Opinion

Le facteur humain et son importance dans la cybersécurité

Atalayar_Ciberseguridad

Actuellement, les cyberattaques sont à l'ordre du jour. En deux mois, nous avons eu deux attaques très médiatisées, mais beaucoup d'autres n'ont pas été autant couvertes et beaucoup d'autres n'ont pas été révélées au public. Dans tous ces cas, il y a un facteur clé, la personne.  Dans un pourcentage très important de cas, nous sommes le point d'entrée des pires attaques. Nous analysons l'importance de l'utilisateur et du facteur humain dans la cybersécurité ; comment il influence la défense de nos systèmes et comment être plus cybersécurité.

1.- Présence de l'utilisateur dans les systèmes :

Aujourd'hui, tout le monde, en Espagne et dans le monde entier, doit se connecter à l'internet ou à un dispositif quelconque pour travailler, gérer une procédure bureaucratique, communiquer ou simplement pour les loisirs. Il va sans dire que ces interactions se sont multipliées en raison de la pandémie et du télétravail.

Nous savons également que l'utilisateur n'est pas un agent isolé, mais qu'il interagit dans différents environnements : travail, domicile, appareils mobiles, appareils IoT, etc. Il interagit.

Dans ce contexte, les pièges que nous tendent les cybercriminels sont de plus en plus originaux et sophistiqués, et une grande partie d'entre eux sont conçus pour exploiter les lacunes de l'utilisateur en matière de cybersécurité.

On a toujours dit qu'une chaîne est aussi forte que son maillon le plus faible, ce qui s'applique parfaitement au domaine de la cybersécurité. Une entreprise ou une famille peut investir d'énormes ressources pour rendre ses ordinateurs ou ses téléphones portables pratiquement impénétrables, mais si les utilisateurs eux-mêmes se chargent d'ouvrir des trous dans ces barrières, nous serons complètement compromis et vulnérables aux attaques.

Il y a quelques jours, une alerte INCIBE a été publiée mettant en garde (comme chaque année) contre une attaque de phishing qui tente d'usurper l'identité de l'Agence fiscale en cette période de paiement de l'IRPF. C'est un classique annuel. Nous pouvons compter sur le meilleur antivirus, utiliser des VPN, des mots de passe forts, toutes sortes de mesures défensives (qui ne sont pas exclusives ou exclusives des autres), mais un simple clic, permettant le téléchargement de matériel inapproprié, le dommage fait et est entré dans la maison.

La société de conseil Deloitte, s'exprimant après la fameuse attaque WannaCry, a souligné que le ver a été distribué par une campagne de phishing où l'action humaine était essentielle pour son entrée et sa propagation, ce sont les travailleurs des entreprises touchées eux-mêmes qui ont diffusé et laissé entrer le malware sans en avoir conscience.

En fait, dans une étude menée par Kapersky, la société de cybersécurité, 52 % des entreprises admettent que les employés constituent leur plus grand risque en matière de cybersécurité.

2.- Types d'attaques et influence personnelle

Dans presque toutes les attaques, il y a une responsabilité personnelle. Il ne s'agit pas tant de savoir quelles attaques impliquent l'utilisateur en tant que déclencheur ou attaquant, mais dans quelle mesure c'est la personne elle-même qui, consciemment ou non, génère une vulnérabilité par laquelle s'introduit le logiciel malveillant qui infecte le système.

Les cybercriminels savent qu'ils doivent s'introduire par un trou ou exploiter une vulnérabilité, et il sera toujours plus probable de tirer parti d'une défaillance humaine que d'un Zero-Day (une vulnérabilité connue uniquement de l'attaquant et pour laquelle il n'existe pas encore de correctif) ou d'un pare-feu mal configuré. En outre, il existe une chance de réussite de l'attaque pour chaque utilisateur d'un système : vous pouvez jeter un hameçon et le lancer mille fois et si un seul poisson mord, l'attaque a déjà été réussie.

Au sein de ces faiblesses, qui sont les personnes, nous pouvons trouver des attaques encore plus personnalisées telles que la fraude au PDG où une identité spécifique est usurpée, en utilisant des données préalablement obtenues par divers moyens d'ingénierie sociale comme OSINT, HUMINT, VIRTUALHUMINT (d'où l'importance de la vie privée sur Internet et que nous fassions attention à ce que nous publions). Il peut même s'agir d'un courriel ou d'un message très spécifique provenant d'un criminel qui usurpe l'identité d'une personne en qui vous avez confiance (amis, partenaire, famille...).

Il peut également s'agir d'attaques massives, comme celle de l'Agence des impôts mentionnée plus haut ou celle qui se fait passer pour la DGT, avertissant d'une fausse amende, car ce sont des campagnes très bon marché mais à fort impact.

Une autre attaque massive consiste à introduire un dispositif USB ou un CD contenant un logiciel malveillant afin que l'employé puisse l'insérer dans son ordinateur ou celui de l'entreprise, en pensant qu'il contient des informations légales ou du moins inoffensives.

Attention, il ne s'agit pas seulement d'être désemparé. Il y a, et ce n'est pas rare, la figure de l'insider ou de l'initié, que nous pouvons rapidement définir comme "l'ennemi intérieur" ; quelqu'un qui décide malicieusement d'attaquer le système de l'intérieur, ou de générer une vulnérabilité de manière consciente et motivée. Dans son rapport annuel 2019 sur les cybermenaces, le National Cryptologic Center leur n’attribue pas moins de 25 % des incidents. Il peut s'agir d'un travailleur licencié, qui, animé par la haine et le ressentiment, décide de nuire à l'entreprise.

3.- Quelles sont les causes qui génèrent ces vulnérabilités et comment les éviter ?

Les causes sont peu nombreuses, mais chacune d'entre elles est très forte. L'une d'entre elles, sans aucun doute, est le manque de formation de l'utilisateur ou de l'employé, qui ne sait pas faire la différence entre une menace et un contenu inoffensif. Ils ne sont pas formés pour vérifier les liens sur lesquels ils cliquent ou si le document qu'ils téléchargent semble "mauvais". Un peu d'attention permettrait d'éviter une bonne partie des attaques.

Cependant, nous ne pouvons pas être formés si nous ne sommes pas conscients de la menace que nous représentons pour nous-mêmes et notre environnement. Par conséquent, la formation devrait s'accompagner d'une prise de conscience de l'importance de savoir ce que nous faisons et ce que nous supposons, même en supposant que nos organisations nationales de cybersécurité (par exemple INCIBE, CCN, IS4K, OSI...) disposent d'une quantité importante de ressources pour tous les âges, domaines, connaissances, compétences... 

Un autre facteur est la sophistication de l'attaque : il est beaucoup plus difficile de détecter une attaque chirurgicale contre notre personne ou notre entreprise lorsque les données et l'appât sont très bien choisis. Dans ces cas, notre travail défensif commence plus tôt, en empêchant nos données de devenir publiques, de fuir, en changeant périodiquement les mots de passe, etc. Bien sûr, il y aura aussi des attaques plus grossières et génériques, que nous pourrons éviter avec un peu d'attention et de sensibilisation. Et si, dans notre environnement, il y a des utilisateurs jeunes ou plus âgés, moins expérimentés, nous devons également prendre en charge ces attaques avant, avec un antivirus et en les éduquant à l'utilisation de la technologie. Nous devons être conscients qu'aucun utilisateur n'est seul, que nous vivons dans des cyber-écosystèmes tels que les réseaux wifi, les intranets, etc. qui peuvent mettre en danger le reste de notre environnement.

En plus de tout ce qui précède, nous devons avoir quelques directives de bonnes pratiques dans nos PME, ne pas mélanger dans les dispositifs de travail personnels, avoir des autorisations d'utilisateur bien configurées, etc. C'est un métier qui se partage entre le côté purement technologique et l'instinct de défense de chacun.

Conclusion

Nous sommes un risque, pour nous-mêmes et pour ceux qui nous entourent. Lorsque nous conduisons une voiture, nous devons être conscients des avantages et des risques. Le facteur humain dans la cybersécurité est une vulnérabilité de plus dans tout système de sécurité et nous devons en prendre soin autant ou plus que les barrières logicielles ou matérielles. Il n'y a pas de mesure de sécurité exclusive ou excluante.

Daniel Juanes Fernández/Analyste du renseignement/Collaborateur du secteur de la cybersécurité de Sec2Crime.