« L’erreur est humaine ». « Seul celui qui ne fait rien ne se trompe pas ». … On ne compte pas les citations et les proverbes qui excusent l’erreur humaine. En effet, aucune personne ne peut se targuer de ne pas ou n’avoir jamais fait d’erreur. Et les causes peuvent être multiples et imprévisibles : une faute d’inattention, une maladresse, une erreur d’appréciation, un manque de vigilance, l’inexpérience… Sénèque, philosohe latin né en -4 av. JC, écrivait que « L’erreur n’est pas un crime ». Si notre sujet n’est pas de philosopher, il est permis de se demander si ce ne sont pas les conséquences de l’erreur qui permettent de classer celle-ci comme crime ou non. Il est ensuite indispensable d’identifier la responsabilité. Le « coupable » d’erreur est-il la personne qui l’a commise ou celui qui l’a mis dans un contexte favorable à commettre cette erreur ? Quelles différences de traitement faut-il apporter aux « je ne savais pas » et « je n’ai pas fait attention » ?

L’erreur humaine et la cybersécurité

On le sait, on l’a répété et on le répètera encore : 90% des cyberattaques commencent par un email de phishing.

Ces attaques organisées poursuivent deux objectifs principaux : Vous extorquer de l’argent ou voler vos identifiants et vos données pour les revendre. Les techniques sont de plus en plus sophistiquées, et facilement disponibles sur le Dark Web. Le phishing consiste à vous adresser un email imitant parfaitement un environnement qui vous est familier, pour vous inciter à cliquer sur un lien illicite. La brèche est ouverte… Les cybercriminels peuvent alors pénétrer votre système informatique pour voler vos données ou les kidnapper avec demande de rançon (Ransomware). Mais d’autres types d’erreur peuvent faciliter le travail des cybercriminels, comme par exemple l’utilisation de mots de passe faibles, faciles à mémoriser mais cassables en quelques fractions de secondes ! Le risque informatique ne vient pas seulement de l’extérieur, ni forcément de cybercriminels. L’espionnage industriel existe réellement, et ne concerne pas seulement les grandes entreprises. Enfin, toutes les motivations de malveillance sont possibles : vengeance, jalousie, etc… Si l’erreur est humaine, la méchanceté l’est aussi ! Inscrire son mot de passe (même fort) sur un post-it, le communiquer au téléphone à une « personne de confiance » – le service support par exemple – laisser des documents confidentiels sur un bureau ouvert à tous et sans surveillance, ne pas verrouiller son ordinateur en quittant son bureau, sont des erreurs qui peuvent engendrer des conséquences dramatiques. Les exemples d’erreurs humaines sont infinis. Il est quasiment impossible d’anticiper toutes les actions ou inactions ou situations humaines qui peuvent créer une situation de risque informatique. Pour autant, les conséquences de ces risques peuvent être désastreuses, et il est de la responsabilité de chacun d’œuvrer à leur limitation. La cybersécurité n’est pas seulement un sujet informatique, mais concerne l’ensemble de l’entreprise. Les règles de cybersécurité sont une composante des règles d’hygiène et de sécurité de l’entreprise. A ce titre, l’entreprise doit les documenter, former ses collaborateurs aux bonnes pratiques et en contrôler le respect et l’application.

Les moyens techniques pour contenir l’erreur humaine et ses effets

Des pratiques simples et des solutions techniques peuvent efficacement aider le service informatique à réduire les erreurs humaines et réduire l’exposition au risque. Passons sur l’utilisation de firewall et antivirus qui sont la base d’une bonne défense. La 1ère mission du service informatique, en termes de cybersécurité, consiste à assurer la mise à jour en temps réel des logiciels et équipements utilisés dans l’entreprise, automatiquement et sans intervention des utilisateurs. Comme il est habituel de le faire pour les locaux sensibles, il est indispensable de gérer efficacement l’accès aux données et ressources informatiques aux seuls utilisateurs qui en ont besoin. Enfin, les attaques étant réalisées principalement par le vol des mots de passe, il peut être utile de proposer aux utilisateurs un coffre-fort qui va générer automatiquement des mots de passe forts pour chacun des accès des utilisateurs, sans que celui-ci ait besoin de le mémoriser.

La sensibilisation, l’éducation et le contrôle

Mais aucun moyen technique ne sera complètement efficace si les utilisateurs n’ont pas conscience de leur utilité, et de l’importance de les utiliser quotidiennement. Nous notions, en début d’article, les raisons invoquées pour expliquer une erreur : « je ne savais pas » et « je n’ai pas fait attention ». Dans ces 2 cas, l’éducation et la formation seront les mesures les plus efficaces pour lutter contre les risques d’erreur humaine (et cela dépasse largement le cadre de la cybersécurité). Il est indispensable de faire prendre conscience aux utilisateurs des risques informatiques, de leur comportement face à ces risques, et des conséquences engendrées par les mauvais comportements. Groupe Maiano accompagne ses clients dans la sensibilisation à la cybersécurité et la formation aux bonnes pratiques. Des outils simples et ludiques permettent de confronter les utilisateurs à des situations à risque et de mesurer l’efficacité leur niveau d’exposition. Progressivement, ils apprennent et appliquent les bonnes pratiques, et participent ainsi activement à la cybersécurité de l’entreprise.