Logo Microsoft Copilot 365  Préparez votre tenant à Copilot : identifiez et éliminez les accès non autorisés aux données

Sécurité / IT

19 octobre 2021

Erreurs humaines, réduire les risques sur la sécurité des données

Erreurs humaines

Selon un rapport récent, 60 % des cyberattaques peuvent être attribuées à des comportements humains inadéquats. (1)

Avec le déploiement de nouveaux outils numériques pour accélérer la communication et le partage de données, les projets d’adoption ont pu être fait dans la précipitation. Les usages ont été transformés et certains utilisateurs ne maîtrisent pas totalement leurs nouveaux outils de travail.

Dans le cadre de la sécurité des données, les erreurs humaines peuvent être liées à ces « mauvais usages » des outils collaboratifs. Elles sont une cause des incidents de sécurité rencontrés par les entreprises à ne pas négliger.

L’autonomie des utilisateurs, un facteur de risque pour la sécurité ?

Comme le prouve le sondage du CESIN, 80% des RSSI sondés ont désigné la gestion des partages par les collaborateurs comme un risque majeur pour les données de l’entreprise. (2)

En effet, il y a encore quelques années l’utilisateur était tributaire de l’IT pour partager de la donnée. Le partage n’était possible que via des serveurs de fichiers, créés et supervisés par les services informatiques.

Aujourd’hui, il y a un changement de paradigme, l’utilisateur est devenu l’administrateur de ses partages. Il a à sa disposition une multitude d’outils lui permettant de créer des espaces de partage et d’échanger plus facilement du contenu.

C'est pourquoi l’utilisateur a désormais un fort impact vis-à-vis de ses données. D'ailleurs, les erreurs de configuration ou la négligence d’un administrateur ou d’un salarié représenteraient 33% des incidents de sécurité rencontrés par les entreprises en 2021. (2)
Les conséquences de ses actes peuvent parfois être graves, voire irrémédiables et entrainer des risques majeurs : fuite de données, perte de confiance, mauvaise réputation, indisponibilité d’un service, problème de conformité…

Schéma sur les points d'entrées Microsoft

3 grands types d’erreurs humaines qui impactent la sécurité des données

Ainsi, identifier ces erreurs humaines et leurs conséquences sur le SI permet de gérer et de couvrir le risque. Il existe 3 types d’erreurs :

1. Manque d’attention

Qu’il s’agisse d’un clic sur un lien compromis, d’une visite sur un site non sécurisé, ou encore d’une installation d’une application malveillante, la négligence provient d’un manque de temps du collaborateur ou d’une méconnaissance des pièges cyber.

Les collaborateurs manquent de temps et d’implication. Ils ont une multiplicité d’informations à traiter dans leur journée de travail et les règles de sécurité ne sont pas leur priorité. Les collaborateurs se sentent parfois peu concernés. La cybersécurité est un sujet assez abstrait et souvent perçue comme contraignant.
D’ailleurs, c’est également souvent lié à un manque de prise de conscience du risque. Il y a en effet un décalage entre l’action menée et les conséquences qu’elle peut avoir, par exemple si elle est détournée.

Pour donner un exemple, l'utilisateur peut autoriser une application à se synchroniser à sa messagerie. Il peut alors donner un droit de lecture sur sa messagerie et également à l'Azure AD. Autre exemple, les attaques, comme le phishing, sont aujourd’hui de plus en plus sophistiquées ce qui complique leur détection.

Mail de phishing sur un partage OneDrive

Dans les deux cas, la sensibilisation est importante pour mobiliser et responsabiliser le collaborateur.

2. Erreur de configuration

L’environnement de travail et l’ensemble des outils Workplace mis à disposition peuvent devenir complexes pour un collaborateur.

La suite Microsoft, par exemple, regorge de fonctionnalités, d’applications toutes interconnectées : OneDrive personnel, Teams collaboratif ou SharePoint stockage collectif. Chaque application va avoir ses propres spécificités et paramétrages, et la mise en pratique n’est pas toujours transparente pour l’utilisateur. Elle peut avoir un impact direct sur la maitrise des outils.

L’utilisateur peut par exemple, faire un partage de lien trop permissif, anonyme et rendre un document accessible à tous les salariés et même à des externes.
De plus, le lien de partage par défaut paramétré dans Outlook est en anonyme. Si aucun changement n'est réalisé, le re-partage et l'accessibilité ne seront pas contrôlés. 
Ce type d’erreur peut provoquer des risques de fuite, d’intégrité ou de non-conformité sur les données.

Choix d'une permission sur un partage OneDrive

L’utilisateur ne se rend pas toujours compte de la puissance d’une option de partage ou de la conséquence d’un mauvais paramétrage…

3. Gestion des droits dans le temps

Le troisième type d’erreur est plus subtil et concerne la conséquence du non suivi des accès, partages dans le temps.
Une des difficultés rencontrées par les équipes dans ce contexte collaboratif, c’est la gestion du cycle de vie de la donnée. Les informations sont en perpétuel mouvement.

L’utilisateur ne se souvient pas toujours à qui il a partagé de la donnée, n’a pas toujours de visibilité sur qui peut accéder à ses données. Par exemple à travers des collaborations ponctuelles, l’utilisateur va donner des droits sur ses espaces de stockage ou faire des partages externes. La question se pose alors, après un certain temps, est-ce que le partage qu’il a réalisé est toujours valide, nécessaire, autorisé ?
Revoir les permissions accordées peut également prendre du temps, plusieurs clics seront nécessaires et l'utilisateur peut se décourager.

Pour conclure, ces trois types d’erreurs humaines affectent directement la sécurité des données d’où l’importance de maîtriser les usages et de responsabiliser les utilisateurs.

Améliorer la visibilité pour maitriser les risques sur la sécurité des données

Une réponse possible pour éviter les erreurs humaines va être l’amélioration de la visibilité notamment sur les accès, droits, partages des données : pour les équipes SOC, SSI mais également les utilisateurs.

1. Améliorer la visibilité des équipes SSI

Face au volume de données il y a aujourd’hui trop d’incertitudes sur ce que chaque utilisateur gère les partages et accès de ses données. A-t-il lu ses notifications Microsoft ? Est-il conscient des risques ? A-t-il supprimé les accès externes qui ne sont plus utilisés ? Les équipes sécurité sont assez limités pour superviser tous ces usages.

Tout l’enjeu est d’identifier des usages à risque : un partage dangereux, un accès sur des messageries, une erreur de configuration sur les comptes stratégiques. Ensuite, l'enjeu est de pouvoir déclencher à temps des actions correctives pour réduire les vulnérabilités et prévenir de tout risque de fuite de données.

Il existe aujourd’hui des systèmes de monitoring et détection poussés. Mais sans l’implication de l’utilisateur, dans ce dispositif, le schéma paraît incomplet pour sécuriser les données dans un contexte collaboratif.

2. Améliorer la visibilité et la gestion des données pour les utilisateurs

Améliorer la visibilité pour les utilisateurs est un premier pas pour éviter les grands types d’erreurs humaines. Le collaborateur doit être en mesure de voir les permissions, les délégations, les droits posés sur ses données collaboratives.

Aujourd’hui, certaines informations lui sont, soit transmises au compte-goutte, soit dispersées entre chaque application SharePoint, OneDrive ou Teams. L’exemple de OneDrive est significatif. L’utilisateur doit ouvrir l’application cloud et ouvrir chaque fichier pour découvrir qui a les accès et les gérer.

Email suite à un partage dans SharePoint

Pour simplifier sa visibilité, l’ensemble des informations devrait être réuni dans un espace consolidé où il pourra prendre connaissance des effets de ses partages. Par exemple, les propriétaires de site SharePoint doivent pouvoir vérifier et corriger simplement les autorisations.

Si chaque collaborateur à son échelle participe activement et régulièrement à la maitrise de ses partages, cela permettra de réduire les vulnérabilités et de renforcer une sécurité globale.

 

La revue de droits : levier pour améliorer la visibilité, identifier et corriger les erreurs humaines

Un des leviers possibles est la mise en place de campagne de revue de droits avec l’implication du collaborateur. Elle consiste à s’assurer que les droits et les accès soient conformes à la politique de sécurité, à l’usage des collaborateurs et les corriger dans le cas échéant.

C'est pourquoi, mettre en place des revues de droits régulières permet d’entamer un processus de revalidation des accès et partages des contenus échangés. L’utilisateur pourra confirmer si l’action est bien conforme ou aider à identifier une anomalie et valider ou non la compromission.

Mais encore faut-il pouvoir traiter une volumétrie importante liée au cloud et aux outils collaboratifs (tous les sites SharePoint, les membres, les permissions associées, les partages externes…), pouvoir adapter sa communication aux utilisateurs (engagement, format) et pouvoir exécuter les besoins de correction, remédiation.

IDECSI a mis au point un processus simplifiant la mécanique de revues de droits avec 3 objectifs clés :

  • Simplifier l’accès à l’information pour chaque utilisateur : un dashboard interactif et personnalisé
  • Lancer des revues de droits de manière industrielle en intégrant les problématiques de volumétrie et de complexité
  • Automatiser la remédiation sur certains cas d’usage.

Découvrir le retour d'expérience du Directeur Cybersécurité Opérationnelle de la SNCF : Industrialiser le processus de revue de droits avec IDECSI

 

L’engagement des utilisateurs réduit les risques d’erreurs humaines

L’augmentation de l’autonomie des utilisateurs a changé les rôles et les responsabilités de chacun dans la gestion des droits d’accès et de partages des données de l’entreprise. A tel point que les erreurs humaines liées aux outils collaboratifs augmentent la surface d’exposition du risque.

Si toutefois les utilisateurs sont encore trop souvent perçus comme le maillon faible dans la sécurité des données, il faut les accompagner, les impliquer davantage avec les bons processus pour améliorer la sécurité des données.

Tout compte fait, la visibilité est un premier pas vers l’engagement.
La revue de droits automatisée et user-friendly est un moyen efficace pour maîtriser dans le temps, de manière proactive, la sécurité des données.

(1) Accenture "State of Cybersecurity Report 2020"
(2) CESIN Baromètre 2021

Erreurs humaines : maitriser les risques sur les partages collaboratifs 

 

Voir le replay du webinar

Nos articles

Ces articles peuvent
vous intéresser

Supervision des groupes et des liens de partages dans Microsoft 365
Microsoft 365
Sécurité / IT

Supervision des groupes et des liens de partages dans Microsoft 365

Lire l'article
Microsoft 365
Actualité IDECSI
Sécurité / IT
stockage

Sécurité et Gouvernance des données à l'ère de l’IA & Numérique Responsable

Lire l'article
Sécurité OneDrive : 3 points d'attention pour mieux maîtriser les données
Microsoft 365
Sécurité / IT

Sécurité OneDrive : 3 points d'attention pour mieux maîtriser les données

Lire l'article
Etude IFOP-IDECSI-CESIN : Sécurité des données au travail
Tendances
Sécurité / IT

Les salariés français et la sécurité des données

Lire l'article

Protection des données, discutons de votre projet ?

 

Contactez-nous
video background