Dès que l’on parle de cybersécurité, beaucoup de gens ont tendance à mettre en avant les aspects technologiques : protection des endpoints, gestionnaires de mots de passe et chiffrement. Bien que tous ces éléments soient essentiels pour renforcer la sécurité de votre entreprise, ce sont les collaborateurs qui se trouvent en première ligne et qui sont les plus susceptibles de devenir à la fois la cible et l’outil des cybermenaces. Le concept du pare-feu humain repose sur ce postulat. Qu’est-ce qu’un pare-feu humain ? Et comment en créer un ?
La signification du pare-feu humain
À mesure que le monde numérique se développe, les quantités de données sensibles manipulées par les entreprises sont de plus en plus importantes. Si des informations vulnérables venaient à se retrouver entre de mauvaises mains, l’ensemble de la société ainsi que la sécurité de ses partenaires ou de ses clients, pourraient être mis en danger. De nombreuses entreprises tentent de se prémunir contre une telle situation grâce à des technologies progressives et des solutions sophistiquées, mais dans certains cas, elles oublient un facteur clé : l’erreur humaine, qui est la principale cause de violation des données.
Le terme « pare-feu humain » désigne des personnes qui protègent leur entreprise contre les cybermenaces, en adoptant par exemple un comportement sûr, en se montrant sensibles aux cyberdangers, et en communiquant avec le service informatique dès qu’elles rencontrent un problème.
En développant un pare-feu humain, les entreprises peuvent contrer les tentatives des cybercriminels, qui se servent souvent des collaborateurs comme d’une passerelle vers les systèmes de l’entreprise. Partant du principe que les gens sont susceptibles de commettre des erreurs, les cybercriminels ciblent les employés au moyen de différentes techniques d’ingénierie sociale et d’autres formes d’attaques.
En voici quelques-unes :
Hameçonnage
Les attaques d’hameçonnage profitent de la confiance, de l’inattention occasionnelle des collaborateurs, ou du fait qu’ils soient occupés. Pour exploiter encore davantage le facteur humain, les attaques d’hameçonnage comportent souvent un caractère d’urgence ou une récompense, notamment pendant les périodes de fêtes où les entreprises accordent bien souvent des primes à leurs collaborateurs.
En somme, les attaques d’hameçonnage incitent les collaborateurs à cliquer rapidement sur un lien ou par exemple à modifier immédiatement leur mot de passe pour éviter de subir des conséquences désagréables, comme la perte de l’accès à une application indispensable (ce qui est évidemment faux).
Cyberchantage
Alors que l’hameçonnage repose sur l’idée qu’un collaborateur ordinaire soit trop occupé ou inattentif pour repérer une menace, les maîtres chanteurs quant à eux tentent d’effrayer les utilisateurs pour qu’ils versent de l’argent par crainte de voir leurs données exposées. Un maître chanteur peut par exemple prétendre qu’il a espionné sa victime via sa webcam et qu’il publiera les images qu’il a prises s’il ne reçoit pas, par exemple, une certaine somme d’argent. Dans ces cas, la victime ne doit surtout pas paniquer. Les menaces des criminels sont souvent infondées et le paiement de la somme demandée ne résoudra pas le problème.
Appareils perdus ou volés
Les cybercriminels sont continuellement à la recherche d’appareils professionnels mal sécurisés, tant sur le plan numérique que physique. Dans le monde numérique, vous pouvez protéger votre système à l’aide de différentes solutions de sécurité, mais dans le monde réel, c’est surtout un comportement responsable qui empêche les criminels de voler des ordinateurs portables ou de fouiller dans l’ordinateur de quelqu’un.
Attaques déguisées
Les cybercriminels peuvent essayer de tromper les collaborateurs en se faisant passer pour quelqu’un d’autre, non seulement en ligne mais également en personne. Ils peuvent par exemple se présenter dans vos locaux et prétendre être un employé qui vient d’oublier son badge d’entrée. Si les collaborateurs sont imprudents, ils peuvent laisser l’intrus pénétrer dans les bureaux et accéder aux données sensibles de l’entreprise. Lisez le récit de Jake Moore, l’expert d’ESET qui a réussi à « pirater » un club de golf en se faisant passer pour l’assistant d’un producteur de télévision.
Liens malveillants
Cachés dans différents sites web ou fenêtres pop-up, des liens malveillants peuvent tenter d’attirer les collaborateurs à l’aide d’une offre intéressante, ou les inciter à mettre à jour leurs applications ou leurs logiciels.
Documents malveillants
Les auteurs de menaces incluent souvent des malwares dans des pièces jointes d’emails, infectant l’ordinateur des utilisateurs une fois que les fichiers sont ouverts. Un fichier infecté peut par exemple ressembler à un document Excel banal, mais il peut contenir une macro malveillante qui s’exécutera automatiquement dès l’ouverture du document.
Construisez votre pare-feu humain pour vous protéger
La liste complète des menaces qui visent les collaborateurs étant beaucoup plus longue, la mise en place d’un pare-feu humain fonctionnel est devenue un aspect essentiel de la cybersécurité. Comment pouvez-vous implémenter et maintenir celui-ci dans votre entreprise ?
1. Formez vos employés. Il est nécessaire qu’ils sachent comment détecter les différentes menaces et y réagir en toute sécurité. Développez continuellement les connaissances de vos employés. Dans l’idéal, commencez dès le premier jour et intégrez la formation à la sécurité dans votre programme d’intégration. Vous devrez peut-être tenir compte du niveau de sensibilisation à la sécurité d’un candidat dès son recrutement. Recherchez des moyens interactifs de rendre la formation à la sécurité amusante, intéressante et mémorable.
2. Visez la simplicité. Créez des politiques faciles à comprendre et respectez-les. Ne surchargez pas vos collaborateurs et ne les stressez pas avec trop d’informations, mais veillez à ce qu’ils sachent quoi faire et comment rester protégés. Ne négligez pas les éléments de base, et précisez à vos collaborateurs qu’ils devraient :
- utiliser des mots de passe sûrs et distincts pour chaque compte
- ne jamais cliquer sur des liens inconnus ou des fenêtres pop-up, ni ouvrir de pièces jointes provenant de sources inconnues
- contacter l’équipe informatique dès qu’une nouvelle mise à jour d’une application est disponible et suivre les instructions de l’équipe
- toujours se déconnecter et verrouiller les écrans lorsqu’ils laissent un appareil sans surveillance
- ne discuter des informations sensibles liées au travail que dans des espaces privés, et utiliser des écouteurs lors des réunions en ligne
- utiliser l’authentification multifacteur (MFA)
3. Intégrez tout le monde. Tous les collaborateurs peuvent devenir la cible de cybercriminels, y compris les standardistes. Ne laissez personne de côté et veillez à ce que chacun soit alerté des potentiels dangers liés à son poste.
4. Soyez présent pour vos collaborateurs. La détection des menaces n’est qu’une partie de l’action d’un pare-feu humain. Les signaler en est une autre, tout aussi importante. Si vous voulez que le système fonctionne, vos collaborateurs doivent avoir le sentiment qu’ils peuvent toujours parler à l’équipe informatique et discuter de leurs inquiétudes.
5. Évaluez les progrès. Vous pouvez tester la sensibilisation de vos collaborateurs via des simulations d’hameçonnage, mais il est également utile de vérifier simplement s’ils respectent les politiques de base et s’ils communiquent efficacement avec l’équipe informatique (par exemple en l’informant de toute nouvelle mise à jour « nécessaire » ou en signalant tout événement inhabituel).
6. Récompensez vos collaborateurs Si vous constatez que vos collaborateurs communiquent avec le service informatique, qu’ils ont des habitudes de travail sûres sur le plan numérique, qu’ils sont prêts à en apprendre davantage et améliorer leurs connaissances sur la cybersécurité, choisissez une récompense de votre choix et offrez-la à ceux qui l’ont méritée.
7. Combinez votre pare-feu humain avec des solutions logicielles fonctionnelles. Utilisez une protection sur les endpoints, la 2FA, un VPN et un pare-feu, et mettez-les régulièrement à jour. N’oubliez pas qu’un pare-feu humain et des mesures de sécurité techniques constituent le ciment d’une cyberhygiène efficace pour l’entreprise.
