Sécurité informatique : et si les sensibilisations étaient inutiles

Depuis que la cybersécurité est devenue une thématique assez commune, on n’a pas cessé de trouver un moyen pour répondre au besoin qui est de lutter contre la cybermalveillance toujours en propagation et prolifération.

Dans une bonne position, on a pensé que l’utilisateur pourrait, s’il est formé et sensibiliser, servir de rempart sérieux face à la cyber menace.

Cet article va aussi vous intéresser : Cybersécurité : les employés surchargés du secteur peuvent être des vulnérabilités

Cependant, il semblerait que nous nous sommes tous trompés. Du moins c’est ce que pense Cédric Cartau, le responsable de sécurité de système d’information au CHU de Nantes. « « L’informatique est le problème, l’humain est la solution », « L’utilisateur est le dernier rempart », « L’humain au cœur de la sécurité », voire mon préféré « L’humain maillon fort de la cyber » : en matière de poncifs, il y en a pour tous les goûts, manifestement conçus la plupart du temps par le stagiaire en marketing (voire de 3e). Et blablabla et blablabla. Sauf que tout cela, c’est du flan, bernique et gloubi-boulga en sauce. Voici pourquoi. », déclare le professionnel.

« Récemment, j’ai participé à une rencontre entre confrères, et le sujet de la sensibilisation était à l’ordre du jour de la petite sauterie. On n’avait pas perdu trop de temps sur le volet enfumage susnommé que l’un de nous sort tout de go : le problème des campagnes de phishing n’est pas tellement le taux de hit (comprendre : le nombre de salariés qui se sont fait prendre comme des bleus à cliquer sur le lien sur lequel il ne fallait pas ouvrir la pièce jointe de test) que de savoir comment l’interpréter. », raconte le RSSI.

Pourtant depuis toujours, on s’est toujours positionner dans le sens où la sensibilisation pourrait être une clé pour freiner l’avancée majeure de la cybercriminalité. Pourtant, selon ce spécialiste en sécurité informatique, l’argument autour de l’importance même de la sensibilisation souffre de deux insuffisances majeures.

La première insuffisance réside dans le fait que si vous avez 10 000 collaborateurs dans une entreprise, il suffit d’un seul cliquer pour lancer l’installation d’un programme malveillant. En d’autres termes, une sensibilisation qui n’atteint pas les 100 pourcents n’est pas une sensibilisation utile.

La deuxième insuffisance réside aussi dans le fait qu’il faut prouver qu’une sa sensibilisation porte réellement ses fruits. Car il ne suffit pas seulement de lancer les tests à l’aveuglette, il faut aussi s’assurer de l’Impact de ses actions sur les personnes qui sont ciblées. Le problème c’est que de manière pratique, aucune étude ou aucune analyse en aval n’a été réalisée pour mesurer l’impact des campagnes de sensibilisation dont on fait la loge à tout bout de champ.

« Le dernier truc à la mode, ce sont les escape games. C’est trendy, c’est hype. Il s’agit de mettre 10 ou 12 gugusses dans une pièce et de les faire jouer à une sorte de jeu de rôle plus ou moins sophistiqué avec tous les codes des parties de Donjons et Dragons des années 1980 : les gadgets, le maître de jeu, les événements qui surviennent en cours de partie. Si vous avez tout plein de sous, certains prestataires mettent même à disposition des locaux avec tout le décorum : pièces décorées, écrans avec des chiffres 0 et 1 qui défilent comme dans Matrix (authentique) et même les types en capuche pour effrayer la donzelle, mais c’est en option. C’est trendy, c’est hype, et c’est idiot : par fournées de 12 personnes, il va falloir combien de temps pour sensibiliser tout le personnel d’un GHT, y compris les VIP, y compris les médecins, les soignants, la DSI ? Sans compter qu’il faut mettre tout ce beau monde pendant 2 ou 3 heures, voire plus, dans une pièce – c’est vrai qu’on n’est pas du tout en tension RH dans les hôpitaux en ce moment. Bref, cela peut être utile, mais pour quel type de population ? Quelle étude a été réalisée pour mesurer l’impact des escape games selon le type d’utilisateur ? Quelle est leur efficacité ? », souligne le RSSI du CHU de Nantes.

Toutefois, dire que la sensibilisation est totalement inutile et sûrement un moyen d’interpeller sur certaines réalités. En effet il ne suffit pas seulement de sensibiliser. Il faut aussi s’assurer que les actions qui sont mener porte réellement leurs fruits. Faire une sensibilisation sans réelle objectif juste pour se classer dans la catégorie des personnes sensibilisées.

Accédez maintenant à un nombre illimité de mot de passe :