L'Homme a souvent été considéré comme le « maillon faible » de la sécurité de l'information. Les organisations ont toujours misé sur l'efficacité des équipements de sécurité informatique au lieu d'essayer de comprendre pourquoi les employés sont susceptibles d'être exposés aux erreurs. Selon le forum pour la sécurité de l'information (ISF), une nouvelle approche s’impose. Une approche qui aidera les organisations à comprendre et à gérer les « vulnérabilités psychologiques », et a adopté des technologies et des contrôles qui sont conçus en tenant compte des ressources humaines.« Les responsables en sécurité de l'information devraient mettre l'être humain au centre des questions sur la sécurité informatique. En suite, chercher à comprendre ces vulnérabilités psychologiques et les gérer ». Déclare un membre de l'ISF. Les recherches de l'ISF ont montré que les organisations font des efforts pour gérer les failles de sécurité interne. En effet, les employés d'une entreprise sont susceptibles de commettre des erreurs. Les techniques de sécurité traditionnels s'avèrent de moins en moins efficaces pour prévenir les attaques internes et externes. Les cybercriminels utilisent de plus en plus des attaques ciblées, basées sur l'ingénierie sociale au détriment d’attaques basées sur des logiciels malveillants.
« La sécurité centrée sur les personnes commence par reconnaître que les humains ont des vulnérabilités psychologiques susceptibles d'avoir une incidence sur la prise de décision », déclare Steve Durbin, directeur général d'ISF. « Lors de l’exécution des tâches, les utilisateurs peuvent commettre des erreurs pouvant conduire à des incidents de sécurité, affectant ainsi l'organisation. En comprenant ce qui cause l'erreur humaine et les méthodes psychologiques utilisées par les cybercriminels pour manipuler leurs cibles, les organisations peuvent améliorer la sécurité et concevoir des méthodes de contrôles plus efficaces. Ce qui leur permet d’atténuer le risque d’erreur humaine ».
Lorsqu'il prend des décisions, l'esprit humain doit traiter une énorme quantité d'informations, mais l'être humain est limité par le temps dont il dispose pour prendre des décisions, ainsi que par la quantité d'informations dont il dispose. Les faiblesses dans la capacité du subconscient humain signifient que les humains recherchent des raccourcis cognitifs pour réduire l'effort que le cerveau humain déploie pendant la prise de décision, en particulier pendant les périodes de forte pression. Ces raccourcis sont connus sous le nom d'heuristique.
Les heuristiques sont des processus mentaux efficaces qui aident les humains à résoudre des problèmes et à apprendre de nouveaux concepts. Ces processus rendent les problèmes moins complexes en ignorant une partie de l'information qui entre dans le cerveau. L'heuristique est un élément essentiel d'une prise de décision rapide. Les biais cognitifs quant à eux sont des erreurs systématiques de raisonnement qui mènent à des échecs lors de la prise de décisions.
Relation entre heuristique, biais cognitifs et erreurs
La sensibilisation aux vulnérabilités psychologiques et aux techniques utilisées par les pirates pour les exploiter, puis l'adaptation d'une formation de sensibilisation à la sécurité davantage centrée sur l'être humain en fonction des différents groupes d'utilisateurs devraient être des éléments fondamentaux pour améliorer les stratégies de sécurité informatique.
« Une approche de la sécurité centrée sur l'être humain peut aider les organisations à réduire considérablement l'influence des biais cognitifs qui causent des erreurs. La technologie, les contrôles et les données peuvent être gérés en tenant compte du comportement humain, tandis que l'amélioration de l'environnement de travail peut réduire le stress et la pression », ajoute Durbin. « Une fois la sécurité de l'information comprise du point de vue de la psychologie, les organisations seront mieux préparées à gérer et à atténuer les risques posés par la vulnérabilité humaine. Une sécurité centrée sur l'humain pourrait aider les organisations à transformer leur maillon le plus faible en leur atout le plus fort ».
Source : ISF
Et vous ?
Pensez-vous que cette approche peut être une réponse à la menace sans cesse croissante des techniques d'attaque ?Voir aussi :
L'homme demeure le maillon le plus faible de la sécurité de l'information, selon un nouveau rapport sur la protection des données aux États-Unis Les employés et les sous-traitants exposent les informations en ligne dans 98% des organisations, selon un rapport Les menaces internes posent les plus grands risques de sécurité dans une entreprise, selon un sondage qui met l'accent sur les employés négligents 61 % des RSSI estiment que les employés divulguent accidentellement des données de leurs entreprises, selon une enquête 
