L’humain, un risque pour l’organisation?

La manière de travailler avec des outils informatiques s’est profondément transformée ces dernières années. L’adoption dans le monde professionnel de technologies et de pratiques associées héritées du domaine privé fait que l’entreprise et les collaborateurs sont de plus en plus connectés en permanence avec des gains de productivité et de valeur ajoutée à la clé. Cette mise en réseau de l’organisation et cette autonomisation des employés sont toutefois synonymes de nouvelles failles et menaces liées au facteur humain: social engineering, appareils non-conformes, pratiques négligentes, actions revanchardes, contournement des consignes, etc. Tout comme le cloud, cette consumérisation de l’informatique dissout les frontières de l’entreprise, contraint les responsables sécurité à abandonner l’idéal d’un périmètre inviolable et fait reposer davantage la protection des données sur les utilisateurs.

Consumérisation de l’IT

Dans de nombreuses entreprises suisses, les usages professionnels nomades sont devenus monnaie courante grâce à l’essor des smartphones et, de plus en plus, des tablettes. Des terminaux qui estompent dans un même temps les frontières entre lieux, moments et équipements privés et professionnels. Selon une étude publiée cet été par Unisys sur la consumérisation de l’IT, environ 40% des appareils utilisés par les collaborateurs pour accéder à des applications business leur appartiennent, soit 10% de plus qu’il y a un an.

Autre phénomène convergent, les solutions collaboratives internes et les réseaux sociaux sont eux aussi adoptés par de plus en plus de sociétés pour faciliter l’échange d’informations entre les collaborateurs, et avec la clientèle et les partenaires. Selon le même rapport d’Unisys, Facebook est ainsi utilisé aujourd’hui dans 20% des entreprises contre seulement 8% en 2010.

Cette autonomisation des collaborateurs armés de nouveaux outils est cependant la source de préoccupations pour l’informatique des entreprises. Si 70% des responsables IT considèrent que le mouvement est inévitable et reconnaissent ses vertus, 80% signalent que cette consumérisation de l’IT accroît les charges de leur département. Et le principal souci qu’ils mentionnent est le risque que ces pratiques font courir à l’entreprise et à ses données. Deux tiers des responsables estiment par exemple que l’usage des tablettes et des réseaux sociaux représentent des menaces pour leur organisation (études de Symantec et de Ponemon).

Réponses techniques insuffisantes

Si l’on considère exclusivement les nouveaux problèmes de sécurité liés aux appareils, des réponses techniques existent. 90% des entreprises sondées par Unisys pratiquent par exemple des mises à jour d’anti-virus automatiques sur les terminaux mobiles, 59% font des sauvegardes des appareils. D’autres solutions existent par ailleurs pour sécuriser des parcs de smartphones hétérogènes, chiffrer leurs contenus et effacer les informations à distance. Les responsables IT peuvent également mettre en place des solutions d’authentification forte. Plus généralement, l’emploi de technologies de virtualisation - client ou applicatif - permet de circonscrire un environnement professionnel sécurisé contrôlé par l’IT sur les ordinateurs et appareils mobiles détenus par les collaborateurs et utilisés dans le privé.

Idem pour les dangers liés à l’usage des média sociaux, qui peuvent être limités via des systèmes de sécurité génériques (anti-virus, firewalls, secure gateways) ou avec des solutions plus ciblées «content aware».

Pour utiles qu’elles soient, ces solutions techniques, qui cherchent en quelque sorte à étendre le périmètre de contrôle de l’entreprise, ne suffisent cependant pas à protéger ses informations les plus précieuses. Dans 80% des cas, c’est une défaillance humaine intentionnelle ou non qui met en péril l’entreprise, selon le spécialiste zurichois Ispin, et les terminaux privés ne viennent que compliquer la donne. L’entreprise s’expose parce qu’un collaborateur emporte un document sur une clé USB pour poursuivre son travail à domicile, parce qu’il clique sur un lien ou visite un site apparemment inoffensif, parce qu’il divulgue des informations a priori anodines sur un réseau social, parce qu’il emploie le même mot de passe pour plusieurs applications, parce qu’il égare son smartphone… La liste est longue et l’employé est très souvent considéré comme le maillon faible de l’organisation, un maillon négligent et peu fiable.

Social engineering et menace interne

Le fait que les collaborateurs puissent contribuer - – intentionnellement ou non – à la mise en danger de l’entreprise ne date ni des smartphones ni des réseaux sociaux. Dans un contexte d’attaques toujours plus ciblées, ces derniers permettent aux criminels d’exploiter les informations personnelles divulguées par les employés sur les médias sociaux pour les abuser – le social engineering. Selon une nouvelle étude de Dimensional Research, 43% des professionnels IT savent qu’ils ont été ciblés par de telles attaques, la plupart d’entre elles s’effectuant via des e-mails (phishing) et des réseaux sociaux, afin d’obtenir un gain financier et des informations confidentielles.

L’augmentation de la menace interne (insider threat) est un autre effet de l’autonomisation des collaborateurs. Ceux-ci font en effet courir un risque aux entreprises du fait de leur accès légitime aux informations et de leur connaissance de l’organisation et de la localisation de ses données de valeur. Les cas récents de fuites de données qu’ont connues des établissements bancaires suisses sont là pour le prouver. Le danger pour les responsables sécurité est de focaliser sur les attaques de l’extérieur et d’avoir une confiance exagérée dans les contrôles de sécurité périmétriques. Dans un rapport récent de BT sur le sujet («Human factors in information security: The insider threat - Who can you trust these days?») Carl Cowill explique que de nombreux facteurs contribuent au développement actuel de la menace interne: la consumérisation de l’IT, la disparation progressive de la frontière entre sphères privée et professionnelle, l’outsourcing, la récession, les changements organisationnels ou encore le manque de prise en compte de différences culturelles dans les directives de sécurité.

Réponses humaines et organisationnelles

Les experts en sécurité s’accordent ainsi sur l’importance de mesures non techniques pour remédier à cette menace: la détection de comportements anormaux, la sensibilisation et la responsabilisation des collaborateurs, et l’établissement d’une culture de confiance dans l’entreprise.

Surveillance: Outre les mesures de monitoring technique, les spécialistes recommandent aux entreprises procéder à des contrôles des collaborateurs de tous niveaux avant leur embauche et, surtout, en continu. D’une part parce que les comportements, la loyauté et les motivations des employés évoluent dans le temps et, d’autre part, parce que les rôles et les accès privilégiés dont ils jouissent changent aussi. Surveiller permet aussi de récompenser les bons usages et de punir les mauvais.

Sensibilisation et responsabilisation: Au-delà de la sensibilisation standard pratiquée dans la plupart des organisations, les experts suggèrent de mettre en place des mesures ciblées visant à responsabiliser les collaborateurs et à distiller des changements de comportement. Il importe ainsi que les employés comprennent et s’approprient les consignes de sécurité. Certaines entreprises entraînent aussi leurs collaborateurs via de faux e-mails de phishing et des jeux de simulation (serious games).

Organisation et confiance: Le «civisme» des collaborateurs est une chimère dans une entreprise où ne règne pas une culture de confiance et de responsabilité réciproque et à tous les échelons hiérarchiques. A l’heure du travail nomade et d’une relation de plus en plus lâche entre l’organisation et ses employés, il importe de préserver des relations de proximité et de changer les pratiques managériales. Les auteurs de l’ouvrage The Trusted Leader (2003) mentionnent plusieurs ennemis de la confiance: les messages inconsistants, les traitements différenciés ou indulgents, les feedbacks faussés, l’absence de confiance de la part du management ou encore le laisser-aller face aux rumeurs.

Sécurité 2.0

S’il est souvent question d’entreprise 2.0, le terme se réfère en général à l’hyperconnectivité de toutes les personnes – collaborateurs, clients, partenaires – avec qui elle est liée, en tout temps, en tout lieu, sur tout type de terminal. Une communication source de productivité et de valeur ajoutée accrue.

Toutefois, au niveau de la sécurité, la tendance est plutôt à considérer que ces acteurs autonomes sont néfastes et à présumer de leur culpabilité. Une approche contreproductive parce que la méfiance engendre la méfiance et parce que seules la confiance et la responsabilisation des personnes ayant accès aux données et systèmes de l’organisation permettent de prévenir les nouvelles menaces auxquelles elle fait face. Le Professeur Jean-Henry Morin de l’Université de Genève suggère de changer d’approche et de considérer l’utilisateur non pas comme une partie du problème, mais comme une partie de la solution (lire son interview en lien). On peut à cet égard parler de sécurité collective, de sécurité de milice voire de sécurité 2.0.