Nous avons beau passer un tiers de notre vie au bureau (et donc, parfois, plus que dans notre lit !), il semblerait que nous ne soyons globalement pas très satisfaits de notre vie professionnelle ! Selon une étude mondiale du cabinet Gallup (« The State of the Global Workforce”), à peine 15% des travailleurs se disent impliqués de manière active dans leur travail. Si vous êtes en Open Space, regardez autour de vous et comptez... Vous n’êtes pas très nombreux !
Bien entendu, il ne s’agit là que d’une moyenne, mais selon les auteurs du rapport ce chiffre n’excède jamais 40% dans les meilleurs cas, ce qui n’est pas très élevé non plus.
Qu’est-ce que cela peut bien avoir à faire avec la cybersécurité ? Eh bien, c’est que pour nous, les professionnels de la sécurité, les salariés les moins motivés sont généralement aussi les plus à risque pour sa cybersécurité !
Alors pour mieux les reconnaître, et pouvoir ainsi tenter de les sensibiliser à l’importance de respecter de bonnes pratiques numériques, voici le jeu des portraits robots : cinq profils types de collaborateurs à risque, parce que peu motivés, tirés d’histoires vraies.
1- Jean Émarre. Jean travaille au service RH et a demandé à plusieurs reprises à pouvoir télétravailler. Le service informatique a dit qu’il s’en occupait, mais cela traîne. Alors Jean décide de prendre les choses en mains et copie ses données de travail – des données évidemment sensibles, puisqu’elles concernent les autres salariés et leurs informations personnelles – sur un emplacement moins protégé du réseau de l’entreprise, plus facilement accessible depuis l’extérieur (par exemple dans un répertoire du serveur web public qu’il pense être secret)
Évidemment, Jean ne sera probablement pas le seul à pouvoir y accéder plus facilement. À commencer par Google, par exemple…
2- O.Revoir. Olivier Revoir a décroché un nouvel emploi. Quelques jours avant son départ, il télécharge donc plusieurs giga-octets de données de l’entreprise : après tout, pourquoi réinventer la roue quand il suffit d’un copier-coller et de quelques adaptations ?
Mais ce qu’Olivier ignore, c’est qu’en copiant les fichiers pour en conserver les modèles et les formules, il en a aussi évidemment récupéré le contenu, très sensible. Et ces fichiers vont désormais certainement beaucoup circuler, ou pouvoir être dérobés, chez lui, ou encore à la faveur d’un oubli de sa clé USB, par exemple…
3- C.Ducteur. Cédric Ducteur est hôte d’accueil. C’est un bon vivant, et il est loin d’être insensible au charme des visiteuses de l’entreprise. C’est donc tout naturellement qu’il s’exécute lorsque l’une d’elles, fort ennuyée, se présente à l’accueil, clé USB en main, en prétendant avoir oublié d’imprimer son CV pour son entretien d’embauche.
Sauf, évidemment, que la clé contient un peu plus qu’un CV, et qu’en l’insérant Cédric vient d’infecter son poste d’accueil avec un code malveillant qui n’aura pas grand mal, à partir de là, à s’enfoncer plus profondément sur le réseau. Les criminels sont passés maîtres dans l’Art d’exploiter de telles petites faiblesses !
4- O.Caffai. Oriane Caffai est rarement à son bureau ! En bonne commerciale, elle partage son temps entre ses prospects et des lieux publics, qui sont devenus son vrai bureau. Elle est donc une grande habituée des connexions WiFi publiques –après tout l’entreprise limite le forfait data sur son smartphone et toute connexion gratuite est donc bonne à prendre. Elle connaît d’ailleurs les codes de tous les WiFi des coffee shops environnants ! Aujourd’hui, elle est très en retard pour envoyer un gros document avant son prochain rendez-vous. Elle se connecte donc au WiFi de la chaîne de café du jour, oublie de lancer le VPN fourni par son entreprise parce qu’il lui faut généralement plusieurs minutes avant de s’activer, et elle appuie sur « Envoyer » ! Évidemment, c’est une erreur ! Les WiFi publics sont devenus un véritable Far-West depuis que même le premier apprenti pirate venu peut venir y intercepter le trafic aisément et y causer toute sorte de désagréments.
5- J.Arrive. Jérôme Arrive est tout nouveau dans l’entreprise. Il a fait forte impression a son entretien, et il est maintenant impatient de montrer ce dont il est capable. Bon, il lui faudrait bien, avant de commencer, suivre ce programme obligatoire de sensibilisation à la cybersécurité. Mais pourquoi rester coincé 30mn devant son ordinateur alors qu’il a temps à faire ? D’autant plus qu’il a déjà suivi des dizaines de programmes très similaires, partout où il est passé. Ça peut bien attendre, non ?
Vous reconnaissez peut-être là certains de vos collègues. Voire, même, pouvez-vous vous reconnaître dans certaines mauvaises habitudes ! Mais finalement, dans chacun de ces scénarios, l’entreprise aurait pu, elle aussi, mieux faire :
- Fournir à ses collaborateurs des outils et des moyens de télétravail modernes, rapides à mettre en œuvre, sûrs et faciles à utiliser
- Mettre en place des politiques d’accompagnement au départ, et des programmes de sensibilisation portant sur la nature des informations propres à l’entreprise
- Sensibiliser ses salariés au risque de « l’ingénierie sociale », ces techniques d’arnaque qui font des ravages lorsque l’on n’y est pas préparé
- Proposer à ses collaborateurs, en particulier nomades, des outils de connexion distante rapides, fiables et surtout transparents : capables de s’activer rapidement au démarrage de la connexion internet, quel que soit le réseau concerné
- Faire un effort pour rendre les sessions de sensibilisation obligatoires à la cybersécurité plus attractives et plus originales (ce qui permet, en outre, de les adapter au contexte particulier de l’entreprise)
Bien entendu, même en mettant en œuvre tous ces conseils, les erreurs humaines et la négligence existeront toujours, et il n’est pas question ici d’affirmer qu’elles peuvent être éliminées. Mais elles doivent être reconnues comme une réalité dans l’entreprise, et combattues. Car elles coûtent cher. À ce titre, le dernier rapport de Threat Intelligence publié par la X-Force d’IBM est édifiant : il indique que la négligence interne est à l’origine de deux tiers de toutes les données dérobées en 2017. Autrement dit, trois milliards d’enregistrements ont été « perdus » à cause de la négligence de salariés, dont 70% à cause d’une mauvaise configuration des serveurs de stockage dans le Cloud, des bases de données ou des équipements de sauvegarde.
C’est un problème épineux, et qui ne va pas aller en s’améliorant alors que les usages de type « multi-clouds » deviennent la norme : plus on multiplie les déploiements à travers des clouds multiples, plus le risque d’erreur augmente. IBM a ainsi évalué que le nombre de données dérobées à cause d’une mauvaise configuration du serveur cloud qui les hébergeait a augmenté de 424% l’an dernier !
Sur le plan technique, le recours à l’automatisation IT et au contrôle des configurations peut aider à réduire grandement les erreurs humaines. Mais pour le reste, seule la sensibilisation se montre efficace.
Alors, ce n’est pas parce que la négligence et les collaborateurs moins impliqués que d’autres existeront toujours qu’il ne faut rien faire. Lorsque vous déploierez des trésors d’ingéniosité pour motiver vos salariés et renforcer votre culture d’entreprise, pensez à y intégrer également un volet cybersécurité : les populations concernées sont finalement les mêmes !