Ce contexte nous contraint à innover pour assurer la continuité d’activité des entreprises. Si les répercussions de la pandémie sont indéniables, notre capacité à répondre à des défis durables a été remarquable.

2021 continuera de refléter la résilience et l’ingéniosité de l’être humain. Ce sera l’année des solutions alternatives et des menaces internes, où des utilisateurs trouveront des moyens pour atteindre leurs objectifs en dépit des obstacles d’ordre personnel ou professionnel. Ces solutions alternatives, raccourcis et autres stratégies créatives au travail sont à la fois un témoignage de l’inventivité humaine et un risque pour les entreprises qui cherchent désespérément à conserver une visibilité sur leurs ressources. 

En définitive, le partage de données et l’accès aux réseaux d’entreprise par de nouvelles méthodes, parfois peu orthodoxes, sont assez risqués, en particulier pour les entreprises qui n’ont pas l’habitude de gérer des télétravailleurs.

La conséquence de ces évolutions est que, pour être efficaces, les stratégies de cybersécurité ne pourront plus se cantonner à utiliser la technologie comme force unilatérale de contrôle des comportements humains. Les entreprises devront plutôt se faire à la réalité, à savoir que l’empilement de technologies ou de mesures de sécurité ne suffit pas à assurer la conformité des comportements, notamment lorsqu’il s’agit de respecter des principes de sécurité et une cyber-hygiène adéquate.

En réalité, des couches supplémentaires de sécurité risquent de faire sortir des clous un nombre croissant d’utilisateurs, en raison de dispositifs de plus en plus lourds qui les freinent dans l’accomplissement de leurs tâches ou entravent leur accès à des ressources essentielles de l’entreprise.

Comprendre avant de prévoir

Étant donné ce contexte, il est crucial pour les entreprises de comprendre comment leurs collaborateurs s’adaptent, réagissent et communiquent des informations à leurs environnements. Depuis bien trop longtemps, le secteur technologique crée des produits en partant du principe que leurs utilisateurs s’en serviront d’une manière attendue ou uniforme, ou encore que ceux-ci se plieront à des règles et des contraintes fixées par des équipes d’ingénieurs bien intentionnés.

Si l’année 2020 nous a appris quelque chose, c’est que les utilisateurs ne sont pas toujours prévisibles et qu’il est hasardeux de se livrer à des hypothèses sur les comportements humains. Il en ressort que les attentes, les consignes, les meilleures pratiques et même les ordres, peuvent entraîner des réactions diverses, allant d’un strict respect à une désobéissance contestataire.

Pour faire face à ce défi, nous pouvons en apprendre plus sur les motivations de ces comportements et sur la façon dont les utilisateurs optent finalement pour telle ou telle réaction. Nous pouvons également nous attacher à concevoir et mettre en œuvre des pratiques et outils de sécurité qui fonctionnent avec les êtres humains plutôt que contre eux. Pour ce faire, nous devons nous concentrer sur la mesure et l’analyse des comportements au lieu de nous focaliser exclusivement sur la détection des attaques et des vulnérabilités.

Par exemple, nous savons que les besoins immédiats des utilisateurs l’emportent souvent sur les éventuelles conséquences négatives de leurs actes. C’est encore plus vrai lorsque ces conséquences n’ont pas un impact direct sur l’individu. Cela signifie que, pour atteindre nos objectifs, nous empruntons fréquemment la voie la plus facile. Malheureusement, la solution de facilité est, dans bien des cas, plus risquée que la voie « idéale ».

Confrontés à la frustration, à la lourdeur de la sécurité des outils de partage des fichiers et des données, nous pouvons nous tourner vers des applications personnelles dans le cloud. Rien ne sert d’édicter des règles pour empêcher les utilisateurs de verser dans ce type de comportement. Il nous faut plutôt mieux comprendre ces comportements afin de trouver comment en atténuer les risques pour les entreprises et leurs ressources.

Intégrer la compréhension des comportements dans les systèmes

Dans le secteur de la cybersécurité, l’observation et la compréhension des comportements doivent tenir compte du contexte. Ce qui peut apparaître au premier abord comme un acte flagrant de malveillance susceptible d’aboutir à une fuite de données – par exemple un ingénieur demandant à accéder à plusieurs répertoires de données sensibles en l’espace de deux jours – pourrait en fait n'être qu’une tâche de routine s’inscrivant dans le travail de cette personne. L’ingénieur s’est peut-être vu intégré à plusieurs nouveaux projets d’où le besoin de cet accès pour collaborer avec sa nouvelle équipe.

Il est souhaitable que les utilisateurs puissent effectuer leur travail dans le cadre des contraintes du réseau et des règles de sécurité de l’entreprise. Par conséquent, le fait de les bloquer ne ferait qu’encourager le penchant humain à trouver un moyen plus simple (et moins sûr !) d’accomplir leurs tâches.

En mettant en place une équipe de recherche pluridisciplinaire, réunissant des experts de la sécurité, du contre-espionnage, de l’informatique et des sciences comportementales, il est possible d’intégrer la compréhension des comportements dans les systèmes de cybersécurité. Il s’agit d’un premier grand pas pour enfin commencer à nous prémunir des attaques, c’est-à-dire en concevant la sécurité du point de vue du facteur humain.

Par Margaret Cunningham, Principal Research Scientist chez Forcepoint