La cyber-hygiène en 2023 : partie 1 -- Obtenir la collaboration des utilisateurs

Introduction

Au cours de cette année 2023, les cyberdéfis, anciens et nouveaux, subsistent, mais les possibilités d'amélioration sont également présentes. Pour l'année à venir, les considérations suivantes sont à prendre en compte :

1. Les défis du passé n'ont pas été surmontés et nous sommes toujours aux prises avec eux.
2. L'utilisation des technologies et l'innovation sont de plus en plus fluctuantes, sous l'effet d'externalités (par exemple, les changements d'habitudes de travail, les grandes quantités de données, la commercialisation de l'intelligence artificielle, etc.)

Les utilisateurs quotidiens peuvent trouver les réalités décourageantes. Ils sont même pour certains en proie au doute quant aux responsabilités liées à la cybernétique, les amenant ainsi à demander : « Que voulez-vous que j'y fasse ? »

Les experts en cybernétique souhaitent simplement que chacun contribue à « protéger la maison » en créant une organisation et une atmosphère plus résilientes. Dans cette série, J.S. Held fournit des informations aux professionnels de la sécurité comme aux utilisateurs quotidiens, avec des suggestions pour identifier les moyens d'éviter les défaillances internes et/ou un effondrement central ou une violation des systèmes d'information. Comment ? Par une approche fédérée qui repose sur la responsabilité personnelle et l'obligation de rendre des comptes.

Cet article en deux parties se concentre sur ce que les utilisateurs du quotidien peuvent faire pour mieux protéger les données, avec le soutien de la direction et d'un programme de sécurité des données bien conçu et bien entretenu. Cette minisérie explique précisément comment résoudre un problème majeur en veillant à ce que les utilisateurs sachent à la fois pourquoi et comment les mesures sont prises, et ainsi gérer deux situations en constante évolution, à savoir les changements du cadre professionnel et les méthodes des acteurs malveillants.

Nous commençons par identifier les responsables.

Faire la différence entre les responsabilités individuelles et celles de l'entreprise

Les responsables de la sécurité de l'information et de la gestion des risques se concentrent généralement sur le « programme » de l'entreprise mais sont, comme tout le monde, aussi des utilisateurs quotidiens de la technologie et des données. Les écarts de connaissances entre les deux groupes peuvent être importants, même si les risques encourus par les deux groupes sont similaires. Certes, les priorités diffèrent entre ces deux groupes, mais cela ne devrait pas être le cas pour l'intérêt qui y est porté et la responsabilité.

C'est en effet là que se trouve le cœur de la question de la cybersécurité : comprendre la nuance entre les groupes de parties prenantes. Comprendre cette question vous permettra de gérer de nombreux problèmes en aval.

À l'avenir, on peut s'attendre à ce que les personnes chargées des responsabilités en matière de sécurité des données concentrent leurs efforts sur la migration et l'intégration dans le nuage, la transformation numérique, le renforcement de la surveillance et de l'automatisation, l'utilisation de logiciels en tant que service (SaaS) et les initiatives à l'échelle de l'entreprise telles que le « renforcement de la cyber-résilience » ou l'intensification des tests et de la formation. N'oublions pas non plus les bavardages sur le remplacement du VPN par le Zero Trust.

Mais ces efforts, aussi bien intentionnés soient-ils, ont-ils beaucoup d'impact sur les utilisateurs quotidiens ? Au mieux, peut-être. Les utilisateurs quotidiens ont leurs propres priorités et, dans certains cas, celles-ci peuvent aller à l'encontre des bonnes pratiques en matière de sécurité de l'information. L'une des priorités des directeurs, responsables, gestionnaires et du RSSI devrait être par conséquent d'aider les utilisateurs quotidiens à trouver cet équilibre. Les affaires et la sécurité se verraient ainsi favorisées.

Les tendances à court terme à connaître en matière de cyberhygiène

L'ensemble des efforts en matière de sécurité menés par l'entreprise doivent soulever cette question : « comment les utilisateurs quotidiens peuvent-ils contribuer à réduire l'empreinte de risque de l'organisation ? »

L'essentiel est de reconnaître que la solution ne réside pas uniquement dans le programme de l'entreprise, même si ce dernier en constitue assurément la base. La solution réside plutôt dans l'assimilation et la valorisation par les utilisateurs quotidiens d'une bonne cyberhygiène comme moyen de protéger leur propre travail, tout en améliorant la position de l'organisation en matière de risques.

1. En d'autres termes, l'essentiel est que la « cyberhygiène » (en tant que pratique) soit considérée comme un avantage pour l'utilisateur quotidien, et non comme une tâche ou un processus lourd ou restrictif. Pour y parvenir, il est utile que les utilisateurs quotidiens, ou plus précisément les observateurs de première ligne et les défenseurs de la dernière chance, puissent assimiler l'impact de ces trois questions : Comment le comportement numérique d'un individu provoque-t-il un impact sur l'entreprise ?
2. Pourquoi est-il nécessaire de sécuriser les espaces de travail à distance et hybrides ?
3. Quelles informations peuvent être utilisées pour aider à prévenir aussi bien les nouvelles attaques que les plus traditionnelle ?

Assimiler les avantages d'une bonne cyberhygiène

Certains utilisateurs peuvent avoir des habitudes « plus sûres » que d'autres, mais ces tendances découlent généralement de l'expérience et du poste occupé. Les utilisateurs quotidiens peuvent avoir des tendances qui peuvent contribuer à de bonnes habitudes en matière de cyberhygiène ou les entraver. Par exemple :

• Un groupe d'utilisateurs peut avoir un désir inhérent en matière de protection de la vie privée et vouloir adopter des habitudes plus sûres, mais ne rien connaître en matière de technologie. Cela peut donc constituer un risque s'il commet des erreurs.
• Un autre groupe d'utilisateurs peut avoir une compétence naturelle en matière d'utilisation des technologies, mais n'accorder que peu d'importance à la protection de la vie privée et à la sécurité, ce qui constitue un risque en raison d'un manque d'intérêt.

Le résultat est intéressant malgré les différences de comportement, les deux situations peuvent entraîner le même type de perte de données. Mais alors comment trouver un terrain d'entente ? Les intérêts personnels.

Expliquez-leur pourquoi, pas comment

« Mange tes épinards, » en soi, a rarement été un argument convaincant. Les gens sont curieux et veulent comprendre le concept du « pourquoi. » Il en va de même pour l'hygiène informatique. Pour cela, des exemples illustratifs vous seront utiles. En voici quelques-uns :

• Se mettre à l'abri d'une enquête potentielle. Démontrez la valeur de la séparation entre l'utilisation professionnelle et personnelle des actifs (pensez BYOD). Si votre entreprise est victime d'une violation, l'enquête nécessitera des informations provenant de la plupart des sources qui touchent l'entreprise. Si vous mélangez des données personnelles et professionnelles sur votre appareil personnel, elles peuvent faire l'objet d'une enquête. Certes, on renonce à une certaine commodité en procédant à une séparation stricte, mais à la suite d'une violation, la probabilité que des informations personnelles, du point de vue du BYOD, soient récupérées dans le cadre de l'enquête ou en réponse à une citation à comparaître, devient relativement faible. La plupart des utilisateurs quotidiens ne souhaitent pas voir leurs informations privées et personnelles faire l'objet d'une procédure judiciaire, ni gérer les problèmes allant avec.
• Protéger l'entreprise pour protéger son emploi. Expliquez le rapport risque/récompense de l'investissement, de l'innovation, de la recherche et du développement, et comment ces activités sont le moteur d'une organisation. La perte de la propriété intellectuelle peut faire la différence entre la sécurité de l'emploi pour les 10 prochaines années dans une grande entreprise, et la nécessité de mettre à jour un CV parce que l'ancienne grande entreprise a fait faillite.
• Éviter les accusations. Soutenez des processus solides de gestion du changement et de validation. Cela permet de limiter les mauvaises configurations et les scénarios d'accident tels que « la porte est restée grande ouverte. » Insistez sur le fait que « séparer » ces tâches minimise la probabilité que votre utilisateur soit à l'origine de la violation.

Conclusion

En résumé, expliquer aux utilisateurs quotidiens comment parvenir à une bonne cyberhygiène (par exemple, renforcement des mots de passe, dissuasion via l'informatique fantôme, surveillance raisonnable, formation, etc.) ne leur expliquera pourquoi une bonne cyberhygiène est dans leur intérêt et celui de l'organisation.

La pratique d'une bonne cyberhygiène n'est pas seulement une question d'actualité ; c'est une question permanente qui influe sur les postures à risque en matière de sécurité. Les CISO et autres responsables de la sécurité qui privilégient les approches de la « carotte et du bâton » (réprimande du comportement) et de la « solution miracle » (technologie) seront laissés pour compte. Pour modifier positivement les comportements, les utilisateurs quotidiens doivent devenir des partenaires et comprendre pourquoi le sacrifice d'une certaine commodité et d'une certaine efficacité au départ peut favoriser la protection et l'obtention de récompenses à long terme. Les chefs d'entreprise, les responsables de la gestion des risques et les responsables de la sécurité doivent également prendre conscience de ce problème.

Dans le deuxième épisode de cette série en deux parties, nous nous concentrerons sur la nécessité de sécuriser les espaces de travail à distance et hybrides et sur les informations qui aident les utilisateurs à prévenir les attaques.

Remerciements

Nous tenons à remercier nos collègues George Platsis et Ron J. Yearwood, Jr, CISSP, CISM, CIPM, pour leurs éclairages et leur expertise qui ont grandement contribué à cette recherche.

En savoir plus sur le contributeur J.S. Held

George Platsis est directeur principal au sein du service de recherche et découverte numériques du cabinet d'enquêtes internationales de J.S. Held. M. Platsis est un professionnel des affaires, auteur, éducateur et conférencier. Il possède une expérience entrepreneuriale et éducative de plus de 20 ans. Il a conçu et fourni des solutions et dirigé des équipes pour améliorer la préparation aux violations, les programmes de réponse aux incidents à l'échelle de l'entreprise et des unités commerciales et le renforcement du patrimoine pour une série de clients Fortune 100 dans les secteurs de la santé, des médias et des services financiers, de l’industrie, de la défense et de l'électronique commerciale, y compris l'assistance aux clients des petites et moyennes entreprises. De plus, il apporte une expérience complexe en matière d'enquête et de gestion des urgences aux entreprises et aux particuliers qui cherchent à réduire leur exposition aux risques. George est responsable de la sécurité informatique certifié.

George peut être contacté à l'adresse [e-mail protégé] ou au +1 321 346 6441.