L'erreur humaine est le principal facteur de violation de la sécurité de l'entreprise

Quelles en sont les causes et quelles pratiques adopter ?

L’erreur humaine est le principal facteur de violation de la sécurité de l’entreprise
Quelles en sont les causes et quelles pratiques adopter ?

Deux nouvelles études réalisées par CompTIA et le SANS Institute sur la cyber-sécurité de l’entreprise confirment ce qui a toujours été dit au sujet des employés : ces derniers sont les premiers à mettre en péril la sécurité de l’entreprise par leurs actions maladroites ou malveillantes.

L’étude de CompTIA révèle que 52% des violations de sécurité sont du fait des employés alors que 48% sont des erreurs sont dues à la technologie de l’entreprise.

Ces résultats sont basés sur une enquête auprès de cadres et experts en informatique des grandes entreprises américaines. Les répondants ont désigné « l'échec de l'utilisateur final à suivre les politiques et procédures » et la « négligence générale » des utilisateurs comme la principale source d’erreur humaine avec une fréquence de 42%. Le manque de formation des utilisateurs traduit par « le manque d'expertise avec les sites Web / applications » est également à la base de 29% des erreurs commises par les employés. Les autres erreurs commises par les utilisateurs (26%) résultent de « l'insuffisance du personnel IT à suivre des politiques et des procédures ».

Si l’étude de CompTIA attribue la majorité des menaces de sécurité venant de l’intérieur à la négligence et au non-respect des procédures et politiques de l’entreprise, l’étude de SANS Institute révèle que les utilisateurs négligents causent plus de problèmes, plus que les employés malveillants, et tous les contractants, clients, partenaires et autres entités affiliées.

Si ces résultats - et de manière générale, la responsabilité des employés dans l’exposition de l’entreprise - ne sont pas nouveaux, des solutions efficaces sont toutefois difficiles à mettre en place.

Dans l’enquête de SANS, 32% des répondants ont dit qu'ils n'avaient pas la capacité d'empêcher un incident ou une attaque venant de l'intérieur. Outre le manque de formation maintes fois cité comme cause, les cadres et experts en informatique interrogés ont également évoqué des questions budgétaires et l’insuffisance de personnel. Et encore, quand ces conditions sont réunies, il reste quand même difficile de s’attaquer aux erreurs humaines. La raison est que les entreprises fondent leur sécurité sur des approches technologiques, alors qu’il n’existe pas vraiment de solutions technologiques pour prévenir les erreurs humaines. D’ailleurs 40% des répondants ont noté ce problème.

C'est également ce que Seth Robinson, directeur principal de l'analyse de la technologie avec CompTIA, a avancé comme explication. Selon lui, la principale raison pour laquelle l’erreur humaine demeure est « l'incertitude sur la façon de s'attaquer au problème, car les approches traditionnelles de sécurité sont fortement basées sur la technologie ».

En ce qui concerne les recommandations traditionnelles telles que la formation et la sensibilisation, il est difficile encore de trouver des indicateurs pertinents pour évaluer leur efficacité. Pour ces raisons, les entreprises mettent la priorité sur les erreurs technologiques sur lesquelles elles peuvent agir efficacement.

« La principale raison pour laquelle les entreprises présentent un niveau de préoccupation bas sur l'erreur humaine, c'est que c'est un problème sans solution évidente », a déclaré le rapport de CompTIA. « Un niveau élevé de préoccupation autour des logiciels malveillants ou piratages peut être traité avec un investissement dans la technologie » alors que ce n’est pas le cas pour les erreurs humaines, indique le rapport.

Comment donc réduire les violations de sécurité provoquées par les employés ?

Au-delà de la formation, certains spécialistes pensent qu’il faudrait agir sur les privilèges accordés aux employés. « Les humains ont toujours été considérés comme les points les plus faibles des chaînes de sécurité informatique - et plus ils ont de privilèges, plus le risque qu'ils représentent pour le réseau d'entreprise est élevé, » a déclaré Peter Gyöngyösi, chef de produit chez BalaBit IT Security. Il suggère que les entreprises déploient des technologies qui étudient les comportements typiques des employés et qui surveillent les anomalies, avec la plus grande attention accordée aux employés avec les privilèges les plus élevés.

Allant dans le même sens, Philip Lieberman, président de Lieberman Software Corp basé à Los Angeles, recommande aux entreprises d’utiliser des outils plus automatisés pour gérer les accès et pour un « suivi continu des risques ». Selon lui, cela peut permettre de détecter l'erreur humaine, réduire les faux positifs, et améliorer la réactivité de l’équipe IT.

Pour d’autres spécialistes par contre, la solution se situe au-delà de l’informatique et une implication des autres services de l’entreprise peut permettre de résoudre ce problème. Selon ces derniers, la prévention et la réponse aux menaces venant de l’intérieur nécessitent également une action des ressources humaines, du service juridique et d'autres services de l'entreprise, et pas seulement l'IT. Les ressources humaines devraient signaler au service IT tout comportement – stress par exemple – chez un employé qui serait susceptible d’augmenter le risque de faute chez ce dernier. Cela permettrait au service informatique de prévenir l’erreur. Le service juridique devrait également appliquer le droit en cas de violation de sécurité au sein de l’entreprise et engager si nécessaire des poursuites contre l’utilisateur en faute.

Source : CSO Online

Et vous ?

Quels sont les facteurs à la base des erreurs humaines ?

Que pensez-vous des solutions proposées