Placer l’humain au cœur de la cybersécurité est une expression à la mode depuis quelque temps. Elle peut être vue comme un sacrifice aux idoles du temps présent (après tout, même Staline estimait qu’il fallait placer l’homme au cœur du communisme et G. Marchais évoquait un communisme à visage humain) ou comme un véritable centre d’intérêt des organisations.
Dans ce dernier cas, cela signifie que l’organisation a centré sa cybersécurité sur l’humain, mais pas seulement pour estimer que PEBKAC ou le punir lorsque les choses se passent mal.
Ce (re)centrage de la cybersécurité sur l’humain permet alors de remédier à l’échec de la sensibilisation à la cybersécurité, pour peu que les quelques éléments suivants soient pris en compte.
Il est pour cela utile de partir des menaces que l’organisation doit contrer, sachant qu’elles peuvent être tant internes qu’externes.
Ne pas oublier les vulnérabilités de l’organisation.
En découlent alors les moyens de défense à mettre en œuvre pour éviter que les menaces n’exploitent les vulnérabilités de l’organisation et y causent une situation dangereuse voire chaotique.
Parmi les moyens nous trouverons du matériel, des logiciels, mais aussi le personnel chargé de mettre ces derniers en œuvre.
Se posent alors les questions relatives à la formation : qui doit être formé, à quoi et à quel niveau selon son poste dans l’organisation. De cet impératif découlera le constat du déficit existant et de la politique à mettre en œuvre pour le combler. Il deviendra alors possible de définir un programme de formation adapté tant à l’organisation qu’à ses membres.
Si la sensibilisation est le premier pas de la formation, il faut aussi définir un programme de formation adapté spécifiquement aux utilisateurs, développeurs, administrateurs et combattants du front informatique, car leurs besoins et leur niveau ne sont pas les mêmes. Des recyclages devront également être organisés, car la menace évoluant, la formation doit suivre. Et, en passant, même les RSSI ne sont pas omniscients…
À défaut, personne ne sera formé correctement, mais tout le monde sera satisfait car la séance de sensibilisation annuelle/mensuelle/hebdomadaire aura été dispensée.
Il va de soi que les mutations au sein de l’organisation doivent être l’occasion de vérifier que les besoins en formation cyber demeurent honorés : chaque personne doit avoir été formée récemment à la cybersécurité en fonction des besoins du poste qu’elle occupe.
Les manques constatés pousseront aussi l’organisation à définir les moyens de sa cyber résilience, notamment les alliances et partenariats qu’elle devra conclure pour résister aux attaques.
La formation ne peut cependant se suffire à elle-même. Que faire en cas d’attaque, même si les personnes sont formées ? Après la chaîne de formation, il faut définir une chaîne d’alerte et une de réaction. Qui transmet l’alerte à qui, selon quelles modalités, qui réagit comment ? Des exercices peuvent être utiles pour vérifier que tout le monde a bien compris les procédures.
Nous constatons que les entreprises organisent régulièrement (et à juste titre) des exercices d’alerte incendie, mais bien que l’occurrence d’une cyberattaque soit supérieure à celle d’un incendie, personne n’effectue d’exercice d’alerte cyber. À moins de considérer que les attaques cyber sont tout aussi spontanées que les incendies de cathédrales françaises…
Enfin, dernier élément, pour que les mesures de cybersécurité soient correctement prises, il faut que les discours relatifs à la cybersécurité soient crédibles. Or comment peut-on rendre les utilisateurs conscients de la menace et des risques quand on les bassine en permanence de logiciels secured by design et en leur expliquant que ceux qui les alertent sur les atteintes à leur vie privée sont des complotistes ?
Il y a du plain sur la planche, et les cyberspécialistes ne mourront pas de faim de sitôt !
]]>