Éliminer l’élément humain des atteintes à la cybersécurité

Défendre une organisation contre la sophistication et le professionnalisme des cybercriminels modernes n’est pas une tâche facile. Jamais auparavant les cybercriminels n’avaient été aussi bien organisés et équipés, possédant des compétences en piratage informatique pour lesquelles de nombreuses entreprises paieraient le prix fort.

Ces entreprises ont commencé à investir dans les compétences et les outils appropriés pour mieux défendre leur entreprise contre de tels pirates, mais cela reste un défi. Il est donc beaucoup plus difficile à prendre en charge lorsque, malgré l’investissement dans la technologie et les systèmes, l’erreur ou la surveillance d’un employé est alors responsable d’une atteinte à la protection des données ou d’une autre cyber attaque.

Quelle place les erreurs humaines occupent-elles dans le risque humain global des entreprises, et que peut-on faire pour y remédier ?

L’erreur humaine est-elle en hausse dans la cyber sécurité ?

L’erreur humaine a presque toujours été un facteur de cybersécurité, surtout lorsqu’il s’agit d’atteintes à la protection des données. Qu’il s’agisse de laisser un appareil ou un document dans un train, d’utiliser un appareil personnel sur un réseau d’entreprise, de travailler avec un service de partage de fichiers basé sur le consommateur ou d’envoyer un document au mauvais destinataire – tout cela peut et a conduit à des violations de données.

Mais on a l’impression que de telles erreurs humaines sont de plus en plus fréquentes, ou certainement de plus en plus médiatisées. Un récent rapport d’Oracle intitulé  » Security in the Age of AI  » a révélé que les dirigeants et les décideurs de C-Suite classent  » l’erreur humaine  » au premier rang des risques de cybersécurité pour leur organisation.

Parmi les exemples récents où l’erreur humaine a eu un impact, mentionnons la mauvaise configuration d’une base de données chez UW Medicine, qui a exposé près d’un million de dossiers de patients en raison d’une mauvaise configuration de la base de données. Rubrik, une société de sécurité informatique et de gestion des données dans les nuages, n’a pas réussi à fournir une protection par mot de passe sur une énorme base de données d’informations clients, exposant des informations relatives à des clients tels que le National Health Service (NHS) du Royaume-Uni, Shell et le Department of Homeland Security des États-Unis.

Qu’y a-t-il derrière le risque humain ?

Qu’il s’agisse d’ignorance, de négligence ou d’incompétence, l’erreur humaine ne peut être ignorée. Mais cela arrive, cela arrivera toujours, et les organisations devraient plutôt se concentrer sur la meilleure façon de réagir à de telles erreurs. Mais le risque humain est différent, surtout dans des secteurs comme les services financiers (SF).

 Le risque humain est basé sur les actions que les employés choisissent de prendre, plutôt que sur des erreurs qu’ils ne peuvent pas aider. Il peut s’agir de se sentir démotivé et de ne pas travailler aussi dur, ou de quelque chose de plus sérieux, comme le vol de données. Selon une étude de la Haute école spécialisée romande (Hes-so), partenaire d’Oxial, ce type de comportement s’est considérablement développé depuis la crise financière de 2008.

L’étude a consisté à interroger des dirigeants de banques privées européennes et a mis en évidence une négligence endémique et un manque de leadership, qui avaient conduit à une culture d’entreprise toxique. De nombreux employés se sont sentis insatisfaits et avides de vengeance à l’égard de ceux qu’ils considéraient comme responsables.

Les changements que les banques se sont senties obligées d’apporter après 2008, comme les fusions, l’impartition ou le gel du recrutement et la réduction des effectifs, ont entraîné une baisse des marges et une hausse des coûts réglementaires. Pour y parvenir, les banques ont poussé leur personnel plus fort, provoquant stress professionnel et désenchantement.
Cela a entraîné des problèmes tels que la baisse de la qualité du service, la perte de dizaines d’années d’expérience à la suite du départ d’employés et l’augmentation de l’absentéisme. En retour, cela a augmenté le nombre de vols de données et de fraudes, ce qui nuit à la réputation d’une entreprise et même à ses résultats financiers.

Amplifier les signaux faibles pour faire face aux risques humains

Pour aborder une question aussi importante, il est vital pour toute organisation d’avoir une bonne compréhension de l’état d’esprit de son personnel et d’être au courant de tout problème potentiel. Mais dans une grande entreprise, c’est très difficile à faire.

C’est là que des solutions technologiques telles que le GRC d’Oxial peuvent jouer un rôle essentiel, en aidant à identifier et amplifier les signaux faibles dans une organisation. Parce qu’il y a tellement de données et d’informations dans les entreprises modernes, il peut être extrêmement difficile de remarquer des tendances ou des modèles, comme un commentaire d’un employé sur les médias sociaux ou un aparté dans une interaction client.

Ces signaux faibles sont difficiles à repérer et encore plus difficiles à déceler, parce qu’il s’agit souvent de bribes d’information isolées et qu’en outre, ils peuvent être ambigus, ne pas être pleinement développés ou manquer de sens sans un contexte plus large. En amplifiant ces signaux faibles, une entreprise peut déceler les tendances dans le comportement de ses employés et éviter que le risque humain ne cause trop de dommages.

L’erreur humaine sera toujours difficile à arrêter complètement, même si cela ne veut pas dire que des mesures ne peuvent être prises pour y remédier au moins partiellement. Mais le risque humain est une toute autre question, et avec la bonne approche, les organisations peuvent gérer et atténuer ce risque avec beaucoup de succès.

Pour en savoir plus sur la façon dont Oxial peut contribuer à atténuer les risques humains, veuillez nous contacter ici.

Share This!