Et si nous avions tort?

Sûrement que je vais faire réagir mes collègues du monde de la cybersécurité. Tant mieux. J’écoutais les nouvelles cette semaine et j’ai un profond inconfort avec certains commentaires que j’entends à propos des attaques (ici de rançongiciel) contre la STM ou alors les systèmes des CIUSSS.

Dans les faits, les explications techniques sont exactes. Les vecteurs d’attaques sont aussi très bien expliqués et vulgarisés. Tout débute souvent par un courriel malicieux et un employé qui ouvre un document ou clique sur un lien. La réaction à avoir par les entreprises face aux demandes de rançon est aussi exacte. On ne doit pas collaborer avec les criminels même s’il peut être pénible et coûteux de remonter les systèmes suite à ce type d’attaque.

Il est où mon inconfort alors?

On effleure la véritable problématique selon moi. Certes, il y a des enjeux budgétaires dans les entreprises et beaucoup d’entreprises le réalise à la dure lors d’une attaque qu’ils n’étaient peut-être pas prêtes. Ou en d’autres mots, ils avaient pris le risque (peut-être par insouciance ou par incompréhension) de faire le minimum en confiant leur cybersécurité à leur équipe et/ou un sous-traitant spécialisé avec le message « Arrangez-vous, mais je ne veux pas finir dans les médias ».

Est-ce uniquement un enjeu budgétaire? Est-ce un manque de personnel qualifié en cybersécurité? Est-ce un manque de volonté des organisations à résoudre leur problématique de protection de leurs systèmes et de leurs données (et ceux de leurs clients et employés)?

Rien n’est évidemment tout blanc ou noir, mais selon moi c’est non.

C’est trop facile de blâmer les directions des entreprises pour leur inaction, quand dans les faits la mission première de ces entreprises n’est pas de faire de la cybersécurité. C’est aussi trop facile pour cette même direction de blâmer la personne qui a cliqué sur un lien frauduleux dans un courriel et causé un impact important sur toute son organisation. Après tout, cette personne n’avait-elle pas suivi la formation sur l’hameçonnage payer a même le budget minime de cybersécurité? On cherche toujours un coupable, quand dans les faits le seul véritable coupable est le criminel extrêmement rusé qui exploite avec brio l’humain. 

Soyons honnêtes. Si 95% des attaques sont introduits par un courriel frauduleux, comment un responsable d’une équipe de cybersécurité le justifiera? 

Dans un beau PowerPoint: « Alors voici, depuis 6 mois avec notre campagne anti-hameçonnage nous avons passé de 12% de taux de clic à 9% (incluant ceux de 2-3 VP qui ne sera peut-être pas mentionné) » ou alors: « pourtant nous avons augmenté considérablement notre taux de courriels reportés à chacune de nos campagnes, nous en sommes maintenant à plus de 60% » Yeah! Tape dans le dos… mais dans le fond nous disons rarement à nos dirigeants que nous sommes qu’à un seul courriel véritablement frauduleux pour être éventuellement dans les médias et dans une gestion de crise.

Qui sera congédié? L’employé qui aura cliqué et causé l’impact ou un des dirigeants?

Enjeu budgétaire? Manque de personnel en cybersécurité compétent?

La réalité est que tout va extrêmement vite. Souvent plus de 50, 100 ou 200 courriels par jour lu en toute vitesse entre 2 rencontres et une bouchée de notre dîner. Est-ce vraiment facile d’identifier ceux qui ressemblent à un exercice? Très souvent oui, car on laisse volontairement des indices pour fin éducatif. Mais le vrai faux courriel lui ? Rarement!

Certes les stratégies dites matures de cybersécurité permettront probablement aux entreprises les plus nanties financièrement de détecter l’aiguille dans la botte de foin. Mais après combien de temps ? Souvent bien après les fuites d’information ou lorsque le cybercriminel aura tout verrouillé au moment de son choix avec son rançongiciel.

L’humain demeure un humain. 

Le technicien qui installe l’ordinateur d’un employé a beau être très compétent, mais s’il se limite à suivre ses procédures d’installation, il livrera un ordinateur déjà vulnérable à des attaques. Le développeur d’une application sous pression de livrer rapidement réutilisera peut-être du code qui n’a pas été entièrement validé et rendra une attaque éventuellement possible. L’équipe de surveillance de cybersécurité ne verra peut-être pas une alerte qui aura été classifiée automatiquement non importante. L’agent du service à la clientèle se fera peut-être berner par un fraudeur pour obtenir de l’information lui permettant de planifier une attaque. Le VP finances cliquera peut-être sur un faux courriel en provenance d’un de ses directeurs.

L’humain a tendance à changer radicalement lors de prise de conscience due à un événement pour lequel il est fortement émotionnellement impliqué. Le cerveau est ainsi conçu. Un fumeur a beau voir des poumons malades sur son paquet de cigarettes, il n’arrêtera pas de fumer pour autant. Sauf peut-être après un diagnostic de cancer ou tous autres événements de vie importants.

Guy Cormier, président de Desjardins a probablement un niveau de conscience très différente aujourd’hui qu’il y a 3 ans, car il a été dans le feu de l’action. Et l’employé qui fait son travail au quotidien sous pression de la performance?

Pourtant je suis persuadé que tous ces employés ont été sensibilisés à la cybersécurité obligatoirement.

Manque de budget?

Peut-être que comme spécialiste en cybersécurité il faudra avoir le courage de revoir nos approches. Peut-être qu’il est grand temps de réfléchir hors de la boîte et des cadres de référence établis souvent trop théoriques. On ne dit pas d’ailleurs que la cybersécurité c’est l’affaire de tous et chacun depuis des lunes? Il faudrait peut-être finalement le mettre en pratique avec des stratégies qui permettront des véritables prises de conscience chez tous et chacun, du dirigeant a chacun des employés et arrêter de se cacher derrière l’excuse de c’est la faute de l’autre ainsi que nos gros égos d’experts.

Qui suis-je?

Mon nom est Stéphane Laberge, je suis consultant et j’oeuvre dans le domaine de la cybersécurité depuis plus de 20 ans. Je m’efforce de promouvoir de véritables prises de conscience humaine face aux différents enjeux de la cybersécurité.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Retour haut de page