Découvrez notre société Contactez-nous

e-Xpert Solutions Genève

109, chemin du Pont-Du-Centenaire
CH-1228 Plan-les-Ouates / Genève
SUISSE

Tel. : +41 22 727 05 55 Fax : +41 22 727 05 50

e-Xpert Solutions Lausanne

Avenue de Gratta-Paille 20
CH-1018 Lausanne
SUISSE

Tel. : +41 21 802 26 78 Fax : +41 22 727 05 50
Contactez notre support : +41 22 727 05 56
En cochant cette case, vous acceptez notre politique de confidentialité disponible en cliquant ici
Envoyez votre message

Swiss Security Hackademy

Suivez notre blog bilingue en sécurité informatique !

Retour aux articles

No more user awareness


Auteur : Yoann Le Corvic

Date de publication : 2 juin 2017 - Dernière mise à jour : 6 juillet 2018


Un point sur lequel tout le monde est d’accord, dans le monde de la sécurité informatique, est que le principal maillon faible dans une entreprise est l’utilisateur.

Une multitude de cas qui démontrent cette faiblesse sont publiés régulièrement. Comme par exemple, laisser trainer une clé USB proche d’une entreprise et attendre que quelqu’un la prenne et la connecte à un système. Ou, comment avec un simple appel téléphonique, un hacker arrive à prendre le contrôle d’un compte mobile (illustré ici). Mais surtout les emails contenant une pièce jointe infectée ou qui contient un lien vers un site malicieux.

La principale et souvent la seule réponse de l’industrie à cette problématique est de former et sensibiliser les utilisateurs aux différents aspects de la sécurité. Ne pas se connecter sur un site suspicieux, ne pas ouvrir des emails avec pièces jointes de sources inconnues, changer de mot de passe régulièrement avec un minimum de complexité, etc etc.

Cela passe aussi au travers de messages d’avertissement du danger affichés à l’utilisateur. Un exemple, des plus connus, est l’UAC introduit avec Windows Vista qui est encore dans le souvenir de tout le monde comme une plaie qui pop-up constamment. Ou encore le warning affiché quand un certificat d’un site Internet n’est pas valide. Dans l’esprit de l’utilisateur ce message est vu comme un perturbateur qui l’empêche d’accéder à son site qui donne les résultats sportifs.

Après toutes ces années de tentatives pour changer les méthodes de formation et former les utilisateurs, le nombre d’infections, d’intrusions et d’attaques sont toujours en constante augmentation. Dans tous les cas le facteur humain est négligé. Tout le monde sait que la sécurité est importante, mais elle est considérée comme une contrainte constante qui empêche de faire ce que l’on souhaite et qui rend la vie de tous les jours plus compliquée voire même impossible.

L’erreur est de traiter la problématique du mauvais côté. Pourquoi les utilisateurs de peuvent pas choisir un mot de passe simple à se souvenir ? Pourquoi ne pourraient-ils pas cliquer sur tous les liens qu’ils souhaitent ? Pourquoi demander à l’utilisateur de corriger tous les problèmes sécurité qui proviennent des applications et systèmes qu’ils utilisent ? Pourquoi ne pas modifier ces applications et ces systèmes ? Que les décisions et les actions soient faites à leur place indépendamment de leurs activités.

Pour la majorité, la sécurité se fait au dépend de l’usabilité, ce qui sous-entend qu’un système sécurisé est compliqué d’utilisation, inversement, un système efficace, simple et puissant est moins sécurisé et que ce n’est pas possible d’avoir les deux mondes. Le résultat est que l’on se retrouve dans une situation ou l’usabilité et la sécurité sont toutes deux mauvaises.

Il est temps de changer d’approche et de vision et de considérer que ces deux mondes ne sont pas antagonistes. Il est surtout temps de cesser de tenter de former les utilisateurs à faire les bonnes actions, mais plutôt de mettre en place une sécurité qui fonctionne quelle que soient leurs actions.

Le changement est déjà en court du point de vue de certains fournisseurs comme par exemple Microsoft. Les mises à jour, sont par défaut automatiquement installées en arrière-plan. Les documents Microsoft Office sont ouverts dans un environnement séparé de celui de l’utilisateur. La dernière version de Microsoft Edge démarre dans une sandbox. Il est nécessaire que les entreprises aient aussi cet aspect à l’esprit et commencent à penser autrement comment mettre en place leur sécurité.

Toute une série de solutions existent qui permettent d’atteindre ce but. Supprimer tous les éléments « actifs » d’un document, de bloquer tous les périphériques sur le poste, implémenter au maximum du SSO et réduire la complexité et la fréquence des changements de mots de passe, etc…

Néanmoins, la sensibilisation à la sécurité doit rester importante pour les administrateurs et les développeurs mais en gardant à l’esprit qu’elle doit être intégrée dans la solution et qu’elle ne doit pas demander aux utilisateurs de palier à leur défauts.