samedi 21 juillet 2012

Sécurité de l'Information : faut-il abandonner la sensibilisation des utilisateurs ?

A première vue, la problématique ainsi posée peut paraitre décalée si ce n'est provocatrice. En effet, et depuis des années, les entreprises qui traitent sérieusement de la protection et de la sécurité de leurs systèmes d'information s'appuient toutes sur une sorte de carré magique : un référentiel adossé à une politique (PSSI), des moyens spécialisés, une organisation fonctionnelle au centre de laquelle le RSSI est la pierre angulaire et enfin l'éducation des utilisateurs. 

Ces derniers, souvent qualifiés de maillon faible ou, plus rarement, de maillon fort en vertu de leur niveau de sensibilisation et de formation, devraient dorénavant être écartés du budget alloué à la sécurité du SI au profit unique d'un axe double : le cloisonnement des réseaux et la sécurité (robustesse) de l'environnement. C'est en tout cas ce que pense Dave Aitel, le président¹ d'une société américaine de sécurité des SI.

Arguant du fait que l'évolution² des menaces récentes s'affranchit dorénavant du niveau des utilisateurs, même parfaitement formés, il s'appuie sur le retour d'expériences difficilement contestable de sa société, citant également le fameux "West Point Carronade". Il est évident qu'il suffit d'un seul salarié cliquant sur la pièce jointe infectée d'un courriel piégé pour permettre la réussite d'une attaque ciblée. Hors, les sensibilisations et même les formations les plus poussées ne garantiront jamais que 100% des utilisateurs ne se feront pas (ou plus) leurrés.

Cependant, ce type d'action fait encore partie de la vaste palette des moyens permettant une réduction des risques. Ces quelques % sont donc bon à prendre dans un environnement technique de plus en plus sophistiqué et agressif. Une règle comme le "10-10"³ doit d'ailleurs devenir le socle minimum en dessous duquel la sécurité pourra être considérée comme un effet d'annonce, une variable d'ajustement voire une vaste fumisterie. Si ce n'est les trois à la fois ?!

¹ accessoirement ancien "scientifique informatique" de la NSA, il a fondé Immunity Inc qui est spécialisée dans la sécurité offensive (audits et tests de pénétration) pour le secteur financier
² du type attaques persistantes en profondeur (improprement appelées APT ou menaces persistantes avancées) ou maliciels complexes et furtifs comme Stuxnet, DuQu ou Flame
³ au moins 10% du budget de la DSI pour la sécurité, 10% du budget de la SSI pour la formation et les actions de sensibilisation


Inspiré par :
http://features.techworld.com/security/3371037/why-employees-shouldnt-be-trained-for-security-awareness/
http://iconixtruemark.files.wordpress.com/2011/05/phishing-training-a-losing-cyberwar-stategy-rev-5-18-11.pdf

2 commentaires:

eddysdeder a dit…

Analyse Spécieuse je trouve... Pourquoi sécuriser son Infra, puisque qu'une seule petite erreur peut suffire à le rendre vulnérable?
Non, je préfère m'intéresser aux processus de renforcement de ces sensibilisations.
Quelqu'un a-t'il déjà essayé ce serious game ? (je trouve l'initiative interessante)
http://www.agentsurefire.fr

Sivispacem a dit…

Merci pour votre commentaire, intéressant !

Il n'est fait nulle part allusion dans cet article à l'infrastructure, bien au contraire, puisque je traite principalement du volet humain.
Je ne perçois pas le caractère spécieux de mon propos mais accepte la critique.

Par ailleurs, chaque élément (technique, organisationnel, juridique) est complémentaire puisque la cybersécurité n'est pas monobloc. Si en plus des erreurs et des malveillances vous disposez d'une infra instable, non-maîtrisée et ouverte à tous les vents, il faut sans doute changer de métier ! ;)