Cybersécurité et facteur humain

On ne le répétera jamais assez, les risques sur le système d’information vont croissant et la pression de la cybercriminalité s’élève de façon exponentielle.

Mais on répète un peu trop qu’il faut durcir les mots de passe, verrouiller les sessions, mettre à jour les antivirus, etc …

Si bien qu’à force de le répéter, on n’est plus écouté et on ne fait finalement qu’aggraver le problème.

J’ai eu l’occasion de le constater encore récemment, lors de sessions de formation que j’ai animées dans une belle PME industrielle.

Je programme régulièrement ces formations chez nos clients où j’occupe la fonction de RSSI externalisé afin de maintenir le niveau de vigilance et la capacité sécuritaire des salariés face aux menaces sur le système d’information.

C’était la première fois que je proposais cette intervention au sein de cette entreprise et, comme souvent, certains participants étaient venus un peu à reculons, convaincus que j’allais encore leur rebattre les oreilles des mesures de sécurité et fatigués d’entendre toujours le même discours.

A l'occasion de ces modules, pour rompre les habitudes, j’ai fait le choix de leur parler de cybersécurité sans jamais parler technique, ni même informatique.

Pendant ces séances, nous n’avons fait que parler d’eux et de leur quotidien. Parce que le maillon essentiel de la sécurité des systèmes d’information ou de tout autre chose, c’est bien eux. C’est ce fameux facteur humain, souvent cité mais tout aussi souvent ignoré.

Celui pour qui on rédige des procédures standardisées sans y intégrer le fait qu’il n’est pas lui-même standardisé, celui à qui l’on impose un comportement sans tenir compte de ses spécificités, de sa diversité et de ses capacités cognitives. Celui par lequel passent 90 %, pour ne pas dire 100%, des attaques réussies.

Nous avons abordé la réalité des comportements humains face à la menace : biais perceptifs et cognitifs, variabilité émotionnelle, méthodes manipulatoires des intrus (arnaque au président, phishing, …). Nous avons évoqué ces moments, nombreux, où la rationalité laisse la place à l’émotionnel et entraîne des écarts à la décision optimale. Et surtout nous avons vu à quel point il est facile d’éviter ces pièges une fois qu’on a appris à les identifier.

On parle trop technique à des interlocuteurs qui ne sont pas techniciens et on oublie trop facilement qu’on peut traiter 90 % du problème en facilitant l’implication et la prise de conscience, juste en parlant aux gens d’eux-mêmes.

J’ai eu le plaisir de voir les visages s’ouvrir, les téléphones regagner les sacoches, et les regards se tourner vers nos échanges, puis de recueillir les retours très positifs sur ces enseignements qui ont changé leur perception de la cybersécurité et leur ont permis de prendre conscience de la réelle importance de leurs comportements dans la chaîne de sécurité.

Le facteur humain est la clé, ne le ramenons pas à quelques mesures techniques. Parlons d’eux-mêmes aux utilisateurs, pas de la longueur des mots de passe ou des statistiques du phishing. Nous aurons alors, en peu de temps, réellement amélioré le niveau de protection de l’entreprise.

Olivier DEBROSSE