Recherche Du maillon le plus faible au facteur de sécurité
Recherche
Du maillon le plus faible au facteur de sécurité

Du maillon le plus faible au facteur de sécurité

Verena Zimmermann est convaincue qu'il est trop simpliste de considérer les personnes uniquement comme un facteur de risque en matière de cybersécurité. Il convient plutôt d'utiliser de manière ciblée les capacités particulières des utilisatrices et utilisateurs afin d'accroître la cybersécurité.
Prof. Verena Zimmermann 02.12.2024
Verena Zimmermann est professeure assistante en matière de sécurité, de vie privée et de société à l'ETH Zurich. Ses recherches portent sur les aspects humains de la sécurité informatique et de la protection des données.

Lorsqu'il est question de cybersécurité, de nombreuses personnes pensent d'abord à des technologies sophistiquées, telles que des programmes de cryptage, des filtres de courrier électronique ou des logiciels antivirus. Cependant, même le meilleur programme de cryptage ne sert pas à grand-chose s'il n'est pas utilisé. La faiblesse des mots de passe est sans aucun doute un facteur de risque. Mais la raison n'en est pas nécessairement la paresse ou l'ignorance. Le cerveau humain n'est tout simplement pas conçu pour se souvenir de 50 mots de passe aléatoires différents, voire plus. Pourtant, lorsqu'il s'agit de cybersécurité, les personnes sont souvent considérées comme le «maillon faible», un «risque» ou un «problème». Bien que les personnes et la technologie soient toutes deux pertinentes, c'est l'interaction entre les personnes et la technologie qui est cruciale pour le succès de la cybersécurité.

Minimiser le facteur humain ?

Dans le passé, on a souvent tenté d'éliminer en grande partie le facteur humain en évitant, en limitant fortement ou en réglementant l'interaction avec l'utilisateur ou utilisatrice. Il s'agit par exemple de directives strictes, telles que le changement mensuel de mot de passe, l'interdiction des clés USB ou l'automatisation des processus.

«La stratégie selon laquelle les personnes s'adaptent simplement aux spécifications techniques n'est que modérément efficace.»      Verena Zimmermann

Les lignes directrices en matière de sécurité peuvent être utiles. Toutefois, si elles entrent en conflit avec les flux de travail quotidiens ou si elles ne sont pas faciles à appliquer, les utilisateurs et utilisatrices développent souvent des stratégies peu sûres pour les contourner. Par exemple, ils et elles peuvent conserver leur mot de passe dans un endroit ouvert parce qu'il est difficile de s'en souvenir, ou elles et ils peuvent simplement ajouter un chiffre à la fin de leur mot de passe si des changements fréquents de celui-ci sont nécessaires. Malheureusement, ce comportement facilite souvent les attaques. La stratégie consistant à demander aux gens de s'adapter simplement aux spécifications techniques n'a donc qu'un succès modéré.

Les attaques ciblées sont de plus en plus fréquentes

L'augmentation du nombre et de la qualité des cyberattaques ciblant le facteur humain est également préoccupante. Les attaques par hameçonnage, par exemple, utilisent l'ingénierie sociale pour inciter les gens à télécharger des pièces jointes malveillantes ou à entrer leurs données de connexion secrètes sur de faux sites web.

La recherche en matière de cybersécurité doit donc commencer à innover. Parmi d'autres approches, des recherches récentes visent à améliorer l'adéquation entre les personnes et les solutions de sécurité. Les mots de passe alternatifs générés à partir d'images ou la formation par le jeu, par exemple, peuvent contribuer à sensibiliser les utilisatrices et utilisateurs aux cybermenaces. Cela devrait permettre de mieux combler le fossé entre les exigences techniques et les capacités humaines.

Toutefois, à mon avis, il serait encore plus judicieux de comprendre et d'utiliser le potentiel inexploité des personnes et de leurs capacités.

Mieux utiliser le potentiel humain

Ce potentiel est en fait bien connu de la psychologie et de la recherche en matière de sécurité : les gens sont très créatifs, adaptables aux nouvelles situations et capables de prendre de bonnes décisions, même  confrontés à l'incertitude. Jusqu'à présent, nous nous sommes principalement concentrées sur ce que les gens font mal et avons essayé de le prévenir. Cependant, si nous analysons également ce que les gens font bien et pourquoi, nous pouvons développer de nouvelles approches de la cybersécurité.

Le phishing en est un bon exemple : les scientifiques ont constaté que l'intuition humaine et la reconnaissance des formes, affinées par des années d'expérience, sont souvent plus efficaces pour détecter les tentatives subtiles de phishing que des algorithmes complexes. Par conséquent, si nous comprenons pourquoi certaines personnes non seulement reconnaissent les courriels d'hameçonnage, mais aussi les signalent et avertissent les autres de manière proactive, nous pourrons étudier comment mieux aider les autres dans cette tâche.

Dans l'environnement dynamique des menaces d'aujourd'hui, le haut degré de flexibilité et d'adaptabilité des personnes pourrait être la clé. Si nous parvenons à instaurer une culture dans laquelle chaque individu se sent responsable - et est également motivé et habilité à agir en conséquence - nous pourrions apporter une contribution décisive à la cybersécurité. Il est temps de cesser de considérer les personnes comme le maillon faible et de commencer à les considérer comme un facteur de sécurité précieux.

Plus d'informations

Zimmermann, V., Schöni, L., Schaltegger, T., Ambühl, B., Knieps, M., & Ebert, N. (2024). Human-Centered Cybersecurity Revisited: From Enemies to Partners. Communications of the ACM. https://doi.org/10.1145/3665665

Autres articles
Un stockage naturel de CO2 grâce à une symbiose avec des bactéries
Recherche
Eawag
Regarder les protéines des récepteurs se courber
Recherche
PSI
Délicat, diligent, éphémère
Recherche
Empa
Un paraplégique remarche par la force de sa pensée
Recherche
EPFL