis au point différents modules de formation expliquant comment concevoir un mot de passe fort et gérer ses mots de passe, ou reconnaître un phishing. Le programme se compose de six modules de 5 minutes explicatifs à suivre sur son PC ou sur le terminal utilisé. Le prix est de 60 € HT par apprenant avec un prix dégressif tombant à moins de 0,5 € pour plus de 50 000 utilisateurs.
Cet éditeur n’est pas seul, Orsys, Olfeo ont développé des produits similaires.
L’anssi ( Agence nationale pour la sécurité des systèmes d’information) a développé un Mooc, Secnum Edu, apportant les bonnes pratiques d’hygiène cyber à adopter. Le portail Cybermalveillance. gouv. fr apporte aussi son lot de conseils et de documents pour mettre en place des programmes de sensibilisation et de formation. Articles, fiches pratiques, mémos, BD, sont là pour aider les entreprises à former leurs collaborateurs. L’avantage de ces outils, comparativement à des sessions de formation classiques, reste que l’utilisateur peut avancer à son rythme et assimiler les notions dans de meilleures conditions que lors de sessions en présentiel sur quelques heures ou le trop plein d’informations reçues et le peu de pratique immédiate après la
formation fait que ce qui est appris est vite oublié ou n’est pas appliqué sur le long terme.
Autre variante de ce type de formation en ligne, le serious game, ou jeu formant les utilisateurs aux différents éléments de cybersécurité sous une forme ludique, une manière d’ailleurs souvent plus efficace qu’un défilé de slides devant un public plus ou moins attentif. Dans ce domaine du jeu, il est possible aussi de créer de l’émulation et des défis ou de ressouder des équipes autour de ces problématiques.
Tester pour former
Certaines entreprises ou institutions vont plus loin et testent comment réagissent les utilisateurs face à une menace, un phishing par exemple. L’utilisateur se trouve ainsi face à des cas réels qu’il peut retrouver dans son travail quotidien. Mailinblack vient de sortir un outil de ce type en version beta, Phishing Coach. Il a été conçu en collaboration avec une centaine de clients qui ont eu accès au logiciel en pré- annonce. Le collaborateur reçoit un message venant en apparence d’un service ou d’une entité connue, lui demandant des informations confidentielles ou personnelles. Ce message est une tentative de phishing – forme de cyber- attaque la plus fréquente. Il est ensuite redirigé vers une page de sensibilisation qui récapitule la nature du test et sensibilise l’utilisateur aux bonnes pratiques. L’outil s’appuie sur les dernières avancées en neurosciences pour créer cette formation par le test par l’échec. Campagnes fictives d’entraînement basées sur L’IA, adaptative learning, emotion tracking sont aujourd’hui les innovations clefs à suivre en cybersécurité pour remettre l’humain au centre des processus de sécurité et abaisser le nombre d’erreurs ou de mauvais comportements des utilisateurs.
Un coach pour repérer le phishing
Dans la même veine Vade Secure, un éditeur spécialisé dans la sécurité des mails a lancé Threat Coach. Le logiciel propose un « coach » pour alerter l’utilisateur lorsqu’il adopte un comportement dangereux, par exemple en ouvrant un mail de phishing ou en cliquant sur un lien malveillant, et lui propose automatiquement une courte formation adaptée et interactive. Le contenu est personnalisé et basé sur la marque usurpée dans le mail malveillant, ce qui rend les utilisateurs davantage susceptibles de mémoriser la formation et ainsi éviter de reproduire leur erreur. En utilisant les données recueillies et analysées au sein d’un milliard de boîtes mails, Vade Secure est en mesure de générer et d’adresser automatiquement des modules très courts de formation utilisant des échantillons des dernières menaces identifiées. Les formations portent ainsi sur des exemples réels, adaptés à l’utilisateur et au contexte du mail malicieux. La solution peut être utilisée en prévention pour des formations actualisées vers les employés. Les modules sont courts et ne dépassent pas les deux minutes. Ils se concentrent sur les éléments que le non- spécialiste peut détecter par lui- même : l’analyse de L’URL et la vérification de l’expéditeur.
Threat Coach est disponible pour les utilisateurs de Vade Secure for Microsoft 365 sans coût supplémentaire pour les clients de cette solution. L’utilisateur n’est donc plus forcément le maillon faible de la sécurité et peut, via des programmes adaptés, devenir le réel premier rempart de la sécurité… si l’entreprise le veut vraiment ! ✖