Un article publié par le Cercle K2 qui pose (enfin ?) les choses en matière de cybersécurité :
Oui, la technique aide. Et se reposer sur la technique est rassurant.
Pour autant, se reposer uniquement sur la technique est très largement insuffisant ; négliger le facteur humain est la pire faute qu'un dirigeant de sécurité puisse faire, puisque c'est par là que s'infiltrent la quasi-totalité des attaques cyber réussies. Et que ce n'est vraiment pas cher ni compliqué à gérer.
L’ego, une faille sous-estimée de notre cybersécurité
Le Cercle K2 n'entend donner ni approbation ni improbation aux opinions émises dans les publications (écrites et vidéos) qui restent propres à leur auteur.
Aurélie Luttrin est fondatrice d’Eokosmo.
---
La cybersécurité se définit traditionnellement comme la protection défensive et offensive des systèmes d’information en prenant en compte aussi bien les contenants, à savoir les infrastructures, que les contenus, à savoir les données.
Longtemps délaissée par les non-spécialistes (particuliers ou professionnels), elle est désormais au cœur des préoccupations, les attaques successives de collectivités territoriales, d’établissements publics, d’entreprises ayant semé un vent de panique. D’un seul coup, nous avons pris conscience que, sans cybersécurité, c’est tout une économie qui pouvait péricliter et des vies qui pouvaient être impactées.
L’État lui-même s’est saisi du sujet avec un plan d’1 milliard d’euros comprenant notamment la construction d’un cyber-campus, le développement de solutions souveraines de cybersécurité, la valorisation des formations aux métiers de la cybersécurité auprès des jeunes.
L’objectif : équiper le plus grand nombre.
C’est bien mais ce n’est malheureusement guère suffisant. Cette stratégie peut même s’avérer contre-productive, beaucoup pensant que, s’ils sont dotés des meilleurs outils, ils ne craignent plus rien et n’ont nul besoin de comprendre comment notre monde fonctionne actuellement.
"Ne vous occupez de plus rien, on s’occupe de tout. Prenez nos produits et vous n’aurez plus à vous soucier de votre sécurité !" Le solutionnisme risque de faire des ravages et d’occasionner des dépenses publiques peu efficientes puisque les attaques continueront à causer des dommages malgré la performance des outils installés.
Une fois de plus, en matière numérique, nous nous attelons à construire les murs avant les fondations. Nous privilégions les technologies sans passer par l’étape d’acculturation et de compréhension du monde dans lequel nous évoluons.
Les cybercriminels (pour ne prendre qu’eux dans la catégorie des atteintes à la cybersécurité) ont souvent un train d’avance technologiquement parlant par rapport à leurs victimes (plus de moyens, plus de temps et plus de compétences pour certains). Vouloir aller exclusivement sur le terrain de la technologie pour les combattre peut s’avérer vain, surtout à l’échelle de la population. Il y aura toujours une collectivité, une entreprise, un particulier qui n’aura pas acquis les dernières mises à jour ou la dernière technologie pour pallier les risques d’intrusion.
Mais, surtout, c’est méconnaître le mode opératoire des cybercriminels qui ne vont pas attaquer directement les systèmes d’information mais qui vont, le plus souvent, utiliser les personnes elles-mêmes comme chevaux de Troie pour atteindre une entreprise, un État ou une collectivité et passer ainsi à travers tous les systèmes de protection.
La ruse est la meilleure de leurs armes. Les cybercriminels sont des fins psychologues. Ils savent que l’ego des victimes est leur meilleur allié qui est capable de faire tomber les technologies les plus puissantes.
Pour lutter efficacement contre la ruse des cybercriminels et l’ego des victimes, sept commandements de philosophes et stratèges politiques que nous devrions adopter car la cybersécurité n’est pas l’apanage des directions des systèmes d’information, elle est l’affaire de toutes et de tous sans exception.
(...)
Lire la suite ici :
https://cercle-k2.fr/etudes/l-ego-une-faille-sous-estimee-de-notre-cybersecurite-2