IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

La sécurité de l'information doit se concentrer sur le facteur humain,
Afin de s'attaquer aux vulnérabilités psychologiques

Le , par Bruno

63PARTAGES

13  0 
L'Homme a souvent été considéré comme le « maillon faible » de la sécurité de l'information. Les organisations ont toujours misé sur l'efficacité des équipements de sécurité informatique au lieu d'essayer de comprendre pourquoi les employés sont susceptibles d'être exposés aux erreurs. Selon le forum pour la sécurité de l'information (ISF), une nouvelle approche s’impose. Une approche qui aidera les organisations à comprendre et à gérer les « vulnérabilités psychologiques », et a adopté des technologies et des contrôles qui sont conçus en tenant compte des ressources humaines.

« Les responsables en sécurité de l'information devraient mettre l'être humain au centre des questions sur la sécurité informatique. En suite, chercher à comprendre ces vulnérabilités psychologiques et les gérer ». Déclare un membre de l'ISF. Les recherches de l'ISF ont montré que les organisations font des efforts pour gérer les failles de sécurité interne. En effet, les employés d'une entreprise sont susceptibles de commettre des erreurs. Les techniques de sécurité traditionnels s'avèrent de moins en moins efficaces pour prévenir les attaques internes et externes. Les cybercriminels utilisent de plus en plus des attaques ciblées, basées sur l'ingénierie sociale au détriment d’attaques basées sur des logiciels malveillants.


« La sécurité centrée sur les personnes commence par reconnaître que les humains ont des vulnérabilités psychologiques susceptibles d'avoir une incidence sur la prise de décision », déclare Steve Durbin, directeur général d'ISF. « Lors de l’exécution des tâches, les utilisateurs peuvent commettre des erreurs pouvant conduire à des incidents de sécurité, affectant ainsi l'organisation. En comprenant ce qui cause l'erreur humaine et les méthodes psychologiques utilisées par les cybercriminels pour manipuler leurs cibles, les organisations peuvent améliorer la sécurité et concevoir des méthodes de contrôles plus efficaces. Ce qui leur permet d’atténuer le risque d’erreur humaine ».

Lorsqu'il prend des décisions, l'esprit humain doit traiter une énorme quantité d'informations, mais l'être humain est limité par le temps dont il dispose pour prendre des décisions, ainsi que par la quantité d'informations dont il dispose. Les faiblesses dans la capacité du subconscient humain signifient que les humains recherchent des raccourcis cognitifs pour réduire l'effort que le cerveau humain déploie pendant la prise de décision, en particulier pendant les périodes de forte pression. Ces raccourcis sont connus sous le nom d'heuristique.

Les heuristiques sont des processus mentaux efficaces qui aident les humains à résoudre des problèmes et à apprendre de nouveaux concepts. Ces processus rendent les problèmes moins complexes en ignorant une partie de l'information qui entre dans le cerveau. L'heuristique est un élément essentiel d'une prise de décision rapide. Les biais cognitifs quant à eux sont des erreurs systématiques de raisonnement qui mènent à des échecs lors de la prise de décisions.


Relation entre heuristique, biais cognitifs et erreurs

La sensibilisation aux vulnérabilités psychologiques et aux techniques utilisées par les pirates pour les exploiter, puis l'adaptation d'une formation de sensibilisation à la sécurité davantage centrée sur l'être humain en fonction des différents groupes d'utilisateurs devraient être des éléments fondamentaux pour améliorer les stratégies de sécurité informatique.

« Une approche de la sécurité centrée sur l'être humain peut aider les organisations à réduire considérablement l'influence des biais cognitifs qui causent des erreurs. La technologie, les contrôles et les données peuvent être gérés en tenant compte du comportement humain, tandis que l'amélioration de l'environnement de travail peut réduire le stress et la pression », ajoute Durbin. « Une fois la sécurité de l'information comprise du point de vue de la psychologie, les organisations seront mieux préparées à gérer et à atténuer les risques posés par la vulnérabilité humaine. Une sécurité centrée sur l'humain pourrait aider les organisations à transformer leur maillon le plus faible en leur atout le plus fort ».

Source : ISF

Et vous ?

Pensez-vous que cette approche peut être une réponse à la menace sans cesse croissante des techniques d'attaque ?

Voir aussi :

L'homme demeure le maillon le plus faible de la sécurité de l'information, selon un nouveau rapport sur la protection des données aux États-Unis

Les employés et les sous-traitants exposent les informations en ligne dans 98% des organisations, selon un rapport

Les menaces internes posent les plus grands risques de sécurité dans une entreprise, selon un sondage qui met l'accent sur les employés négligents

61 % des RSSI estiment que les employés divulguent accidentellement des données de leurs entreprises, selon une enquête

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de
https://www.developpez.com
Le 21/09/2019 à 14:55
Les "truands du web" on va dire les "black hackers" . Ceux qui ont des intérêts vraiment malhonnêtes ont plusieurs possibilités à leur fin :

* siphonner des BDD avec de la donnée personnelle pour savoir "qui attaquer"
* siphonner des données sur des process/méthode pour avoir une connaissance du "fonctionnement"

Ils disposent du phishing, ingénieurie sociale ... Bref souvent de quoi leurrer les systèmes et ont une longueur d'avance pour contourner des barrières.

Ajoutez à cela une communication omnicanal qui est pire qu'un tsunami, même une personne avertie peut se faire avoir au vu du nombre de sollicitations qu'elle reçoit. Sinon une mesure plutôt efficace. Tout ce qui est "douteux" est automatiquement à éjecter ... quitte à éjecter du "faux positif". C'est dommage d'en arriver dans ce type de situation extrême , mais parfois c'est le prix à payer pour être "tranquille".

Au plus l'humain est sollicité au plus le risque d'erreur grandit. Un humain n'est pas une machine ...
0  0