Vos utilisateurs ne constituent pas le lien le plus faible: ils font partie intégrante de votre programme de sécurité

Vos utilisateurs ne constituent pas le lien le plus faible: ils font partie intégrante de votre programme de sécurité

À mesure que la gravité et la fréquence des violations de données augmentent dans le monde, les chefs d’entreprise réalisent que pour obtenir de meilleurs résultats en matière de sécurité, il est nécessaire de changer radicalement la mentalité et l’approche traditionnelles.

Il est trop facile de citer des exemples de cyberattaques de grande envergure dans lesquelles des acteurs malveillants ont réussi à se déplacer librement dans les systèmes internes une fois qu’ils ont eu accès à des pare-feu d’entreprise. L’approche traditionnelle du château et des douves en matière de sécurité n’est tout simplement pas à la hauteur de la tâche qui lui incombe de faire face au paysage actuel des menaces.

C’est en grande partie la raison pour laquelle des ressources telles que le «Zero Trust Security Playbook For 2019» attirent autant d’attention. En tant que concept de sécurité, la zero Trust repose sur le principe selon lequel les entreprises ne doivent jamais faire confiance à quoi que ce soit à l’intérieur ou à l’extérieur de leurs périmètres. Au lieu de cela, ils doivent vérifier tout le monde et tout ce qui essaie de se connecter à leurs systèmes avant d’accorder l’accès.

Lorsqu’il est mis en œuvre avec succès, le cadre de zero Trust peut constituer une étape positive dans le développement de la résilience. Toutefois, au-delà des difficultés liées à son application aux systèmes existants, la zero Trust partage également l’un des inconvénients de l’approche simpliste: il faut une dualité de technologie et d’architecture pour obtenir des résultats de sécurité ciblés sans tenir réellement compte de la manière dont le système fonctionne. Le cadre de sécurité s’intègre dans un système organisationnel plus large d’interactions dynamiques.

Plus important encore, le rôle des personnes – et en particulier celui d’un bassin plus large de talents non techniques – n’est pas considéré comme pertinent dans la perspective de meilleurs résultats en matière de sécurité.

Penser à la sécurité en tant que système

Bien que la conception de l’architecture et le biais de confiance envers la technologie puissent changer, de nombreux professionnels de l’informatique et de la sécurité ont encore beaucoup à faire pour apprendre à faire confiance à des collègues non techniques et à des parties prenantes extérieures à leur entourage.

Les spécialistes techniques lamentent souvent les utilisateurs pour leur prétendue stupidité, leur négligence, leur manque de maîtrise de soi, etc. Mais l’introspection dans les cercles informatiques et de sécurité explique rarement pourquoi il est si facile pour les utilisateurs de commettre des erreurs. Se pourrait-il que les outils et les processus avec lesquels les utilisateurs interagissent soient inutilement encombrants et propices à des utilisations abusives et à des erreurs? Est-il vraiment difficile de croire que la conception du programme de sécurité sous-jacent est également en cause, pas seulement l’élément humain?

Ne perdez pas de vue le “pourquoi” de la sécurité

Le moment est peut-être venu de mettre fin à la vieille perception selon laquelle les êtres humains sont le maillon faible et le risque le plus élevé d’un programme de sécurité. Avons-nous oublié pourquoi nous faisons la sécurité en premier lieu?

Le «pourquoi» ne concerne pas la protection du réseau; il ne s’agit même pas de protéger les joyaux de la couronne.

Le «pourquoi» consiste à protéger ce que le réseau permet et à protéger ce que représentent les joyaux de la couronne. Bien que les spécificités varient d’une entreprise à l’autre, nous parlons essentiellement de la protection de l’intégrité des personnes, de leurs actifs et de la confiance qui leur est conférée – en d’autres termes, de leur capacité à vivre leur vie librement dans les conditions physiques et financières sûres de leur choix.

Du maillon le plus faible à une ressource précieuse

Contrairement à la position de spécialiste par défaut qui tend à réduire l’élément humain de la sécurité au rôle de facteur de risque gênant, rappelons-nous que sans clients et utilisateurs internes, il n’y aurait pas d’activité commerciale – et sans entreprise, il n’y aurait pas besoin d’informatique ou la sécurité en premier lieu.

Nous devons cesser d’essayer de contourner les personnes et commencer à leur faire confiance pour qu’elles jouent un rôle clé dans la mise en œuvre de la sécurité en tant que système. Le moment est venu pour nous de travailler avec les gens plutôt qu’avec eux, en partant du principe bienveillant qu’ils seront enthousiastes et motivés, dans les bonnes conditions, pour s’engager activement dans la protection de leur entreprise et, par extension, de leurs moyens de subsistance.

Imaginez à quel point les employés pourraient se comporter différemment si nous leur en parlions et avec eux d’une manière plus positive de la sécurité? Pourquoi ne pas vous renseigner plus délibérément sur la manière dont nous pourrions utiliser les capacités de prise de décision et d’action des personnes pour créer un autre niveau de résilience qui renforce la sécurité de l’entreprise?

Lorsque vous considérez l’élément humain, ne vous focalisez pas sur le risque d’échec catastrophique de la sécurité, mais sur la confiance des gens pour qu’ils agissent comme une solide ligne de défense basée sur le comportement et la décision. Pensez à ce que nos employés pourraient réaliser si nous leur donnions une formation, des opportunités et un environnement leur permettant de se prendre en charge à différents niveaux au sein d’une organisation de sécurité à l’échelle de l’entreprise.

Ne vaut-il pas la peine d’essayer d’exploiter le riche potentiel et la diversité des compétences des personnes au lieu de décrier leurs défauts? Vous pouvez même aller plus loin en déployant un programme structuré, évolutif et reproductible pour identifier et entretenir leur fiabilité, leur résilience, leur énergie, leur adaptabilité et leur engagement à apprendre à faire de manière cohérente la bonne chose dans toutes les circonstances, même les plus imprévues.

Concevez votre programme de sécurité pour mieux servir l’entreprise

Si notre expérience à ce jour nous a appris quelque chose, c’est que les résultats en matière de sécurité resteront sous-optimaux tant que la sécurité subsistera en tant que discipline autonome opérant dans une autarchie axée sur la technologie.

Nous devrions viser un modèle global de sécurité adaptative ayant un impact important sur les activités. Pour ce faire, nous avons besoin d’un ensemble omniprésent de fonctionnalités dynamiques qui fonctionnent comme un système, imprégnant de manière fluide et complète le système principal que la sécurité doit servir: l’entreprise.

Gardant à l’esprit que les acteurs malhonnêtes sont l’exception et non la règle – et en supposant que les personnes qui viennent au travail veulent faire du bon travail alors qu’elles recherchent l’autonomie, la maîtrise et le but recherché – comment pourrions-nous concevoir une stratégie de sécurité offrant de meilleurs résultats l’esprit pour tous nos utilisateurs, du plus technique au moins technique, du dépositaire au PDG?

L’objectif de tout programme de sécurité doit être de démocratiser la sécurité en tant que catalyseur et point central pour les activités menées par les hommes dans l’entreprise, brisant ainsi la fausse dichotomie qui place la sécurité en opposition hostile aux parties mêmes qu’elle est censée servir et protéger.

Le moment est venu de penser différemment au rôle du talent humain dans un environnement de sécurité en tant que système afin que nous puissions concevoir différemment pour obtenir de meilleurs résultats collectifs.

Ce que nous devons faire maintenant, c’est nous mobiliser et aller de l’avant ensemble.

,