Lexique du risque humain en cybersécurité

Date de publication : 15 août 2023

Achille Morin-Lemoine

· Temps de lecture : 12 minutes

La notion de risque humain en cybersécurité recouvre mille et une facettes. En tous cas au moins 26, suffisamment pour en faire un lexique.

L’objectif ? Vous donner le maximum de clés et de leviers d’action pour promouvoir la sécurité en interne.

Petite variante : On s’est dits que plutôt que de vous donner les termes directement, ce serait plus intéressant de vous les faire deviner.

Nous explorerons des concepts pas si évidents, incluant des notions de sciences comportementales, de management, et bien sûr des concepts techniques. Attention, il se peut que des termes anglophones se soient cachés dans la liste. Un peu de difficulté n’a jamais fait de mal à personne, pas vrai ?

Et si vous n’êtes pas d’humeur à jouer, on vous met les solutions à la fin de l’article, avec les liens correspondants aux concepts.

Voici donc le vocabulaire du risque humain, de A à Z.

A

(Nom féminin). Un outil puissant pour déchiffrer le monde souvent intimidant de la cybersécurité. Il est utilisé avec succès par les éducateurs, les conteurs et même les experts en sécurité. Sa force ? Transformer les concepts compliqués et techniques en des histoires et des images simples et accessibles. Que ce soit le récit d'un cheval de bois dissimulant une armée prête à l'assaut, ou l'image d'une maison fermée à double tour pour illustrer le principe de la double authentification, cet outil permet de rendre les enjeux de la sécurité informatique compréhensibles et mémorables. Par son intermédiaire, les risques deviennent plus concrets, et la cybersécurité devient moins un casse-tête technologique qu'une affaire de bon sens.

A comme...

Analogies. À utiliser sans modération pour faire passer les bons messages.

B

(Nom masculin). Les erreurs systématiques de pensée qui affectent nos décisions et nos jugements. Ils ont un impact sur la façon dont nous percevons et interprétons le monde autour de nous. Qu'il s'agisse de surestimer les faibles probabilités ou de préférer l'information qui confirme nos préjugés, ces pièges mentaux peuvent facilement nous conduire à faire des erreurs en sécurité. La bonne nouvelle ? Une meilleure compréhension de ces mécanismes mentaux peut nous aider à identifier quand ils influencent notre jugement et à prendre des décisions plus éclairées.

B comme...

Biais cognitifs. Par exemple, le biais de confirmation peut amener une personne à cliquer sur un lien malveillant parce qu'elle pense qu'il provient d'une source fiable. De même, le biais d'optimisme peut conduire les individus à négliger les pratiques de sécurité en pensant qu'ils ne seront pas victimes d'une attaque. En avoir conscience, c'est déjà s'en prémunir un peu.

C

(Nom féminin). Une protection invisible mais puissante. Il ne s'agit pas seulement de politiques et de procédures, mais aussi d'attitudes, de comportements et de valeurs partagées qui promeuvent une utilisation sûre et responsable de la technologie. Elle implique la formation des employés, la communication claire des politiques de sécurité et la responsabilité à tous les niveaux de l'organisation.Une forte présence de cette entité peut faire la différence entre prévenir une cyberattaque et devenir sa victime. En la cultivant, les organisations peuvent non seulement réduire les risques, mais aussi renforcer la résilience et la confiance dans leur environnement numérique.

C comme...

Culture (de sécurité). Un levier organisationnel très important, qui permet de penser la sécurité d’un point de vue holistique, prenant en compte toutes les parties prenantes.

D

(Expression). Une philosophie qui rappelle aux concepteurs de systèmes et d'applications qu'ils conçoivent pour des êtres humains, avec toutes leurs forces et leurs faiblesses. Cette approche humaniste souligne l'importance de comprendre les besoins, les capacités et les limites des utilisateurs. Elle nous rappelle que la cybersécurité ne concerne pas seulement la technologie, mais aussi les personnes qui l'utilisent. En adoptant ce type de conception, les organisations peuvent créer des systèmes de cybersécurité qui sont non seulement robustes, mais aussi intuitifs et faciles à utiliser, réduisant ainsi la probabilité d'erreurs humaines et de violations de sécurité.

D comme...

Design centré sur l'humain (ou Human Centered Design). Pas facile à deviner celui-ci, mais le concept est utile pour se rappeler que la technologie doit être au service des utilisateurs (et pas l’inverse !).

E

(Nom féminin). Les traces que nous laissons derrière nous chaque fois que nous utilisons Internet, comme les contours de pas dans le sable. Mais contrairement à ces dernières, elles ne sont pas effacées par la marée. Au contraire, elles s'accumulent, créant un portrait détaillé de nos activités en ligne qui peut être exploité par les criminels. Savoir comment elles sont générées et comment minimiser leur impact est essentiel pour naviguer en toute sécurité dans le monde numérique d'aujourd'hui.

E comme...

Empreintes numériques. Souvent négligées par les individus et les collaborateurs (qui se préoccupe réellement des cookies ?). Il est pourtant crucial que chacun ait conscience que chacune de nos actions sont enregistrées et analysées, et peuvent être exploitées contre nous.

F

(Nom masculin). Les conditions externes qui façonnent notre comportement en matière de sécurité, souvent de manière subtile. Qu'il s'agisse de l'aménagement de notre espace de travail, des normes de l'industrie, des politiques de l'entreprise ou des normes culturelles, ils ont tous un impact sur la manière dont nous percevons et gérons les risques. En reconnaissant et en gérant ces éléments, les organisations peuvent créer un environnement qui soutient et renforce les comportements de sécurité positifs.

F comme...

Facteurs environnementaux. Encore un aspect trop négligé mais pourtant essentiel dans la conception d’une sécurité plurifactorielle. D’ailleurs ce terme est lié au mot de la lettre N.

G

(Nom féminin). L'art et la science de naviguer dans l'inattendu, en particulier lorsqu'il s'agit de situations d'urgence. Une bonne préparation, une communication claire et un leadership solide sont essentiels pour gérer efficacement ces incidents et minimiser leur impact sur l'organisation. Bien plus qu'un simple plan d'action, elle nécessite une mentalité proactive et une volonté constante d'apprendre et de s'adapter. Lorsqu'elle est bien exécutée, elle permet de transformer une situation potentiellement désastreuse en une opportunité de croissance et d'amélioration.

G comme...

Gestion de crise. Une gestion efficace des crises peut aider à limiter les dommages et à rétablir la confiance après une attaque.

H

(Nom masculin). Un grand classique de l’ingénierie sociale, tactique sournoise utilisée par les cybercriminels, qui se font passer pour des entités fiables afin de tromper leurs victimes et de leur soutirer des informations sensibles. Il tire son nom d'une ancienne méthode de pêche, où un appât est utilisé pour attirer le poisson hors de sa cachette. Tout comme le pêcheur patient, les cybercriminels attendent que leurs victimes mordent à l'hameçon. Mais la connaissance est le pouvoir, et une meilleure compréhension de cette technique peut nous aider à rester vigilants et à éviter de tomber dans le piège.

H comme...

Hameçonnage. Facile. L’analogie avec la pêche fait souvent mouche auprès des employés, sans mauvais jeu de mot.

(Par rapport à la pêche à la mouche.)

I

(Nom féminin). Elles agissent comme des leviers, motivant et guidant les comportements. Dans le contexte de la cybersécurité, elles peuvent être utilisées pour encourager les employés à adopter des comportements sûrs et responsables. Elles peuvent être couplées à des récompenses : que ce soit par la reconnaissance publique, des avantages tangibles ou simplement la satisfaction de faire ce qui est juste, elles peuvent jouer un rôle clé dans la promotion d'une culture de sécurité robuste.

I comme...

Incitations. Et oui, promouvoir les bons gestes c’est aussi s’assurer que les employés aient un intérêt concret à favoriser la sécurité. Attention, il est crucial de veiller à ce que ces incitations n'encouragent pas des comportements indésirables, comme la dissimulation d'incidents de sécurité.

J

(Nom masculin). Il s’agit de la police de votre réseau, gardant un œil sur chaque recoin et rapportant toute activité suspecte. Indispensable pour assurer la sécurité et la conformité, c'est une pratique qui va de pair avec le monitoring pour vous permettre de comprendre ce qui se passe sur votre système. Ainsi, si une brèche de sécurité se produit, vous pouvez réagir rapidement et efficacement. Son rôle est tout aussi important pour prévenir les attaques que pour y répondre efficacement une fois qu'elles se sont produites.

J comme...

Journalisation. L’analyse de logs est très utile pour comprendre les comportements utilisateurs. Mais cela soulève également des questions en matière de respect de la vie privée et de confiance des employés. Il est donc important de communiquer clairement sur les pratiques de journalisation et de surveillance, de veiller à ce qu'elles soient conformes à la réglementation, et de les utiliser de manière proportionnée et responsable.

K

(Nom masculin, en anglais). Un espion silencieux se faufilant dans votre système, enregistrant toutes vos activités au clavier. Imaginez un intrus invisible, capable de voler vos informations les plus sensibles sans que vous ne vous en rendiez compte. Mots de passe, informations bancaires, conversations privées, rien n'est à l'abri de cet outil d'espionnage numérique. Avoir connaissance de sa présence potentielle peut inciter à adopter des comportements de navigation plus sécuritaires.

K comme...

Keylogger. Un type de malware souvent peu connu des populations non-techniques, qui fait son petit effet en sensibilisation.

L

(Nom masculin, en anglais). C'est l’attrait de celui ou celle qui prend les commandes, qui dirige l'équipe avec une vision et un engagement clairs en matière de sécurité. Dans le domaine de la cybersécurité, utiliser cette qualité crée une culture où la sécurité n'est pas une réflexion après coup, mais une considération centrale dans toutes les décisions. Sert à promouvoir une approche proactive de la cybersécurité, dans laquelle chacun se sent investi et conscient de son rôle dans la protection des informations.

L comme...

Leadership. Il est parfois difficile d’amener les enjeux sécurité devant la direction ou de les porter à toute l’organisation. Un bon leadership peut influencer les attitudes et les comportements des employés en matière de sécurité. Par exemple, si les dirigeants prennent la cybersécurité au sérieux et la priorisent, il est plus probable que les employés feront de même.

M

(Nom féminin). C'est une activité banale que l'on a tendance à repousser. Pourtant, c'est l'un des gestes les plus importants pour maintenir nos systèmes et nos appareils en sécurité. Chacune apporte des corrections de sécurité, des améliorations de performances, et parfois de nouvelles fonctionnalités. Négliger ce processus peut laisser nos appareils vulnérables aux attaques. Dans un monde où les menaces évoluent rapidement, elles font partie de notre première ligne de défense.

M comme...

Mises à jour. Il est parfois nécessaire de les rendre obligatoires pour que les employés arrêtent de les repousser…

N

(Nom masculin, en anglais). Un petit coup de pouce subtil pour orienter votre comportement dans une direction préférée. Dans le contexte de la cybersécurité, c'est un moyen puissant d'encourager des comportements plus sûrs sans imposer de règles strictes. Cela peut prendre la forme de rappels pour changer votre mot de passe, d'incitations à activer la vérification en deux étapes, ou de suggestions pour vérifier les paramètres de confidentialité.

N comme...

Nudge. Ce concept de psychologie est largement sous-exploité en sécurité, alors que son efficacité peut être bluffante. Par exemple, envoyer un rappel à un employé au moment où il ou elle installe une application potentiellement dangereuse est beaucoup plus efficace qu’en parler de manière théorique. Si ce concept vous intéresse, on a ce qu’il vous faut chez Cyrius.

O

(Nom féminin). Dans le cadre de la cybersécurité, elle doit être envisagée de manière globale, tenant compte des aspects humains, techniques et stratégiques. Elle est essentielle à l'efficacité de la défense contre les cybermenaces. Elle peut contribuer à réduire les vulnérabilités, améliorer la résilience face aux incidents et garantir la continuité des activités.

O comme...

Organisation du travail. Par exemple, le travail en équipe peut encourager la collaboration et la communication, ce qui peut aider à identifier et à résoudre les problèmes de sécurité. D'autre part, une charge de travail excessive ou des horaires de travail irréguliers peuvent augmenter le risque d'erreurs de sécurité. Il est donc important de prendre en compte la sécurité dans l'organisation du travail.

P

(Nom féminin). Il s'agit d'une science qui étudie comment les attitudes, les comportements et les perceptions sont influencés par la présence ou l'influence d'autres personnes. Dans le domaine de la cybersécurité, elle peut nous aider à comprendre comment les individus prennent des décisions concernant la sécurité et comment ils peuvent être influencés pour adopter des comportements plus sûrs.

P comme...

Psychologie sociale. Comprendre la psychologie sociale peut aider à comprendre et à prévenir les erreurs de sécurité, comme le fait de cliquer sur un lien de phishing parce que l'email semble provenir d'un collègue ou d'un ami de confiance.

Q

(Expression latine). Cette expression latine signifie littéralement "quelque chose pour quelque chose". Il s'agit d'un échange de services où un service ou un avantage est rendu en réciprocité d'un service ou d'un avantage reçu. En sécurité, cela peut se traduire par une transaction dans laquelle des informations sensibles sont échangées contre ce qui semble être un avantage, mais qui peut en réalité ouvrir la porte à des cybercriminels. Cela rappelle l'importance de la vigilance lors de la communication de nos informations personnelles.

Q comme...

Quid Pro Quo. Il est important de préciser aux utilisateurs que la base de l’ingénierie sociale est la manipulation et l’abus de confiance. Vous connaissez la chanson, quidquid latine dictum sit, altum sonatur (quoi qu'il soit dit en latin, ça sonne profond).

R

(Nom masculin). Ce n'est pas seulement un défi bureaucratique, mais une ligne de défense essentielle contre l'exploitation des informations personnelles dans le monde numérique. Il a peut-être l'air d'un dédale de règles et de régulations, mais sa véritable vocation est de protéger vos informations personnelles et de veiller à ce qu'elles soient manipulées en toute transparence. En posant des limites claires et en sanctionnant les abus, il donne le pouvoir aux individus et contribue à bâtir une culture de la confiance. Un bouclier pour la confidentialité, une barrière contre l'exploitation et un gage de transparence.

R comme...

Règlement Général sur la Protection des Données (RGPD). Il est essentiel de faire comprendre aux employés que le RGPD est non seulement utile, mais surtout pas si compliqué que ça.

S

(Nom masculin, en anglais). Là où l'innovation non réglementée rencontre la sécurité, ce phénomène est devenu courant dans de nombreuses entreprises. Il répond aux besoins des utilisateurs, mais en dehors du cadre traditionnel des systèmes informatiques d'une organisation. Malgré son rôle pour favoriser l'innovation et l'efficacité, il peut représenter une porte dérobée pour les menaces de sécurité. Bien que cela puisse donner lieu à une plus grande agilité et productivité, il est également un rappel du besoin d'un équilibre entre la flexibilité des utilisateurs et la sécurité de l'organisation.

S comme...

Shadow IT. Le rôle des politiques claires et de la sensibilisation est essentiel sur ce sujet. Et si vous voulez aller plus loin, on a LA fonctionnalité parfaite chez Cyrius pour combiner productivité et sécurité.

T

(Nom masculin, en anglais). À la frontière entre la réalité physique et le monde numérique, ce mot décrit une méthode souvent négligée par laquelle les menaces de sécurité peuvent se manifester. En imitant le passage d'une personne autorisée, une personne non autorisée peut accéder à des espaces restreints. C'est une menace tangible qui met en lumière l'importance d'une vigilance constante et d'une prise de conscience aiguisée des menaces potentielles. Un équilibre délicat entre ouverture et sécurité.

T comme...

Tailgating. Egalement appelé piggybacking, c’est le fameux coup du “j’ai oublié mon badge”. Ce n’est pas simple de faire comprendre aux employés qu’il est crucial de filtrer les individus qui rentrent dans les bâtiments, une analogie avec leur domicile peut être utile : “Vous ne laissez pas entrer les inconnus dans votre jardin ?”

U

(Nom féminin). Une forme de fraude numérique où l'usurpateur se fait passer pour quelqu'un d'autre. Cette technique peut être utilisée pour accéder à des ressources protégées, tromper les autres, voler des informations sensibles ou répandre des malwares. C'est une forme d'imposture qui exploite la confiance que nous avons tendance à accorder aux autres humains.

U comme...

Usurpation d'identité. Font partie de cette technique les fameuses fraudes au président, au fournisseur, au prestataire… qui font des ravages. Trust no one!

V

(Nom féminin). Une ligne de défense critique dans notre monde numérique de plus en plus interconnecté. Elle sert à confirmer votre identité en utilisant une combinaison de deux éléments différents - quelque chose que vous connaissez (comme un mot de passe), et quelque chose que vous possédez (comme un téléphone mobile sur lequel un code peut être envoyé). Cette méthode offre une couche supplémentaire de sécurité, rendant beaucoup plus difficile pour les attaquants potentiels d'accéder à vos informations personnelles, même s'ils ont réussi à découvrir votre mot de passe. Cette mesure renforce les défenses contre le vol d'identité et les attaques de type hameçonnage.

V comme...

Validation en deux étapes, ou double authentification, ou authentification multi-facteurs (MFA). Evident, mais tellement important quand on sait que la MFA bloque 90% des tentatives de phishing classiques.

W

(Nom masculin, en anglais). Une technique d'attaque qui cible spécifiquement les individus de haut rang dans une organisation. Son nom vient du fait qu'elle vise les "gros poissons", un peu comme un pêcheur qui tenterait de capturer une baleine. Elle souligne l'importité d'une vigilance constante, même (et surtout) pour ceux qui sont en position d'autorité et de pouvoir. Cette technique s'attaque à ceux qui ont le plus à perdre et souligne combien il est important d'avoir des protections appropriées en place pour toutes les parties d'une organisation.

W comme...

Whaling. Là encore les métaphores et autres analogies sont très utiles pour faire passer le message, surtout aux fameux “gros poissons” de votre organisation (qui sont rarement les plus sécurisés). Les dirigeants doivent être particulièrement vigilants face aux tentatives de whaling !

X

(Nom masculin, en anglais). C'est un type courant d'attaque qui peut sembler techniquement complexe à première vue, mais qui est en réalité assez simple à comprendre. Il s'agit d'une vulnérabilité qui permet à un attaquant d'injecter du code malveillant dans une application web et de l'exécuter à partir du navigateur de l'utilisateur. Il illustre l'importance cruciale d'un codage sécurisé et d'une validation rigoureuse des entrées. Il s'agit également d'une pratique largement exploitée, qui renforce l'idée que la sécurité n'est pas seulement une affaire de mots de passe robustes ou de mises à jour logicielles, mais également de pratiques de développement saines.

X comme...

XSS (Cross-Site Scripting). Ok, on a séché sur la lettre X. Mais expliquer le fonctionnement des XSS peut intéresser les plus technophiles de vos collègues !

Y

(Expression, en anglais). Un appel à chacun de nous, indiquant que la cybersécurité n'est pas seulement une question de technologie ou de politiques d'entreprise, mais une responsabilité partagée. Il souligne le fait que chaque action que nous entreprenons, chaque e-mail que nous ouvrons, chaque lien sur lequel nous cliquons, a des implications pour notre sécurité et celle de notre organisation. Il est donc essentiel de rester vigilant, d'éduquer et de se tenir informé des meilleures pratiques de sécurité.

Y comme...

Your responsibility. Là aussi, c’est compliqué de trouver un mot en Y. Il n’en reste pas moins que notre mantra chez Cyrius, c’est faire de la cybersécurité une responsabilité partagée. Ça demande du temps et de l’implication, mais c’est ce qui fonctionne.

Z

(Nom masculin, en anglais). Un principe clé de la cybersécurité moderne qui souligne qu'aucun utilisateur ou appareil ne doit être automatiquement considéré comme digne de confiance, même s'il a déjà été validé auparavant. En adoptant cette approche, les organisations peuvent améliorer leur sécurité en minimisant leur surface d'attaque et en limitant l'accès uniquement aux personnes qui en ont réellement besoin. C'est une stratégie pragmatique et réaliste qui tient compte de la réalité du paysage des cybermenaces d'aujourd'hui.

Z comme...

Zero Trust. Parce que la notion de périmètre de sécurité est de moins en moins pertinente, c’est aujourd’hui le concept d’identité qui fait foi. “La confiance n’exclut pas le contrôle” comme on dit !

Conclusion

Alors, combien de concepts avez-vous réussi à deviner ? On espère au moins que l’exercice fut instructif, et que chaque lettre de l'alphabet vous a permis de découvrir un nouvel angle d'approche. La cybersécurité est un champ complexe, qui nécessite une compréhension approfondie non seulement de la technologie, mais aussi de l'interaction avec ses utilisateurs.

Ce lexique n'est pas seulement un outil d'apprentissage, mais aussi une invitation à penser différemment à la cybersécurité. Au lieu de la voir comme une série de règles rigides et de problèmes techniques, il vaut mieux l'envisager comme une question d'équilibre entre les facteurs humains et technologiques, entre la prévention et la réponse, et entre la conformité et la flexibilité.

Au final, la cybersécurité est une responsabilité partagée, et nous espérons que ce lexique aidera chacun à mieux comprendre et à jouer son rôle dans la protection de notre monde numérique.