L'individu au sein de l'environnement IT

La principale faiblesse de toute infrastructure réseau est sans doute la composante humaine. Que ce soit par des actions malhabiles, un manque de formation ou de comportement de cyberhygiène, l’humain joue un rôle responsable dans près de 90% des attaques subies par les entreprises. Il est donc essentiel pour l’entreprise de parvenir à réduire ce taux d’implication, cela nécessite notamment de bien cerner les différents niveaux de responsabilité des employés.La distinction entre menace et vulnérabilité est relativement sensible.

Afin de l’illustrer, on va partir d’un exemple populaire : imaginez une maison qui représente votre entreprise, cette maison peut faire face à différentes menaces comme une tempête, un incendie ou encore une intrusion. Face à cela, votre maison comporte certaines vulnérabilités, tel une porte et des fenêtres, une structure en bois ou une absence de verrou.

L’objectif pour l’entreprise est de réduire le risque qu’une menace puisse exploiter une vulnérabilité et se transformer en événement réel entraînant une perte pour l’entreprise. Pour ce faire, il faut comprendre le double rôle que peut avoir l'employé dans une cyberattaques, à la fois celui de menace et celui de vulnérabilité.

L’employé comme menace

Tout employé est catégorisé, de par sa position, comme une menace interne pour l’entreprise. Une menace interne représente le risque qu'un employé de l'entreprise soit directement la source d'une vulnérabilité informatique. À noter que le nombre de menaces internes augmente parallèlement à la taille de l’entreprise et à son nombre d’employés.

L'employé à l'origine d’une menace est catégorisé différemment en fonction du degré d'intentionnalité dans l'acte commis. Dans le cas où l'employé agit de façon volontaire pour nuire à l'entreprise, on le définit comme un employé malveillant. Au contraire, si celui-ci n'est pas conscient de son acte et du fait qu'il ouvre une brèche dans la sécurité de l'entreprise, alors on le définit comme un employé malhabile ou négligent. Les actes commis par un employé malveillant ont souvent plus de conséquences pour l’entreprise, celui-ci ayant déjà accès au réseau informatique.

Les menaces internes ne sont pas les plus fréquentes, elles représentent 20% des sources directes d'attaques, cependant leur coût pour l'entreprise est largement supérieur que lors de menaces externes. En effet, c’est un total de près de 15 millions de dollars qui ont été déboursés en 2022 par les entreprises à la suite de menaces internes, soit une augmentation d’un tiers par rapport à 2021. On souligne aussi que sur toutes les menaces internes référencées, 56% sont causées par négligence contre 26% de façon malveillante.Ces chiffres font donc de l’employé une menace évolutive et suffisamment conséquente pour être prise en compte pour les entreprises.

L’employé comme vulnérabilité

Les vulnérabilités liées aux facteurs humains regroupent les vulnérabilités causées par la faute d’une erreur humaine, qu’elles soient techniques ou comportementales. Ces vulnérabilités concernent tant nos employés que ceux employés chez les partenaires d’affaires, et tout comme les menaces internes, on peut diviser le facteur humain en deux grandes catégories : l’utilisateur malhabile et l’utilisateur malveillant.

Chaque employé développe des comportements propices à chaque situation, parmi eux on peut citer l’ignorance ou la naïveté liée à un manque de sensibilisation aux risques informatiques. La routine est un autre facteur qui fait oublier la présence constante de menace et pousse à développer des comportements négligents et insouciants. L'élément humain est un facteur clé dans plus de 80% des brèches. En effet, les pirates informatiques n'hésitent pas à employer des méthodes de piratages psychologiques de plus en plus sophistiqué afin de parvenir à leur fin.

Les vulnérabilités liées aux facteurs ne concernent pas exclusivement ce qui est lié à la nature humaine. On peut prendre notamment pour exemple des erreurs dans la programmation d’un outil ou dans son utilisation qui pourrait ouvrir la porte à des menaces pour l’entreprise. Ce facteur s'est particulièrement accru avec l’utilisation de plus en plus fréquente des clouds, dont l'interprétation des responsabilités et la configuration sont souvent mal connues des employés.

Concernant le développement de comportements malveillants, celui-ci tire souvent ses racines de la nature humaine complexe. On peut citer l’avidité, les valeurs éthiques ou le sentiment de pouvoir comme origine au développement de vulnérabilités malveillantes. Par exemple, les incidents tels que le vol ou la perte d’actifs informationnels, qui constituent les attaques les plus préoccupantes pour une entreprise, sont causées à 94% par la faute d’un employé en interne. Ainsi, toute entreprise doit constamment surveiller ses employés sur un potentiel abus relatif aux accès autorisés, à un système ou à un endroit physique.

Finalement, l’accès au télétravail augmente les possibilités de jouer sur le facteur humain pour un hacker, notamment car la mobilité accroît fortement la surface vulnérable de l’entreprise.

Recommandations aux entreprises

Il est donc capital de se questionner sur les différentes responsabilités que peuvent avoir les employés dans le déploiement d’une politique de cybersécurité et comment faire pour réduire le taux de responsabilité des employés quand ceux-ci se situent à tous les échelons opérationnels d’une entreprise.

La composante humaine ne pourra jamais être totalement exclu d’un processus ou d’une entreprise, cependant certaines mesures, dépendamment de la taille de votre structure, permettront sans aucun doute d’élever votre niveau de sécurité en réduisant les failles potentielles, notamment :
- Déployer une politique de sécurité avec des responsabilités clairement définies.

- Mettre en place un programme de formation et de sensibilisation de ses employés, accompagné de tests réguliers et du suivi des performances à l’aide d’indicateurs.

- Contrôler les accès (Network Access Control - NAC), en limitant chaque employé aux usages unique nécessaire à sa fonction.

- Contrôler la sécurité physique avec les objectifs de dissuader, détecter, ralentir et empêcher.

- Protéger l’accès aux données avec des logiciels de sécurité intégré (VPN, firewall, filtrage web, chiffrement, etc.).
Une entreprise doit minimiser les vulnérabilités de son organisation en mettant en place les bons moyens de protection ainsi qu’une politique de sécurité se déployant en parallèle des activités opérationnelles. Un grand nombre d’employés ne sont pas quotidiennement concernés par la sécurité informatique, les sensibiliser est donc essentiel à la sécurité des actifs informationnels.

En parallèle de la gestion de vos employés, il faut donc vous assurer de la fiabilité et la sécurité de tous vos autres composants, notamment en réduisant au maximum tous les autres types de vulnérabilités. C’est dans cette partie que Devantis peut intervenir en vous proposant différents services informatiques comme la mise en place et la gestion de votre réseau, de vos routeurs ou le déploiement et la configuration de vos pare-feu.
Wifi as a Service (WaaS)

Wifi as a Service
(WaaS)

Voix sur IP (VoIP)

Voix sur IP
(VoIP)

Log Management

Log Management

Managed Routers (RaaS)

Managed Routers
(RaaS)

Managed Routers (RaaS)

Global Network Management

Managed Firewalls (FWaaS)

Managed Firewalls
(FWaaS)

Nos services