Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités
    Avatar de Bruno
    Homme Profil pro
    Enseignant
    Inscrit en
    mai 2019
    Messages
    133
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Enseignant
    Secteur : Enseignement

    Informations forums :
    Inscription : mai 2019
    Messages : 133
    Points : 2 679
    Points
    2 679
    Par défaut La sécurité de l'information doit se concentrer sur le facteur humain
    La sécurité de l'information doit se concentrer sur le facteur humain,
    afin de s'attaquer aux vulnérabilités psychologiques

    L'Homme a souvent été considéré comme le « maillon faible » de la sécurité de l'information. Les organisations ont toujours misé sur l'efficacité des équipements de sécurité informatique au lieu d'essayer de comprendre pourquoi les employés sont susceptibles d'être exposés aux erreurs. Selon le forum pour la sécurité de l'information (ISF), une nouvelle approche s’impose. Une approche qui aidera les organisations à comprendre et à gérer les « vulnérabilités psychologiques », et a adopté des technologies et des contrôles qui sont conçus en tenant compte des ressources humaines.

    « Les responsables en sécurité de l'information devraient mettre l'être humain au centre des questions sur la sécurité informatique. En suite, chercher à comprendre ces vulnérabilités psychologiques et les gérer ». Déclare un membre de l'ISF. Les recherches de l'ISF ont montré que les organisations font des efforts pour gérer les failles de sécurité interne. En effet, les employés d'une entreprise sont susceptibles de commettre des erreurs. Les techniques de sécurité traditionnels s'avèrent de moins en moins efficaces pour prévenir les attaques internes et externes. Les cybercriminels utilisent de plus en plus des attaques ciblées, basées sur l'ingénierie sociale au détriment d’attaques basées sur des logiciels malveillants.

    Nom : Fig1.PNG
Affichages : 788
Taille : 20,4 Ko

    « La sécurité centrée sur les personnes commence par reconnaître que les humains ont des vulnérabilités psychologiques susceptibles d'avoir une incidence sur la prise de décision », déclare Steve Durbin, directeur général d'ISF. « Lors de l’exécution des tâches, les utilisateurs peuvent commettre des erreurs pouvant conduire à des incidents de sécurité, affectant ainsi l'organisation. En comprenant ce qui cause l'erreur humaine et les méthodes psychologiques utilisées par les cybercriminels pour manipuler leurs cibles, les organisations peuvent améliorer la sécurité et concevoir des méthodes de contrôles plus efficaces. Ce qui leur permet d’atténuer le risque d’erreur humaine ».

    Lorsqu'il prend des décisions, l'esprit humain doit traiter une énorme quantité d'informations, mais l'être humain est limité par le temps dont il dispose pour prendre des décisions, ainsi que par la quantité d'informations dont il dispose. Les faiblesses dans la capacité du subconscient humain signifient que les humains recherchent des raccourcis cognitifs pour réduire l'effort que le cerveau humain déploie pendant la prise de décision, en particulier pendant les périodes de forte pression. Ces raccourcis sont connus sous le nom d'heuristique.

    Les heuristiques sont des processus mentaux efficaces qui aident les humains à résoudre des problèmes et à apprendre de nouveaux concepts. Ces processus rendent les problèmes moins complexes en ignorant une partie de l'information qui entre dans le cerveau. L'heuristique est un élément essentiel d'une prise de décision rapide. Les biais cognitifs quant à eux sont des erreurs systématiques de raisonnement qui mènent à des échecs lors de la prise de décisions.

    Nom : Heuristiq.PNG
Affichages : 812
Taille : 20,5 Ko
    Relation entre heuristique, biais cognitifs et erreurs

    La sensibilisation aux vulnérabilités psychologiques et aux techniques utilisées par les pirates pour les exploiter, puis l'adaptation d'une formation de sensibilisation à la sécurité davantage centrée sur l'être humain en fonction des différents groupes d'utilisateurs devraient être des éléments fondamentaux pour améliorer les stratégies de sécurité informatique.

    « Une approche de la sécurité centrée sur l'être humain peut aider les organisations à réduire considérablement l'influence des biais cognitifs qui causent des erreurs. La technologie, les contrôles et les données peuvent être gérés en tenant compte du comportement humain, tandis que l'amélioration de l'environnement de travail peut réduire le stress et la pression », ajoute Durbin. « Une fois la sécurité de l'information comprise du point de vue de la psychologie, les organisations seront mieux préparées à gérer et à atténuer les risques posés par la vulnérabilité humaine. Une sécurité centrée sur l'humain pourrait aider les organisations à transformer leur maillon le plus faible en leur atout le plus fort ».

    Source : ISF

    Et vous ?

    Pensez-vous que cette approche peut être une réponse à la menace sans cesse croissante des techniques d'attaque ?

    Voir aussi :

    L'homme demeure le maillon le plus faible de la sécurité de l'information, selon un nouveau rapport sur la protection des données aux États-Unis

    Les employés et les sous-traitants exposent les informations en ligne dans 98% des organisations, selon un rapport

    Les menaces internes posent les plus grands risques de sécurité dans une entreprise, selon un sondage qui met l'accent sur les employés négligents

    61 % des RSSI estiment que les employés divulguent accidentellement des données de leurs entreprises, selon une enquête
    Bien avec vous.

  2. #2
    Membre chevronné

    Profil pro
    Inscrit en
    janvier 2011
    Messages
    1 776
    Détails du profil
    Informations personnelles :
    Localisation : France, Nord (Nord Pas de Calais)

    Informations forums :
    Inscription : janvier 2011
    Messages : 1 776
    Points : 1 908
    Points
    1 908
    Par défaut
    Les "truands du web" on va dire les "black hackers" . Ceux qui ont des intérêts vraiment malhonnêtes ont plusieurs possibilités à leur fin :

    * siphonner des BDD avec de la donnée personnelle pour savoir "qui attaquer"
    * siphonner des données sur des process/méthode pour avoir une connaissance du "fonctionnement"

    Ils disposent du phishing, ingénieurie sociale ... Bref souvent de quoi leurrer les systèmes et ont une longueur d'avance pour contourner des barrières.

    Ajoutez à cela une communication omnicanal qui est pire qu'un tsunami, même une personne avertie peut se faire avoir au vu du nombre de sollicitations qu'elle reçoit. Sinon une mesure plutôt efficace. Tout ce qui est "douteux" est automatiquement à éjecter ... quitte à éjecter du "faux positif". C'est dommage d'en arriver dans ce type de situation extrême , mais parfois c'est le prix à payer pour être "tranquille".

    Au plus l'humain est sollicité au plus le risque d'erreur grandit. Un humain n'est pas une machine ...

Discussions similaires

  1. Réponses: 16
    Dernier message: 28/05/2011, 11h52

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo