Dans un écosystème de plus en plus exigeant et règlementé, la cybersécurité est devenue un enjeu majeur pour les startups. Entre protection des données (RGPD) et conformité réglementaire (NIS, HDS, PDP), il est essentiel de comprendre les risques et de mettre en place des mesures adaptées pour assurer la pérennité et la croissance de votre entreprise. (En effet, nous pensons que la cyber n’est pas un frein, mais un accélérateur, on vous explique pourquoi)
Dans cet article, nous aborderons les enjeux, le contexte réglementaire, les actions minimales à mettre en place, l’importance des certifications et de la documentation, ainsi que les bénéfices attendus de ces démarches.
Les startups, en raison de leur taille et de leur rapidité d’innovation, n’ont pas toujours prévu les mesures de sécurité et peuvent être la cible privilégiée des cybercriminels.
Une cyberattaque peut avoir des conséquences désastreuses pour une jeune entreprise : vol de propriété intellectuelle, perte de confiance des clients, interruption de service ou encore sanctions financières. Face à ces risques, il est crucial d’adopter une approche proactive et maîtrisée en matière de cybersécurité.
Mais les enjeux liés à la cybersécurité vont bien au-delà de la simple protection des données.
Les grands groupes et NIS 2
En effet, elles doivent également répondre aux exigences de leurs partenaires, notamment les grands groupes, qui peuvent leur demander de remplir des questionnaires de sécurité très détaillés pour s’assurer de leur conformité. D’ailleurs, concernant ces grands groupes, la règlementation NIS 2 et son application entrainera l’obligation de certification ISO 27001 pour des 100aines de startups et sous-traitants.
Ensuite, une bonne gestion de la cybersécurité est un élément rassurant pour les investisseurs potentiels. Ces derniers cherchent à minimiser les risques et préfèrent donc investir dans des entreprises ayant mis en place des mesures de sécurité solides et conformes aux réglementations en vigueur.
Le graal étant l’obtention de la certification ISO 27001 en sécurité de l’information. Nos clients témoignent d’un avantage concurrentiel majeur suite à l’obtention de la certification.
Ainsi, une approche proactive en matière de cybersécurité contribue non seulement à protéger l’entreprise contre les cyberattaques, mais aussi à renforcer sa crédibilité auprès des partenaires et investisseurs.
Les actions clés à mettre en place pour sécuriser sa Startup ?
Vous voulez convaincre des clients ?
Si vous voulez convaincre des clients de vous suivre, vous devez vous sécuriser.
Pour assurer une protection optimale, voici quelques mesures de base à mettre en place au sein de votre startup :
Sensibilisation du personnel : former les collaborateurs aux bonnes pratiques en matière de cybersécurité est essentiel pour prévenir les incidents.
Mise à jour régulière des logiciels : les correctifs de sécurité doivent être appliqués dès leur publication pour réduire les failles potentielles.
Utilisation d’outils de sécurité : un antivirus, un pare-feu et des solutions de chiffrement des données sont indispensables.
Gestion des accès : limitez les permissions et mettez en place une politique de mots de passe robuste. A minima, faites des outils de suivi des entrées et sorties, suivi des différents accès aux solutions SaaS…
Assurez des sauvegardes régulières : Il est important de sauvegarder les données de votre entreprise régulièrement pour éviter toute perte de données.
Activer la vérification en deux étapes dès que c’est possible
La cyber pas si simple pour où démarrer ?
Bien entendu, ces quelques actions et mesures, vous les connaissez déjà Mais vous avez certainement du mal à :
Prioriser les mesures
À y voir clair sur ce qui est mis en place
À suivre et être sûr que les mesures restent bien en place,
À prouver ce que vous faites
C’est pour cela que l’on va plutôt vous conseiller à adopter une démarche structurée.
Établir vos enjeux et le contexte règlementaire
Lister vos actifs importants (données personnelles, données clients ..)
Analyser vos risques (Mesures en place, risques, Mesures à mettre en place)
Définir votre plan d’actions
Piloter
Contrôler via des contrôles de sécurité, audits ou tests d’intrusion
Instaurer des contrôles automatiques et des revues
S’améliorer (j’aime bien ce point)
L’importance des certifications et pourquoi pas l’ISO 27001 ?
Oh, mais cela ressemble à notre démarche 27001 ?
Si vous en êtes là, vous devez franchir le pas et passer la certification ISO 27001
La certification ISO 27001 est connue pour être une certification difficile, mais c’est faux !!!
Elle demande de la structure, de la méthode et surtout de l’Expérience. Chez Feel Agile, nous avons accompagné des 10 aines de Startup, il faut suivre une méthode claire et assurer un tryptique sacré :
Un chef de projet qui pilote les actions
une sensibilisation
une vraie compétence dans la mise en place
L’ISO 27001 est un gage de sécurité pour les clients et les partenaires. Elle atteste du respect des meilleures pratiques et des normes internationales. (L’ISO 27001, est une norme de management de la sécurité de l’information qui permet d’instaurer un Système de Management de la Sécurité de l’Information (SMSI) et de garantir la protection des données de l’entreprise et de ses clients.)
L’ISO 27001 coûte cher ?
Faux et archi faux !!!!
Au-delà du classique « c’est un investissement », chez Feel Agile, nous nous sommes faits un point d’honneur à démocratiser la cybersécurité. Une Startup de moins de 10 collaborateurs peut mettre en place et obtenir la certification à moins de 10 K€ avec inclus la certification sur 3 ans. (Le 25 mai, on vous explique comment)
Feel Agile, l’acteur cyber des Startups et entreprises agiles !
Nous sommes fiers et reconnaissants d’avoir pu accompagner des dizaines de Startups ces deux dernières années dans les certifications ISO 27001, HDS, 9001 …
Nous avons préparé pour vous quelques retours d’expérience de nos Startup préférées :
ODROA – (certifié HDS) spécialisée dans l’analyse et la gestion de données dites sensibles comme les données de santé.
Référentiel de sécurité des services informatiques en nuage
L’adoption massive des services cloud par le public et le privé a amené l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) à créer en 2016 un référentiel permettant d’évaluer le niveau de sécurité proposé par les fournisseurs de produits et services en SaaS, le SecNumCloud.
Depuis l’entrée en vigueur du RGPD, l’ANSSI en collaboration avec la CNIL a fait évoluer le référentiel. De plus, il inclut aujourd’hui de nouvelles exigences en matière de données personnelles. C’est donc l’occasion de faire le point sur cette qualification qui souhaite allier sécurité, fiabilité et transparence.
SecNumCloud
Pourquoi la qualification SecNumCloud ?
Revenons d’abord sur la notion de cloud. L’hébergement en nuage est un modèle de gestion informatique. Il permet l’accès via un réseau à des ressources informatiques partagées et configurables.
La particularité du cloud computing se manifeste par la mise à disposition de ressources, de manière dynamique ou automatique, sans intervention humaine de l’hébergeur. Trois types d’activités concernent l’hébergement en nuage. Notamment les infrastructures en tant que service (IaaS), les plateformes en tant que service (PaaS) ainsi que les logiciels en tant que service (Saas).
Avec l’externalisation des données, des inquiétudes peuvent apparaître sur la fiabilité et ralentir l’adoption du cloud computing.
Dans un contexte de recrudescence des cyberattaques de plus en plus complexes, le choix d’une solution sécurisée est donc un enjeu stratégique pour les entreprises ! Afin de guider les utilisateurs dans ce choix et de renforcer les capacités de cyberdéfense françaises, l’ANSSI a donc créé la qualification SecNumCloud en 2016.
Ce véritable référentiel de sécurité s’adapte totalement aux métiers de services en nuage. Son approche centralisée traite la problématique de sécurité de manière globale et ceci avec un cadre stable dans lequel les utilisateurs pourront fonder leur confiance en cette qualification.
Ce véritable référentiel de sécurité est totalement adapté aux métiers de services en nuage
Le SecNumCloud, c’est quoi ?
Ainsi, le SecNumCloud est conçu comme une véritable garantie du respect des bonnes pratiques de sécurisation des données. La norme ISO 27002 est l’un des socles de sa construction. Les exigences s’adaptent ainsi au contexte spécifique du Cloud et complétées.
Chiffrement des données, conformité à la RGPD, contrôle d’accès et gestion des identités renforcés, mise en place de zones privées et sensibles contrôlées, protection de l’information journalisée, établissement de convention de service avec le prestataire,… La qualification SecNumCloud met au cœur la réactivité et impose notamment un niveau de sécurité global significatif.
Le SecNumCloud, C’est pour qui ?
La qualification SecNumCloud s’adresse spécifiquement aux Opérateurs d’Importance Vitale et aux organismes étatiques. Mais elle concerne également chaque entreprise qui manipule des données sensibles et qui est soumise à des enjeux importants de sécurité et de confidentialité des données.
Comment ça marche ?
Pour obtenir cette qualification, les prestataires doivent répondre à un certain nombre d’exigences énumérées dans le référentiel. Ils constituent au préalable un dossier de demande qualification qui doit être accepté par l’ANSSI. Puis avec un chargé de qualification, ils élaborent une stratégie d’évaluation. Une fois l’évaluation réalisée, le directeur de l’ANSSI prend la décision finale de qualification du prestataire. Associé au Visa de Sécurité, la qualification SecNumCloud est valable pendant trois ans. Des audits de surveillance doivent être réalisés tous les 18 mois. Afin de contrôler la bonne conformité des dispositifs (retrouvez tous les centres d’évaluation sur le site de l’ANSSI).
Par cette qualification, l’Etat s’engage ainsi à ce que les services des fournisseurs d’hébergement en nuage audités et validés soient fiables et répondent notamment à toutes les exigences du référentiel.
Pour retrouver le référentiel d’exigences, c’est par ici.
Vous avez encore des interrogations ? N’hésitez pas à
nous contacter. Nous répondrons à
toutes vos questions et nous vous
accompagnerons dans la mise en place du référentiel SecNumCloud dans votre
structure.
Thomas
Contactez-nous
Des projets ? Des questions ? N'hésitez pas à nous contacter !
Un bon titre pour illustrer la gestion d’entreprise à l’ère des cyberattaques (avec des coûts qui mettent KO les plus fragiles).
Le scénario du Jeu de la Mort était plus encourageant : pour atteindre le chef mafieux qui attaque sa famille, Bruce Lee devait monter au sommet d’une pagode dans laquelle chaque étage était gardé par un combattant redoutable. Que le meilleur gagne.
Quand vient votre tour d’être confronté au danger, sécuriser les informations essentielles de votre activité au moyen de la méthode ISO 27001, plutôt que se contenter d’une gestion erratique et confuse, présente de multiples avantages, que je vais résumer en 4 étages points:
1) Pragmatisme : faites ce que vous voulez, et faites-le vraiment
Chaque entreprise a ses propres priorités et enjeux. L’ISO 27001 propose à la Direction de déterminer librement les mesures de protection qui conviennent à son contexte.
Il s’agit encore une fois de se concentrer sur ce qui est essentiel à son activité, pas d’atteindre un absolu.
Dans cette optique de pragmatisme, je dis toujours que ce qui compte pour que votre SMSI soit un atout dans votre jeu, c’est ce qui est vécu, effectivement pratiqué par vos équipes, pas un joli classeur rempli de procédures écrites déconnectées de votre réalité quotidienne.
Moi, j’aime prendre exemple sur Bruce Lee : vraiment agile, il s’adapte parfaitement au contexte de chaque combat.
2) Clarification : en interne et vis-à-vis de l’extérieur
Utiliser l’ISO 27001 vous aide à y voir clair :
dans vos priorités,
dans votre exposition aux risques,
et dans les responsabilités de chacun
…puis vous conduit efficacement vers la détermination des objectifs facteurs de succès.
Pour le dirigeant d’entreprise, c’est un excellent moyen de disposer d’indicateurs et d’éléments de pilotage, grâce à la logique d’audits récurrents et à la mobilisation des équipes.
Parce que vous ne savez jamais ce qui vous attend au prochain étage…
3) Atout marketing : la différenciation en mode Dragon
L’ISO 27001 vous positionne en tant qu’entreprise qui sait évoluer constamment, c’est-à-dire la mieux placée pour accéder à de nouveaux marchés.
Outre le gain en termes d’image, qui est évident, cela assure vos clients que leurs exigences seront prises en compte.
Dans la phase de vente, une entreprise qui peut attester du respect de bonnes pratiques qui vont au-delà de la réglementation se singularise : cela crédibilise votre proposition commerciale.
N’oubliez pas non plus qu’à l’international (et pas qu’à Hong Kong) certains pays sont très avancés dans l’adoption de l’ISO. Pour construire des partenariats avec des grands groupes, c’est évidemment décisif.
4) Prêt à parer tous les coups
Le progrès continu est dans l’ADN de l’ISO. Gardez à l’esprit que la certification ne vous est accordée qu’à la condition que vous intégriez les nouveaux défis. Le cycle de certification est de 3 ans, et de toute façon vous inspecterez continuellement votre propre activité.
En pratique, les entreprises qui adoptent cette démarche s ’aperçoivent qu’en intégrant le niveau d’exigence de leur client ou prospect le plus exigeant, elles se dotent d’un niveau de performance qui bénéficient à l’ensemble de leurs activités.
…Je laisse le dernier mot à Bruce Lee, qui a dit :
« Il n’y a pas de limites. Il y a des niveaux, mais tu ne dois pas en rester là, il faut aller au-delà. […]
Un homme doit toujours dépasser son niveau.»
(The Art of Expressing the Human Body)
À suivre au prochain étage, Thomas (qui pousse le cri qui tue en tapant ses billets de blog)
Contactez-nous
Des projets ? Des questions ? N'hésitez pas à nous contacter !
Passer à l’action en sécurité des systèmes d’information
Vous connaissez l’histoire de la blonde qui agite le gros orteil ?
Vous la connaissez probablement… Dans une scène mémorable de Kill Bill, on voit Uma Thurman se livrer à une séance de rééducation, par la seule force mentale, de ses pieds paralysés.
En fait, son truc de «vas-y, bouge ton orteil !», c’est de l’imagerie motrice, une technique bien connue des préparateurs sportifs… Mais un peu moins en vogue chez les dirigeants d’entreprise français.
Les neurosciences ont montré que l’action effectuée et la représentation mentale de cette action activent les mêmes canaux. C’est bien commode pour les sportifs, qui peuvent fortifier leur technique sans aller à la salle.
L’ennui, c’est que dans le monde des affaires, penser (même très fort) à une action n’équivaut pas à agir. Même si la paperasse vous pèse, ça ne muscle pas votre performance.
Et le pire, c’est que même agir ne suffit pas toujours ! Il faut souvent rendre compte de son action.
L’ISO 27001 fournit une technique de combat ultime pour les blondes qui se bougent l’orteil, les brunes, les poivre-et-sel, et même pour les porteurs de sourcils blancs.
L’ISO 27001 : Discipline et Self-Défense
Sœur cadette de la célèbre ISO 9001, l’ISO 27001 est une norme internationale de sécurité des systèmes d’information.
Une norme ? C’est un ensemble de bonnes pratiques codifiées. À la différence des lois, qui s’imposent à toutes les entreprises. La norme est un groupe de règles qu’on adopte librement, dans le but d’améliorer le fonctionnement de son entreprise au-delà du minimum.
L’ISO 27001, en clair, explique ce qu’est un bon Système de Management de la Sécurité de l’Information (SMSI). C’est un guide fiable pour établir un SMSI qui profite continuellement à l’entreprise.
Si vous êtes familier de l’ISO 9001 ou d’une autre norme, vous retrouverez ici la même logique de sécurité des systèmes d’information, qu’on peut résumer en 5 étapes :
1. On commence par un diagnostic : il y a toujours un existant, même si on n’en a jamais fait le recensement précis. Ainsi, personne ne commence de zéro. Je suis sûr que vous êtes au moins ceinture jaune.
2. On définit la politique de sécurité : c’est un bon brainstorming qui a l’énorme avantage de clarifier la stratégie, et avoir une stratégie claire est vraiment indispensable.
3. Ensuite, à l’aide d’une méthodologie (j’utilise souvent EBIOS, la nouvelle version est top), on identifie les risques… et, bien évidemment, on les évalue.
Exemple amusant : au cours d’une interview donnée à Kaspersky Lab, Alain Juillet, ancien de la DGSE, admet qu’on peut toujours faire de l’espionnage économique en faisant les poubelles des entreprises, mais qu’au temps des destructeurs de documents et surtout quand il est tellement facile de s’introduire à distance dans le serveur, il ne faut pas se faire d’illusions…
4. Mettre en place des mesures de sécurité : la norme ISO 27001 fournit tous les repères nécessaires. Ensuite c’est à vous de déterminer les actions concrètes qui vont vous faire progresser.
Par exemple, ça concerne les contrôles d’accès, la sécurité des communications, les relations avec les fournisseurs…
5. Quand on est prêt, on peut obtenir lacertification, qui atteste aux yeux de tous que l’entreprise se saisit réellement des préoccupations de sécurité de l’information, et qu’elle les traite beaucoup mieux que ses concurrents.
Évidemment il ne s’agit pas d’un acquis définitif. Cela montre que votre entreprise a la bonne méthode pour traiter le risque lié à l’information, de manière dynamique et évolutive.
Devenir ceinture noire en sécurité
Vous l’aurez compris, si elle est un art martial utile à toutes les entreprises qui se soucient de la sécurité de leurs informations, l’ISO 27001 compte dans ses rangs une majorité de ceintures noires qui viennent du même dojo : high-tech, digital, et secteurs sensibles apparentés.
Je vous cite quelques exemples :
-un cabinet de conseil international très branché digital, Wavestone
–Niji(ça fait Budo, non ? c’est en Bretagne), un spécialiste de la transformation numérique
–SELP, un producteur de cartes sécurisées genre carte bleue (basé vers Angoulême)
– UC GROUP (12/14), spécialiste de la transformation digitale
L’ISO 27001 n’est pas une transmission secrète réservée à l’élite de la sécurité informatique. C’est une démarche qui s’adresse à des entreprises qui sont souvent à la pointe de l’innovation. Mais chez lesquelles la sécurité de l’information est un point faible qui peut les envoyer au tapis.
Avec l’ISO 27001 il s’agit avant tout d’une méthode, une démarche d’organisation, qui doit vous permettre de sécuriser les informations essentielles de votre activité.
On pense évidemment à la protection des données contre le vol, la perte, on pense aux sinistres, mais on pense moins à des aspects comme la disponibilité de l’information par exemple.
Alors, vous êtes plutôt Kill Bill, électrisé par les opportunités et les dangers, un peu sur le fil du katana en ce début d’année 2019 ?
Venez la semaine prochaine découvrir la suite dans le BILLET 2(leu reutour !), qui récapitulera les points forts de la méthode de combat 27001.
…venez aussi si vous vous sentez plutôt Kung-Fu Panda.
Thomas, (qui a fait une salutation martiale en quittant cette page)
Contactez-nous
Des projets ? Des questions ? N'hésitez pas à nous contacter !
Le mal de dos (mal du siècle, soit dit en passant)
Le métro bondé où ça sent pas très bon
La 6ème extinction des espèces
Les pizzas tièdes à pâte ramollie
(Vous allez voir, ça va vous sembler teeeellement évident…
Mais je continue ma liste pour vous mettre sur la piste…)
Le cholestérol
La voisine du dessus qui marche avec des talons aiguilles sur le carrelage la nuit
Les prix qui montent toujours dans les magasins même si c’est écrit «en baisse»
Les cheveux qui tombent sans autorisation
Un temps pourri en plein pour ma semaine de vacances
» » » Tout ça, c’est la faute des Russes.
Ils peuvent bien se cacher sous des chapkas en fourrure de lapin de Sibérie, ils peuvent même faire les gens-qui-n’y-sont-pour-rien-dans-tout-ça, coupés de Facebook à rester entre eux dans leur machin social hyperboréen, on le sait bien, nous, que c’est la faute des Russes.
Les exemples accumulés en introduction ne suffisent encore pas à vous convaincre que la totalité des problèmes de sécurité informatique ont une seule origine, la même que tous les autres problèmes dans le cosmos ?
Lisez cet article, alors. Hum… ? Quiiiiii… a exposé les données confidentielles de centaines de grosses cravates germaniques ?
Ça, c’était l’hypothèse un peu audacieusement balancée par la société Checkpoint, qui avait incriminé le traditionnel petit-groupuscule-bien-louche-et-effrayant-qui-va-bien pour accréditer le scénario de l’attaque par ours interposé.
Bad buzz, étant donné que, dans cette affaire, au lieu d’une attaque coordonnée conduite par plusieurs personnes ayant reçu l’appui d’un Etat, on a au final un étudiant de 20 ans, et tout bêtement allemand.
C’est d’autant plus embarrassant que tout en désignant avec plus d’impétuosité que de rationalité le classique gros méchant ours de l’ex-G8, le gouvernement allemand a demandé de l’aide, pour y voir clair, aux américains, lesquels, comme on s’en souvient, avaient, eux, bel et bien espionné leurs petits camarades.
Qu’à cela ne tienne, ils se joignent désormais au hourvari visant à interrompre l’hibernation du plantigrade d’en face. Sans blague. Il y a même une opération de haute sécurité tout ce qu’il y a de plus officielle pour en finir avec les cyberattaques des maudits Russes «Opération Grizzly Steppe» !!! Ça claque.
Ça va… ! me direz-vous, une battue médiatique… pas de quoi polémiquer non plus.
«ET LE PRIX DE LA SÉCURITÉ INFORMATIQUE EST ATTRIBUÉ À …»
L’attribution des attaques informatiques est (pour un tas de raisons, dont certaines que je ne saurais même pas expliquer bien précisément) tellement difficile que normalement on y renonce.
Vous remarquerez par exemple que le monsieur web-sécurité de la Gendarmerie Nationale, le Général Marc Watin-Augouard, ne dit pas :
«Encore un sale coup des Russes, maudits cosaques !»
On ne va pas se cacher derrière son stylo numérique…
(surtout vu que ça masquerait beaucoup moins la réalité qu’un gros ours ventru…)
…en vérité, les défaillances humaines sont la première source de problèmes en sécurité de l’information, très loin devant les failles logicielles (ou les causes fantasques).
Et bim ! Nous voilà déjà rendus à ce point critique où l’on va ranger d’un côté l’humain et de l’autre la machine.
Ce qui soulève une intéressante question : notre monde est-il devenu à ce point machiniste qu’on en vienne à rappeler qu’il existe, au milieu de cette prodigieuse mécanique, un élément accessoire, presque invisible, l’élément humain ?
C’est ce que font à peu près tous les éditorialistes qui parlent du «facteur humain» comme d’une incongruité qu’on aurait tendance à oublier.
Et puis il faut bien admettre que dans certains secteurs, la réponse (notre monde est-il…etc.) est oui.
À la Bourse, par exemple, l’élément humain est devenu très minoritaire. Même dans ce qui était le dernier carré des humains, les ordres d’échange.
À Wall Street, 70% des échanges sont générés par des algorithmes de trading haute fréquence.
N’en déplaise aux transhumanistes de tous poils, les entreprises sont encore remplies d’humains, ce qu’une expression irrévérencieuse mais répandue désigne comme «interface chaise-clavier».
Et ces humains, vous et moi (si du moins vous n’êtes pas un bot, ami lecteur), sont désignés de manière pas plus flatteuse comme «le maillon faible» de la cybersécurité.
Comment ça «maillon faible» !? (ok cette question est faible).
»»» Question forte pour un maillon faible [mode réflexivité : ON] :
Qu’est-ce que l’humain ?
Il existe de bons livres à ce sujet, et beaucoup a déjà été dit. Tant et plus.
Sans blague ! Rabelais l’a écrit en 1534 dans Gargantua, excusez donc sa langue peu «French Tech» :
Mieulx est de ris que de larmes escripre, Pource que rire est le propre de l’homme.
Non, en fait je plaisante…
Un peu de sérieux, il s’agit de l’Homme tout de même !
***** Synthèse magistrale (pour de vrai, cette fois) : *****
L’humain est sujet à des affects et passions.
On peut classer ses passions en 3 catégories :
(voyez que c’est réellement synthétique, et en plus vous pouvez le vérifier sur n’importe qui ou même «pas n’importe qui» : ça marche tout le temps)
1 – ignorance (pour la gestion des cyber risques, j’y rangerais l’égarement, la naïveté, l’inconscience, la maladresse…) ;
2 – avidité (pour nos questions de sécurité informatique, ça désignera une tendance à l’impulsivité, la curiosité, le désir d’obtenir quelque chose…) ;
3 – aversion (là en ce qui nous concerne, j’entends le refus des contraintes, le rejet de la nouveauté, mais aussi la paresse).
[mode réflexivité : OFF]
QUAND IL S’AGIT DE CLIQUER NOUS SOMMES TOUS CONCERNÉS
Je ne vais pas multiplier les exemples, vous n’avez qu’à le faire vous-même.
Ou à la dernière fois que vousce maillon faible de collèguen’a pas signalé à un responsable un message on ne peut plus intriguant… Qu’un collègue indélicat a bafoué la charte de bonnes pratiques pour faire des copies Système en urgence et éviter ainsi les bouchons sur le périph.
Comme quoi, les campagnes de sensibilisation à la cybersécurité ont tout bon quand ça dit : «nous sommes tous concernés…».
Si vous venez de culpabiliser rudement en repensant à tous vos méfaits, voilà un exemple de vulnérabilité informatique via facteur humain qui va vous mettre du baume au processeur à 8 cœurs cadencé à 2,2 GHz :
»»» d’après une étude de la société Proofpoint »»» cliquez ici, (c’est sans danger) 50 % des clics sur des URL malveillantes ont lieu dans la première heure après réception du mail vérolé !!!
C’est-t-y pas de l’impulsivité, ça ? Ecce homo : il voit un lien, il clique !!!
Et pourquoi il clique comme ça ? Tout de suite (comme un gros bourrin), sans analyser avec circonspection l’authenticité de cet e-mail, et sans appliquer toutes ses facultés sceptiques, en bon disciple de Pyrrhon, préalablement à l’application de son curseur de souris? Pourquoi ? Pourquoi ??
Une partie de la réponse ne sera révélée que dans un billet de blog à venir. Un secret plus grand que celui la nature humaine.
L’autre partie, je vous la donne : le phishing, qui reste l’arme de prédilection pour dérober des informations– loin devant les attaques «avancées», redoutables, mais rares -, le hameçonnage, donc, devient de plus en plus astucieux.
Pour vraiment achever de vous faire vous sentir normal, si vous en êtes encore à vous ravager les doigts dans un accès d’onychophagie qui altère vos possibilités futures d’utilisation du clavier, apprenez ceci :
– Incroyable mais vrai –
Madame Karla Burnett, employée d’une entreprise de paiement en ligne, Stripe («oulà ! ils doivent être balèze en cybersécurité là-dedans, ça compte pas !») a soumis ses collègues a plusieurs test de phishing.
Même après la catastrophique première expérience, qui a donné lieu à une intense campagne de sensibilisation en interne, bon nombre de ses collaborateurs ont continué à se faire piéger, allant même, pour certains, jusqu’à ignorer délibérément les messages de mise en garde émis par leur ordinateur, et bien peu ont signalé les atteintes dont ils avaient eu connaissance.
Tout ça pour dire quoi ???
Que c’est pas les Russes le problème, c’est les humains ?
Non.
En fait… les Russes sont des humains.
Sting l’a chanté dans «Russians» avec des paroles telles que «we share the same biology».
(Pour le clip, cherchez vous-même, je crains que vous n’osiez plus cliquer.)
«Bah… tout ça pour dire quoi du coup ?»
LA ROUE DE DEMING, C’EST PAS POUR LES HAMSTERS
C’est pas parce que :
la plupart des intrusions se font au moyen de simples appels à clics
c’est hyper commode de conduire les victimes à exécuter elles-mêmes les attaques
les humains sont mus par des ressorts psychologiques bizarres, voire irrationnels
…qu’on va continuer (en tout cas pas sur ce blog) de propager des slogans du genre «maillon faible».
L’humain est certes plus faillible qu’une machine en termes de résultats sur une opération machinale répétée un grand nombre de fois, mais pour l’heure, en l’absence d’intelligence artificielle forte, il est le seul à disposer de capacités critiques élaborées et à pouvoir montrer une adaptation permanente à un environnement qui évolue et se reconfigure.
On va donc plutôt affirmer, comme l’a éloquemment résumé un magazine de référence, qu’au lieu de maillon faible, l’humain peut être vu comme première ligne de défense de la sécurité informatique en entreprise.
De la même manière que la SNCF diffuse des messages du type «nous vous prions de nous signaler tout colis suspect» et fait de chaque usager des transports un agent vigilant à la sécurité de tous, dans l’entreprise les employés peuvent être les yeux et les oreilles de la fonction sécurité.
Ce type de fonctionnement collaboratif colle ainsi parfaitement à l’esprit du temps.
Il ne demande pour être mis en application qu’un peu d’organisation.
Car s’il est pénible de réaliser qu’en tant qu’humains on est au cœur du problème, c’est aussi le niveau où l’on peut reprendre le plus sûrement le contrôle de la situation.
En tout cas le management des équipes est plus à portée de main que la géopolitique des ours polaires.
Examinons différentes possibilités pouvant conduire à une vulnérabilité des SI, et voyons si elles sont plus réalistes que Vlad à dada sur le dos d’un dodu plantigrade :
il n’existe pas de procédures écrites de sécurisation des données
il existe des procédures mais elles n’ont pas été communiquées
les procédures ont été communiquées mais aucune démarche n’a permis leur appropriation
les procédures sont rejetées par les opérateurs, qui les trouvent lourdes et déconnectées du réel
J’aime bien l’exemple des procédures de sécurité, parce qu’il met immédiatement en lumière un paradoxe :
»»» le paradoxe de la libération normative (ça rigole moins, là).
C’est un paradoxe parce que, dit comme ça, les procédures, boh… c’est pas d’un attrait irrésistible.
Pourtant, tout le monde connait cette sensation de malaise qu’on éprouve quand on est dans le flou et l’ignorance. Et le soulagement d’avoir des repèreset une procédure à suivre.
Avoir des règles auxquelles se référer est clairement un atout et une nécessité.
L’essentiel est donc qu’elles soient adaptées et acceptées.
«Justemeeeeent ! J’en veux bien moi des procédures adaptées, mais chez nous laisse tomber c’est trop n’importe nawak…», râle le lecteur qui rêve de sérénité et déplore la confusion qui règne autour de lui.
C’est là où j’en reviens, tel le chat qui retombe toujours sur ses pattes après avoir longtemps tripoté la souris, à la question du propre de l’homme.
Parce qu’en fait, le propre de l’homme, c’était pas le rire.
En fait … /// RÉVÉLATION FINALE !!! ///
Le propre de l’homme, c’est la perfectibilité.
Eh oui. Rousseau l’a écrit, à je ne sais plus quelle date, mais largement avant l’œuvre philosophique de Sting.
Quand les difficultés qui environnent toutes ces questions laisseraient quelque lieu de disputer sur cette différence de l’homme et de l’animal, il y a une autre qualité très spécifique qui les distingue et sur laquelle il ne peut y avoir de contestation, c’est la faculté de se perfectionner, faculté qui, à l’aide des circonstances, développe successivement toutes les autres.
C’est pas beau, ça ? Franchement ?
Ce qui fait de Rousseau, je m’empresse de le dire, l’ancêtre de tous les coachs en entreprise, de tous des ardents combattants de l’amélioration continue, faisant toujours avancer, par la force sublime de son verbe éteint, depuis le fond des siècles (enfin presque) les glorieuses conquêtes de la qualité grâce à l’implacable mécanisme rotatif Plan-Do-Check-Act.
Celui qui croit à la perfectibilité, celui-là ne peut pas tout-à-fait désespérer de l’humain.
Très humainement, Thomas.
PS : «Un peu d’huile de girofle : le soulagement est immédiat.»
Contactez-nous
Des projets ? Des questions ? N'hésitez pas à nous contacter !
We use cookies on our website to give you the most relevant experience by remembering your preferences and repeat visits. By clicking “Accept”, you consent to the use of ALL the cookies.
This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
Cookie
Durée
Description
cookielawinfo-checbox-analytics
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional
11 months
The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy
11 months
The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
