Simplifier la cyber tout en restant impactant 

Simplifier la cyber tout en restant impactant 

La simplicité de la cybersécurité un levier de défense

« Vous devriez segmenter cryptographiquement votre système de sécurité en fragments prédéfinis » heu oui…

Brute force, VPN, ou Virtual Private Network, honeypot, sandboxing, bot, chiffrement (et pas…), creepware, crowdsourcing, cle cryptographique…english or french tout y passe. J’ai meme decouvert un nouveau mot Epouvanticiel.

Vous aussi vous avez l’impression que la cyber est entrée au panthéon de la biologie moléculaire ou de la physique nucléaire ?

Comme disait … « ne passons pas à cote des choses simples ! »

Ces jargons sont souvent critiqués pour avoir obscurci le sens ou rendu les sujets inutilement compliqués alors qu’ils peuvent être remplacés par un langage simple et direct. La sécurité est souvent constituée de couches techniques, de contraintes, de manque de flexibilité, il faut donner une plus grande visibilité, le tout en étant rapide et facile à comprendre. Il faut simplifier tout cela, cela passe par ces jargons beaucoup trop techniques ou légaux (car on a ça aussi maintenant) qui doivent être éliminés.

Comment former, sensibiliser, sans noyer ?

« Pourquoi vous faire grands avec des mots ? » P EMMANUEL.

Les procédures mises en place ne doivent pas complexifier l’existant.

La simplicité est la meilleure des choses, et la responsabilité partagée l’est tout autant. Il faut faire changer les mentalités, faire comprendre combien les dirigeants ont tout intérêt à faire simple.

Il faut établir une vraie stratégie, un filet de sécurité mêlant, une fois de plus, technologie et psychologie. Mais tant que vous ne savez pas ce que vous ne savez pas, la formation à la sécurité n’avancera pas, ne sera pas probante.

Il faut faire gagner du temps, il faut des outils simples, des procédures qui ne soient plus chronophages, car elles vont faire perdre la motivation et l’intérêt. On est déjà en surcharge de travail pour la plupart, il ne faut pas ajouter une couche de plus de complexification. Il faut des données claires et faciles d’accès.

Il faut donner la priorité à la convivialité :  réduire la charge cognitive en minimisant l’effort mental en réduisant la frustration et les efforts des utilisateurs.

 Simplifier – comment?

3 volets doivent être pris en compte:

  • l’utilisateur
  • l’utilisation
  • et je dirais l’utilisabilité

Chacun de ces aspects doit être centré sur l’humain et ses composants.

Cela passe par la mise en œuvre et l’élaboration de mesures de protection appropriées.

l’utilisateur

La cybersécurité n’est plus confinée à l’évolution d’Internet et les progrès technologiques associés, ni même aux appareils dit intelligents, les fameux IOT. La cybersécurité elle entre dans notre vie professionnelle et dans notre intimité, à la maison, avec nos enfants etc

La cybersécurité centrée sur l’humain, est plus que nécessaire elle est évidente. Pour éviter le contournement des protocoles, il faut changer de paradigme et se centrer sur l’utilisateur, c’est-à-dire comprendre comment les Humains et l’ordinateur interagissent, comprendre en quoi l’Humain est parfois une faille mais aussi, pour moi, un maillon fort !

Encore et toujours il faut comprendre la cognition. Petits rappels subsidiaires, les Humains ont des perceptions, des connaissances et des experiences différentes. (l’influence personnelle, leurs cultures, leurs expériences passées, …)

En améliorant la posture générale des humains, on contribuera à réduire les incidents.

l’utilisation

Une fois tout ça acquis, on va pouvoir développer des systèmes adaptés à l’humain et des programmes de cybersécurité efficaces, on entre dans la mise en œuvre, c’est de l’ergonomie cognitive.

Il faudra prendre en compte le processus de pensée et de comportement de l’être humain pour concevoir logiciel et procédure.

l’utilisabilité

Il s’agit-là de comprendre l’interaction des humains avec la technologie, pour se faire, cela passe  par la facilité d’usage, les couleurs (Eh oui l’esthétique juste peut jouer un rôle primordial), la pertinence, l’habitude dans l’utilisation (petite formation pas à pas de l’outil)

Il faut s’assurer que les personnes possèdent les connaissances requises avec des procédures de gouvernance appropriées. Par exemple, mettre en œuvre un processus d’évaluation pour garantir que les systèmes ne sont pas utilisés à mauvais escient, ou pas utiliser du tout, afin de recadrer, réadapter.

Enfin il faudra réorienter la formation et ce, de façon continue et l’intégrer dans la gestion des risques.

Pour que le sujet soit investi évitons, les formations trop longues et ennuyeuses.

Il faut préférer des sujets courts mais plus fréquents, une formation engageante. On parle de gamification, pourquoi pas, je n’ai pas de réel avis sur le sujet ni sur leur véritable efficacité.

Enfin le ton, oui transmettre une information passe par les sentiments nous ne sommes pas faits que d’os et de chair, il y a un cœur qui bat…Personnellement je privilégie, l’humour à la peur…la peur peut être bloquante…et si j’utilise la peur, je termine toujours par de l’humour.

Sécurité physique versus sécurité cyber

A la question quelle différence peut-on faire entre la sécurité physique et la cyber et comment s’en inspirer ?  Je dirais que l’un traite du monde physique, l’autre du monde numérique, ok jusque là tout va bien. Cela dit nous pouvons faire le rapprochement entre ces deux concepts et parfois même imbriquer ces deux notions- Une violation du réseau peut entraîner un danger physique -Chaque type d’actif peut être ciblé pour compromettre les réseaux ou l’infrastructure d’une entreprise ; exemple Mirai a été le premier botnet malveillants à pirater les appareils IoT. D’où l’importance d’avoir une vision holistique. (dans sa globalité, ne pas s’intéresser qu’a l’arbre mais à la forêt)

Pour la plupart des gens, il est facile de comprendre les risques liés à la sécurité physique et en effet leur perception n’est pas toujours comparable, c’est à nous de faire justement ce lien.

Si on parle de cambriolage et de l’importance de mettre une porte blindée c’est très clair ; en cyber c’est moins simple moins concret. C’est justement à nous les acteurs de la cyber de faire en sorte que ce soit plus simple pour notre cible, de rendre comparable la sécurité physique et cyber. Moi je prends souvent des exemples de la vie réelle que je transpose dans le monde virtuel, et c’est souvent bien plus clair pour les personnes.

Les portes et fenêtres sont des vulnérabilités, on va conseiller de placer une clôture, une serrure, une porte blindée, un système d’alarme hyper sécure qui ne servira à rien si on oublie de fermer la porte du garage…, (l’image peut semble enfantine, ou bien simple et pourtant elle est parlante).La même idée s’applique en cyber, pensez au chiffrement, aux sauvegardes, aux mots de passe robustes etc….

La sécurité physique et la cybersécurité doivent être abordées selon moi, de la même manière, à savoir comprendre ses atouts, ses ressources et ses vulnérabilités.

Se poser les mêmes questions

  1. Que faut-il protéger ? (actif et ressources)
  2. Qui est notre adversaire ? notre menace ?
  3. Où sont nos failles ?
  4. Quelles en seront les conséquences si je n’applique pas la sécurité de base ?

Quant aux enjeux , ils sont les mêmes , comprendre le risque et surtout l’atténuer !

Le seul défi c’est que les actifs et les ressources sont différents.

La psychologie dans tout ça?

Avez-vous déjà craint de monter dans un avion? des serpents? des chiens? de parler en public?

L’exposition et la désensibilisation sont deux volets essentiels en cybersécurité.

Lorsque nous savons ce qui déclenche notre anxiété et que nous sommes conscients des comportements d’évitement et de sécurité alors nous pouvons y faire face.

Cependant faire peur pour faire peur est inutile. L’anxiété est une réponse saine et adaptative à une menace mais il faut savoir la maitriser.

Sénèque « Il y a plus de choses susceptibles de nous effrayer que de nous écraser. »

Je fais un parallèle avec la période Covid ou l’on a pu constater des comportements complétement aberrants sous l’effet du stress !

  • Il faut rassurer oui, communiquer évidemment et être transparent mais pas créer la panique.

User parfois de l’humour peut aider. Il faut dédramatiser, même si le sujet est sérieux.

  • Il faut favoriser la Cyber résilience, en sachant à quoi on s’expose, car de cette manière on va mettre en place des stratégies d’évitement. On va repérer la menace. D’où l’importance par exemple des méthodes de débiaising que j’ai déjà évoqué dans certains articles.

Se connaitre c’est déjà faire le premier pas.

  • Il existe la mauvaise utilisation et la délibérée ou accidentelle.

Mais si on clique, ce n’est pas toujours, voire rarement volontaire, on oublie trop de prendre en compte lors de la conception de logiciels de sécurité ou de procédure, la psychologie humaine…désolée je me répète.

Si on prend l’exemple des mots de passe, combien de mot de passe doit-on retenir entre hier et aujourd’hui ? alors oui il existe des coffres-forts numériques, mais les stratégies de mémorisation de notre cerveau sont-elles adaptées aux politiques de sécurité ?

L’être humain craint d’oublier, résultat il réutilise le même mot de passe (selon Bitwarden, 2023-« 84 % des personnes réutilisent leurs mots de passe »

Pareil concernant notre capacité de mémorisation. Petit rappel de la loi de Miller qui définit l’empan mnésique ou mémoire à court terme à 7 +/- 2 mots, au-delà on parle de surcharge informationnelle ou « information overload ». Prend-on cet élément physiologique dans nos procédures de sécurité ?

Alors est ce que proposer des stratégies mnémotechniques n’est pas la solution ? ou du moins une solution ?

Encore un exemple, les tests de phishing , une vraie fausse bonne idée ? Peut-on avoir confiance en sa propre entreprise si elle-même cherche à nous piéger? ne ressentons-nous pas un sentiment d’humiliation? Cette petite leçon de morale est-elle bien efficace?

Je prends ces exemples mais il en existe pour chaque cas.

Parfois trop de sécurité tue la sécurité, Eh oui l’humain va naturellement chercher à contourner les processus et mettre son entreprise en danger.

On doit adapter la technologie, les process à l’humain et pas l’inverse.

On conçoit des formations, des outils bien souvent sans se demander si les employés sont réellement capables de mettre en œuvre ces politiques de sécurité.

Je termine par de l’art, un maitre à penser : « La simplicité est la sophistication suprême ». Léonard de Vinci… dans tous les cas j’espere l’avoir été…simple.

Nathalie GRANIER- Février2024

Sources: Simplifier la cyber: difficile remise en question | Alliancy