Stratégie Cybersécurité – axe 2 : l’éducation
Une bonne stratégie pour sécuriser un Système d’Information passe par 3 axes : la technologie, l’éducation et la normalisation.
Cet article aborde le 2ème axe : la sécurité par l’éducation.
Si l’axe technologique est nécessaire, il n’est pas suffisant et l’éducation est primordiale pour que la technologie joue son rôle. En effet, l’erreur humaine est impliquée dans la majorité des incidents de sécurité dans les entreprises ou collectivités. Les utilisateurs sont les premiers points d’entrée du SI, mais aussi le premier rempart contre les attaques.
Il est donc important que les utilisateurs prennent conscience des risques qu’ils font prendre à leur collectivité par de mauvaises pratiques.
Aborder la sécurité par l’éducation, c’est naturellement former les personnels mais aussi assurer de la veille et des audits de sécurité.
Les formations à la sécurité informatique restent incontournables pour appréhender les risques et les menaces et y faire face. Cependant, il faut adapter les formations aux publics. Naturellement, les utilisateurs du SI n’ont pas besoin des mêmes formations que les informaticiens. Pour ces derniers, il faut même distinguer les métiers. Un chef de projet d’une application web n’aura pas les mêmes besoins que l’administrateur en charge de l’infrastructure réseau et système.
Le plus souvent, les informaticiens et les experts en charge de la sécurité informatique sont bien formés et sensibilisés. Ce n’est donc pas forcément sur eux que pèsent les menaces. Ils peuvent toutefois être la cible de cyber attaquants, car ils bénéficient des niveaux de privilèges les plus élevés sur le SI.
Les personnes les plus exposés aux risques et aux menaces sont aujourd’hui les utilisateurs du SI, à tous les niveaux hiérarchiques, ainsi que les élus. Pour tous, une bonne stratégie est de leur faire bénéficier de sessions de sensibilisation à la sécurité, et de façon régulière, car les menaces évoluent constamment.
Une session de sensibilisation peut comprendre un volet théorique avec les enjeux, les acteurs de la cybercriminalité, les menaces et les risques, et surtout un volet pratique.
Elle peut par exemple présenter les bonnes pratiques sur :
- La sécurité physique,
- La sécurité logique,
- La gestion des mises à jour,
- La gestion des données,
- Les comportements à adopter en déplacement,
- La vie professionnelle et la vie personnelle numérique,
- Les réseaux sociaux
- ….
Une session de sensibilisation comprend aussi les bons comportements à adopter face aux menaces, comme par exemple le phishing qui est le vecteur principal d’attaque.
On peut aussi compléter les sessions de sensibilisation par des tests pour s’assurer que les utilisateurs appliquent les recommandations et les bons réflexes. C’est le cas notamment des campagnes de test de phishing réalisées par des sociétés spécialisées. L’utilisateur peut ainsi vérifier s’il s’est fait piéger et apprendre de ses erreurs.
Dans tous les cas, il est important que les utilisateurs du SI prennent conscience que la sécurité est l’affaire de tous, que c’est une contrainte et qu’il faut un effort continu pour maintenir un bon niveau.
Une autre façon d’aborder la sécurité par l’éducation est de se maintenir en veille sur le sujet. Cela concerne principalement les informaticiens et les experts en charge de la sécurité numérique.
Les actions de veille permettent par exemple de connaître les dernières menaces et risques, mais aussi les recommandations des acteurs du secteur. On peut citer par exemple :
- les failles identifiées et publiées par les éditeurs et constructeurs, avec les mises à jour de sécurité associées,
- les dates de fin de support des produits (qui ne bénéficient alors plus des mises à jour),
- les recommandations des organismes institutionnels comme l’ANSSI (stratégie de mots de passe par exemple), …
Si vous souhaitez structurer la veille, vous pouvez mettre en place un processus de veille de sécurité qui s’appuie sur 3 axes :
S’informer
L’idée ici est de suivre des flux d’information, dont la provenance, la pertinence et la fréquence sont à définir en fonction de vos objectifs. Il faut déterminer le périmètre de votre veille. Concentrez-vous par exemple sur vos équipements pour les vulnérabilités publiées par les constructeurs.
Mettre en place un processus d’amélioration continue
Planifiez un processus par exemple sur le modèle de la roue de Deming avec la méthode PDCA (« Plan, Do, Check, Act »). Cette méthode comporte 4 étapes, chacune entrainant l’autre, et vise à établir un cercle vertueux : Préparer => Développer => Contrôler => Ajuster.
Analyser les informations
Les informations recueillies doivent apporter une valeur et se traduire en actions. Si l’information n’implique pas de prise de décision, c’est qu’elle n’est probablement pas pertinente.
Un audit de sécurité permet d’analyser les infrastructures techniques et d’identifier les faiblesses des matériels, des logiciels, des applications, des données et des procédures. Cela permet de connaître les vulnérabilités exposées aux cyber attaquants et d’engager les mesures correctives.
L’audit doit être réalisé régulièrement, tous les 3 ans par exemple, pour s’inscrire une nouvelle fois dans un processus d’amélioration continue.
En conclusion
La sécurisation du SI par l’éducation complète la sécurisation par la technologie et contribue à limiter les incidents de sécurité, grâce à l’adoption des bonnes pratiques par les utilisateurs du SI.
Cependant, il manque encore une dimension pour que la stratégie soit optimale : la sécurisation par la normalisation. Il est en effet primordial de connaître les normes, les règlementations et le cadre légal dans lequel s’inscrit la cybersécurité.
Notre prochain article aborde ainsi la sécurisation du SI par la normalisation.
Stratégie Cybersécurité - axe 1 : la technologie
Quelles sont les solutions techniques pour répondre aux exigences de disponibilité, de confidentialité et d’intégrité de l’information ?
Stratégie Cybersécurité - axe 3 : la normalisation
Pour que la stratégie de sécurisation d’un SI soit optimale, il faut également connaître les normes, les règlementations, les préconisations et le cadre légal dans lequel s’inscrit la cybersécurité.
