Êtes-vous prêt à accroître la notoriété de votre marque ? Envisagez de devenir sponsor du AI Impact Tour. En savoir plus sur les opportunités ici.
Né et élevé en Israël, je me souviens de la première fois que je me suis aventuré dans un centre commercial américain. Le parking était plein de voitures et les gens se pressaient, mais je n’arrivais pas à comprendre où se trouvait l’entrée. Il m’a fallu quelques minutes avant de réaliser que contrairement à Israël, les centres commerciaux aux États-Unis n’ont pas tous des gardes armés et des détecteurs de métaux postés devant chaque porte.
Je partage souvent cette anecdote pour éclairer le concept de « saine paranoïa » dans le domaine de la la cyber-sécurité. Tout comme la réalité politique israélienne a, à juste titre, inculqué à ses citoyens un état de vigilance constante en matière de sécurité physique, le RSSI d’aujourd’hui doit également cultiver une philosophie similaire parmi ses employés pour les préparer et les protéger contre une liste évolutive de menaces numériques.
Bien sûr, RSSI de par leur nature, ils n’ont d’autre choix que d’être paranoïaques face à tout ce qui peut mal tourner. À l’inverse, les autres membres d’une organisation ne deviennent généralement pas paranoïaques jusqu’à ce que cette mauvaise chose se produise.
Alors, où tracez-vous la frontière entre une vigilance utile et une paranoïa débilitante ?
La paranoïa a besoin d’un but
Demander aux utilisateurs de maintenir un état de vigilance constant est à la fois irréaliste et contre-productif. Sur le plan psychologique, une vigilance soutenue peut être mentalement épuisante, entraînant souvent fatigue et épuisement professionnel. Lorsqu’on demande constamment aux individus d’être présents alerte élevée, ils peuvent connaître une fonction cognitive diminuée, une productivité réduite et une susceptibilité accrue aux erreurs. Une telle fatigue d’alerte peut finalement contrecarrer les avantages de la vigilance, rendant les gens plus susceptibles de commettre des erreurs.
Ces tendances ne font qu’être exacerbées à l’ère de confiance zéro, où il nous est imploré de « ne jamais faire confiance et de toujours vérifier ». Il est facile de comprendre comment certains peuvent pousser ce décret à l’extrême, brouillant les frontières entre un scepticisme sain et une méfiance débilitante.
Même si les principes de confiance zéro en matière de cybersécurité préconisent une vérification et une surveillance rigoureuses, il est crucial de faire la différence entre cette approche stratégique et une paranoïa dévorante qui peut entraver les opérations, la collaboration et l’innovation.
Considérez certaines des façons dont les organisations ont codifié leur paranoïa à un degré malsain dans la manière dont elles sécurisent leurs systèmes et leurs données.
- Exigences onéreuses en matière de mot de passe : Les insuffisances de mots de passe sont bien compris par la plupart des utilisateurs de nos jours, mais leur large utilisation persiste. En conséquence, la plupart des grandes organisations exigent que leurs employés utilisent et modifient régulièrement des combinaisons complexes de caractères, de chiffres et de symboles. Cependant, ces protocoles négligent souvent le fait que de nombreuses violations d’authentification ne sont pas dues au piratage d’un mot de passe, mais sont plutôt annulées par des schémas d’ingénierie sociale relativement simples. De plus, si votre mot de passe fort est divulgué sur le dark web, aucune complexité ne peut empêcher l’attaquant de procéder à des attaques de credential stuffing.
- Poursuite du « risque zéro » : Comme c’est le cas pour de nombreuses initiatives stratégiques, l’atténuation des risques est souvent soumise à la loi des rendements décroissants. Des mesures de sécurité trop restrictives peuvent nuire à la productivité et frustrer les utilisateurs, les amenant à trouver des solutions de contournement susceptibles d’introduire par inadvertance de nouvelles vulnérabilités. Même si la recherche d’une sécurité absolue est évidemment louable, il est souvent plus pratique d’allouer des ressources aux domaines où elles auront l’impact le plus significatif sur la réduction du risque global.
- Prise de décision motivée par la peur : Trop souvent, nous prenons des décisions basées sur des réactions émotionnelles enracinées dans la peur et l’incertitude, plutôt que sur une analyse objective et un jugement rationnel. Par exemple, si un employé clique accidentellement sur un malware e-mail de phishingune réponse motivée par la peur pourrait consister à restreindre sévèrement l’accès à Internet pour tous les employés, ce qui entraverait la productivité et la collaboration, au lieu de s’attaquer à la cause profonde par une meilleure formation ou des contrôles d’accès plus nuancés.
Renforcer le pare-feu humain
Parfois, nous oublions le rôle essentiel que la paranoïa et l’anxiété ont joué dans la survie collective de notre espèce. Nos premiers ancêtres vivaient dans des environnements remplis de prédateurs et d’autres menaces inconnues. Une bonne dose de paranoïa leur a permis d’être plus vigilants, les aidant à détecter et à éviter les dangers potentiels.
Le défi de notre époque moderne est de pouvoir distinguer les véritables menaces du bruit incessant des fausses alarmes, en veillant à ce que notre paranoïa et notre anxiété héritées nous servent plutôt que de nous gêner. Cela nécessite également que nous reconnaissions et abordions l’élément humain dans le calcul de la sécurité.
Comme l’écrivait feu Kevin Mitnick, « à mesure que les développeurs inventent des technologies de sécurité toujours meilleures, ce qui rend de plus en plus difficile l’exploitation des vulnérabilités techniques, attaquants se tournera de plus en plus vers l’exploitation de l’élément humain. Il est souvent facile de déchiffrer le pare-feu humain.
Alors, quelles mesures les responsables de la sécurité peuvent-ils prendre pour exploiter ces instincts de manière plus constructive afin que nous puissions aider les utilisateurs à être attentifs et à gérer ces dangers du monde réel sans se laisser submerger ? Voici quelques stratégies qui peuvent vous aider.
- Adoptez une approche de sécurité dès la conception : Même s’il est courant de prétendre que la sécurité est l’affaire de tous et de plaider en faveur d’une culture de sécurité omniprésente, le véritable défi réside dans la concrétisation de cet état d’esprit et dans l’intégration des mesures de sécurité dans le tissu même du développement de produits et de systèmes. Pour y parvenir réellement, les principes de sécurité doivent être intégrés de manière transparente dans les processus et les pratiques, garantissant qu’ils deviennent des comportements instinctifs plutôt que de simples tâches obligatoires.
- Insistez sur les cas extrêmes : Un cas limite fait référence à une situation ou à un comportement d’utilisateur qui se produit en dehors des paramètres attendus d’un système. Par exemple, alors que la plupart des RSSI accordent la priorité à leurs efforts de protection contre les menaces numériques, que se passe-t-il si quelqu’un obtient un accès physique à une salle de serveurs ? À mesure que la technologie et le comportement des utilisateurs évoluent, ce qui est considéré aujourd’hui comme un cas limite pourrait devenir plus courant à l’avenir. En identifiant et en se préparant à ces situations aberrantes, les équipes de sécurité seront mieux à même de répondre à un paysage de menaces futures incertain.
- La formation à la sécurité doit être persistante : La formation à la sécurité ne devrait pas être une initiative ponctuelle. Même si l’établissement de politiques solides constitue une première étape cruciale, il n’est pas réaliste de s’attendre à ce que les gens les comprennent automatiquement et y adhèrent systématiquement. La nature humaine n’est pas intrinsèquement programmée pour conserver et agir sur les informations présentées une seule fois. Il ne s’agit pas simplement de fournir des informations ; il s’agit de renforcer continuellement ces connaissances grâce à des formations répétées. Un coup de pouce ou un rappel occasionnel, même s’il semble ennuyeux, joue un rôle essentiel pour garder les principes de sécurité à l’esprit et garantir la conformité sur le long terme.
Comme l’écrivait Joseph Heller dans Catch-22, « Ce n’est pas parce que vous êtes paranoïaque qu’ils ne vous en veulent pas. » C’est un bon rappel que dans notre monde imprévisible, une bonne dose de paranoïa peut être la meilleure défense contre la complaisance.
Omer Cohen est RSSI chez Déscope.
DataDecisionMakers
Bienvenue dans la communauté VentureBeat !
DataDecisionMakers est l’endroit où les experts, y compris les techniciens travaillant sur les données, peuvent partager des informations et des innovations liées aux données.
Si vous souhaitez en savoir plus sur des idées de pointe et des informations à jour, sur les meilleures pratiques et sur l’avenir des données et de la technologie des données, rejoignez-nous sur DataDecisionMakers.
Vous pourriez même envisager contribuer à un article ton propre!