Discussion :

[Michael Guilloux]

L’erreur humaine est le principal facteur de violation de la sécurité de l’entreprise
Quelles en sont les causes et quelles pratiques adopter ?

Deux nouvelles études réalisées par CompTIA et le SANS Institute sur la cyber-sécurité de l’entreprise confirment ce qui a toujours été dit au sujet des employés : ces derniers sont les premiers à mettre en péril la sécurité de l’entreprise par leurs actions maladroites ou malveillantes.

L’étude de CompTIA révèle que 52% des violations de sécurité sont du fait des employés alors que 48% sont des erreurs sont dues à la technologie de l’entreprise.

Ces résultats sont basés sur une enquête auprès de cadres et experts en informatique des grandes entreprises américaines. Les répondants ont désigné « l'échec de l'utilisateur final à suivre les politiques et procédures » et la « négligence générale » des utilisateurs comme la principale source d’erreur humaine avec une fréquence de 42%. Le manque de formation des utilisateurs traduit par « le manque d'expertise avec les sites Web / applications » est également à la base de 29% des erreurs commises par les employés. Les autres erreurs commises par les utilisateurs (26%) résultent de « l'insuffisance du personnel IT à suivre des politiques et des procédures ».

Si l’étude de CompTIA attribue la majorité des menaces de sécurité venant de l’intérieur à la négligence et au non-respect des procédures et politiques de l’entreprise, l’étude de SANS Institute révèle que les utilisateurs négligents causent plus de problèmes, plus que les employés malveillants, et tous les contractants, clients, partenaires et autres entités affiliées.

Si ces résultats - et de manière générale, la responsabilité des employés dans l’exposition de l’entreprise - ne sont pas nouveaux, des solutions efficaces sont toutefois difficiles à mettre en place.

Dans l’enquête de SANS, 32% des répondants ont dit qu'ils n'avaient pas la capacité d'empêcher un incident ou une attaque venant de l'intérieur. Outre le manque de formation maintes fois cité comme cause, les cadres et experts en informatique interrogés ont également évoqué des questions budgétaires et l’insuffisance de personnel. Et encore, quand ces conditions sont réunies, il reste quand même difficile de s’attaquer aux erreurs humaines. La raison est que les entreprises fondent leur sécurité sur des approches technologiques, alors qu’il n’existe pas vraiment de solutions technologiques pour prévenir les erreurs humaines. D’ailleurs 40% des répondants ont noté ce problème.

C'est également ce que Seth Robinson, directeur principal de l'analyse de la technologie avec CompTIA, a avancé comme explication. Selon lui, la principale raison pour laquelle l’erreur humaine demeure est « l'incertitude sur la façon de s'attaquer au problème, car les approches traditionnelles de sécurité sont fortement basées sur la technologie ».

En ce qui concerne les recommandations traditionnelles telles que la formation et la sensibilisation, il est difficile encore de trouver des indicateurs pertinents pour évaluer leur efficacité. Pour ces raisons, les entreprises mettent la priorité sur les erreurs technologiques sur lesquelles elles peuvent agir efficacement.

« La principale raison pour laquelle les entreprises présentent un niveau de préoccupation bas sur l'erreur humaine, c'est que c'est un problème sans solution évidente », a déclaré le rapport de CompTIA. « Un niveau élevé de préoccupation autour des logiciels malveillants ou piratages peut être traité avec un investissement dans la technologie » alors que ce n’est pas le cas pour les erreurs humaines, indique le rapport.

Comment donc réduire les violations de sécurité provoquées par les employés ?

Au-delà de la formation, certains spécialistes pensent qu’il faudrait agir sur les privilèges accordés aux employés. « Les humains ont toujours été considérés comme les points les plus faibles des chaînes de sécurité informatique - et plus ils ont de privilèges, plus le risque qu'ils représentent pour le réseau d'entreprise est élevé, » a déclaré Peter Gyöngyösi, chef de produit chez BalaBit IT Security. Il suggère que les entreprises déploient des technologies qui étudient les comportements typiques des employés et qui surveillent les anomalies, avec la plus grande attention accordée aux employés avec les privilèges les plus élevés.

Allant dans le même sens, Philip Lieberman, président de Lieberman Software Corp basé à Los Angeles, recommande aux entreprises d’utiliser des outils plus automatisés pour gérer les accès et pour un « suivi continu des risques ». Selon lui, cela peut permettre de détecter l'erreur humaine, réduire les faux positifs, et améliorer la réactivité de l’équipe IT.

Pour d’autres spécialistes par contre, la solution se situe au-delà de l’informatique et une implication des autres services de l’entreprise peut permettre de résoudre ce problème. Selon ces derniers, la prévention et la réponse aux menaces venant de l’intérieur nécessitent également une action des ressources humaines, du service juridique et d'autres services de l'entreprise, et pas seulement l'IT. Les ressources humaines devraient signaler au service IT tout comportement – stress par exemple – chez un employé qui serait susceptible d’augmenter le risque de faute chez ce dernier. Cela permettrait au service informatique de prévenir l’erreur. Le service juridique devrait également appliquer le droit en cas de violation de sécurité au sein de l’entreprise et engager si nécessaire des poursuites contre l’utilisateur en faute.


Source : CSO Online

Et vous ?

Quels sont les facteurs à la base des erreurs humaines ?

Que pensez-vous des solutions proposées

[MikeRowSoft]

Côté administration ou côté analyse programmation ses erreurs ?
Cela va revenir au choix d'un degré de liberté et de responsabilité pour chaque métiers.

[Laurent 1973]

En résumé: "Les failles de sécurités se trouvent entre la chaise et le clavier"

Ou parfois sur un post-it collé sur l'écran contenant l'ensemble des mots de passe d'administration ....

[RyzenOC]

Si l’étude de CompTIA attribue la majorité des menaces de sécurité venant de l’intérieur à la négligence et au non-respect des procédures et politiques de l’entreprise, l’étude de SANS Institute révèle que les utilisateurs négligents causent plus de problèmes, plus que les employés malveillants, et tous les contractants, clients, partenaires et autres entités affiliées.

Sa je pense que tous le monde le savait déjà.

Sa parait logique aussi, un employé négligent a des acces, il peut accéder facilement a des ressources critiques, ce qui est normal, sinon il ne pourrait pas travailler.

Les partenaires/clients et autres ont des accès très limité, ils sont traité comme des invité.

Les pirates, eux si tu sécurise un minimum ton parc, il ne devrait pas trop y avoir de soucis, une attaque et possible, mais rare.

[Paul TOTH]

j'ai toujours pensé que dans le monde du PC il manquait deux notions pourtant pas nouvelles:

1) un environnement multi-niveau, GeoWorks ancien concurrant de Windows 3.x, mort depuis fort longtemps, proposait en standard 3 niveaux d'utilisation: Utilisateur : aucune notion de programme, on ne gère que des documents sans avoir accès à autre chose que le dossier des documents, Pro: accès à la notion de programme mais sans accès au système, Admin: accès total au disque.

2) la notion de droit d'une application: ça existe par exemple sur AS/400, je suis utilisateur, j'ai le droit d'exécuter l'application "Compta", et l'application a elle le droit d'accéder aux données, mais pas moi. Il m'est donc impossible de modifier la compta sans passer par l'application. C'est moins un problème dans le cadre d'une application client/serveur, mais ça reste un problème pour tous les fichiers de configurations locaux de l'application qui sont librement accessibles par l'utilisateur car l'application s'exécuter avec ses droits.

[Saverok]

Que pensez-vous des solutions proposées

Je suis totalement contre le fait d'espionner / surveiller les actions des employés
A un moment donné, il faut qu'il y ait un minimum de confiance dans les 2 sens pour travailler sereinement.

Je pense qu'il faut énormément de pédagogie pour sensibiliser le personnel à la sécu info.
Il est important que les employés comprennent les raisons de ces règles et les conséquences en cas de non respect.
Le discours ne doit pas être exclusivement du ressort de la DSI mais doit concerner l'ensemble des services.
Faire du respect de ces règles un objectif chiffré lors des entretiens RH me paraît être une approche appropriée.

[Paul TOTH]

Je suis totalement contre le fait d'espionner / surveiller les actions des employés
A un moment donné, il faut qu'il y ait un minimum de confiance dans les 2 sens pour travailler sereinement.

Je pense qu'il faut énormément de pédagogie pour sensibiliser le personnel à la sécu info.
Il est important que les employés comprennent les raisons de ces règles et les conséquences en cas de non respect.
Le discours ne doit pas être exclusivement du ressort de la DSI mais doit concerner l'ensemble des services.
Faire du respect de ces règles un objectif chiffré lors des entretiens RH me paraît être une approche appropriée.

La question n'est pas d'espionner ou surveiller, mais de garantir une certaine forme de sécurité. Si l'OS permettait de SandBoxer tout, l'utilisateur serait libre d'installer tout ce qu'il veux sans compromettre la sécurité de l'ensemble.

[Traroth2]

L'erreur humaine est une idée un peu trop vaste pour permettre de qualifier utilement un dysfonctionnement. Quelqu'un qui met son mot de passe sur un post-it collé au mur (une idée qui me vient ENTIEREMENT au hasard ), c'est une erreur humaine. Un admin qui se trompe en configurant un firewall, aussi. Mais en pratique, il n'y a aucun point commun entre les deux situations, dans le sens où on ne pourra pas résoudre les deux problèmes de la même manière.

[NSKis]

"L’erreur humaine est le principal facteur de violation de la sécurité de l’entreprise" ou comment enfoncer des portes ouvertes

Pour info, un défaut quelqu'il soit est toujours à 100% une erreur humaine!!!

Quand ce n'est pas l'utilisateur lambda qui s'est fait "viruser" son poste, c'est l'administrateur système qui a fait une erreur de config ou les développeurs eux-même de l'outils ou de l'operating system qui ont laissé des failles dans leur production

[Matthieu Vergne]

Comment donc réduire les violations de sécurité provoquées par les employés ?

Là je vais me faire des tas de -1, mais j'assume et j'explique. Libre à chacun ensuite de juger.

Pour réduire les violations de sécurité provoquées par les employés, il y a deux solutions :
- soit on réduit le taux de violation par employé
- soit, à taux identique, on réduit le nombre d'employés

Si la première solution n'est pas évidente, la seconde en revanche est généralement facile à mettre en œuvre et peut s'inscrire dans une démarche de progrès visant à délivrer l'Homme du travail au moyen de l'automatisation. Les entreprises sont très friandes aujourd'hui de suppression d'emplois pour des raisons toutes autres, mais j'estime que c'est une bonne chose de nécessiter moins d'emplois dans le cadre d'une modernisation des moyens de production, car cela permet justement un contrôle plus pointu, comme dit dans cet article. On ne saurait reprogrammer un être humain pour corriger ses défaut, et quand bien même on obtiendrait un jour la technologie pour le faire, l'éthique resterait dans le passage. En revanche, on sait déjà faire et on fait déjà cela pour les machines, d'où la facilité de faire face aux violations d'origine technologique.

Et si je dis cela sans sourciller, c'est bien parce que je suis un fervent adepte d'un revenu de base, qui permet justement ce genre de manœuvres sans avoir l'impact négatif que cela aurait avec notre système actuel. Et donc à ce titre, je me permet de souligner à nouveau qu'un revenu de base ne serait donc pas uniquement bien pour le citoyen lambda, mais aussi pour l'employeur potentiel, qui aurait alors la possibilité, en plus de payer moins car l'employé dispose déjà d'un revenu de base, de remplacer autant que possible par la machine là où il l'estimerait nécessaire, tout comme ce qu'on cherchait à faire pendant les 30 glorieuses. Et cela sans se faire taxer de destructeur d'emploi ou autre comme on le fait aujourd'hui. À défaut d'être un point de vue qui fait l'unanimité, il me semble néanmoins que c'est un point de vue cohérent, et comme je le soutiens ici qui permettrait donc, indirectement, de répondre mieux à ces problématiques de sécurité.

[pmithrandir]

j'ai toujours pensé que dans le monde du PC il manquait deux notions pourtant pas nouvelles:

1) un environnement multi-niveau, GeoWorks ancien concurrant de Windows 3.x, mort depuis fort longtemps, proposait en standard 3 niveaux d'utilisation: Utilisateur : aucune notion de programme, on ne gère que des documents sans avoir accès à autre chose que le dossier des documents, Pro: accès à la notion de programme mais sans accès au système, Admin: accès total au disque.

2) la notion de droit d'une application: ça existe par exemple sur AS/400, je suis utilisateur, j'ai le droit d'exécuter l'application "Compta", et l'application a elle le droit d'accéder aux données, mais pas moi. Il m'est donc impossible de modifier la compta sans passer par l'application. C'est moins un problème dans le cadre d'une application client/serveur, mais ça reste un problème pour tous les fichiers de configurations locaux de l'application qui sont librement accessibles par l'utilisateur car l'application s'exécuter avec ses droits.

J'aime beaucoup la notion qui oblige a utiliser une application autorisée pour accéder a certains fichiers.

Le concept est assez bluffant de simplicité, mais à la fois extrémement puissant.

Et on peut comprendre que ca ne plaise pas aux dev, mais en dehors de la phase d'installation de notre ordi, si on fait bien les choses, 95% du temps on agit en utilisateur simple.
Si vous travaillez sur linux, quel pourcentatge du temps avez vous besoin d'être root sur votre poste de travail. moi, environ 2%.
Donc autant garder ca comme quelque chose d'exceptionnel, voir même de demander une autorisation admin pour chaque instalaltion root. (on obtiendrait une autorisation temporaire de 2 heures par exemple, renouvelable autant de fois que nécessaire pour finir l'installation.

[RyzenOC]

Si vous travaillez sur linux, quel pourcentatge du temps avez vous besoin d'être root sur votre poste de travail. moi, environ 2%.

95%, mais bon, je me sert de Linux pour mes serveurs.

Sous Windows je m'en sert beaucoup, car je joue a pas mal de vieux de jeu, qui nécessite le droit admin pour pouvoir y jouer.