BLOG

Rendre la sécurité cool : Mois national de sensibilisation à la cybersécurité 2020

Miniature F5
F5
Publié le 1er octobre 2020

Tout au long du mois d’octobre, F5 partagera ses connaissances en matière de cybersécurité sur Twitter , LinkedIn , Facebook et Instagram .

Le Mois national de sensibilisation à la cybersécurité en est à sa 17e année. Depuis près de 20 ans, la Cybersecurity and Infrastructure Security Agency (CISA) consacre chaque mois d'octobre à expliquer aux Américains comment être plus en sécurité en ligne. Pendant tout ce temps, est-ce que quelque chose a changé ?

Eh bien, oui et non. Les risques liés à la sécurité des informations n'ont pas fondamentalement changé : les organisations sont aujourd'hui confrontées aux mêmes menaces qu'elles ont toujours connues. Ce qui a changé, ce sont leurs stratégies de gestion des risques et leurs opinions sur ce qui constitue un risque acceptable. En matière de cybersécurité, les données montrent que nous n’atteignons pas les utilisateurs ou les professionnels avec les messages que le Mois national de sensibilisation à la cybersécurité est consacré à diffuser. Comme je l’ai dit lors de mon récent discours au Securityweek CISO Forum, nous avons un problème de relations publiques : nous devons rendre la sécurité « cool » .

La crise de la priorisation

Les spécialistes de la sécurité ont passé des années à se concentrer davantage sur les contrôles que sur le problème. Le résultat est ce qu’un récent article d’USENIX a appelé « une crise de priorisation des conseils ».  Dans une évaluation complète de la qualité des conseils de sécurité et de confidentialité sur le Web , les auteurs ont indiqué que les experts identifient 118 pratiques de cybersécurité comme faisant partie des « 5 principales » choses que les utilisateurs devraient faire, laissant ainsi aux utilisateurs finaux le soin de hiérarchiser ces comportements et de prendre des mesures pour se protéger.

Cette crise affaiblit la sécurité. Depuis des décennies, nous demandons aux utilisateurs de ne jamais réutiliser le même mot de passe pour leurs accès professionnels et personnels, pourtant 94 % des mots de passe réutilisés sont identiques. Nous organisons des sessions de sensibilisation à la sécurité les invitant à ne pas cliquer sur des liens dans des e-mails provenant de sources non vérifiées, mais les attaques par hameçonnage réussissent entre 11 et 33 % du temps.

Ce ne sont pas seulement les utilisateurs finaux qui souffrent de cette approche. L’industrie technologique innove aujourd’hui à un rythme incroyable, mais les organisations n’évoluent pas dans la manière de mettre en œuvre cette technologie du point de vue de la sécurité. Les plus grandes innovations technologiques de la dernière décennie (IoT, Cloud, API) ont révolutionné le fonctionnement des entreprises et sont largement déployées sans contrôles de sécurité de base. Les appareils IoT peuvent être sécurisés. Les API peuvent être sécurisées. Le cloud peut être sécurisé.  Pourtant, la liste des organisations qui ne parviennent pas à le faire comprend des sociétés du Fortune 50, des agences à trois lettres et des entreprises technologiques sophistiquées dotées des meilleures équipes de sécurité que l’argent puisse acheter.

En ce moment, « cool » consiste à aller vite et à casser des choses.  La sécurité n’est pas cool. Cela gêne. Ce n’est pas facile. Cela ne correspond pas à notre façon d’innover.

La compétition

Vous savez ce qui est « cool » ? Le hacking. Beaucoup d’entre nous dans le secteur se souviennent d’une époque où le hacking était notre terrain de jeu, un moyen d’innover et d’évoluer. Aujourd’hui, les cybercriminels et les attaquants utilisent ce terme et son esprit à leur profit. Ils communiquent. Ils partagent. Ils publient leurs bots en logiciel libre. Ils saisissent vite les nouvelles opportunités du marché grâce à leur réactivité et agilité. Ces hackers malveillants forment déjà des gamins de 13 ans à créer des bots, tandis que l’adolescent au lycée à côté n’a même pas conscience que la sécurité de l’information est une carrière possible—et encore moins qu’il pourrait obtenir une bourse complète pour cela. 

Alors, si les méchants peuvent s’armer et partager rapidement, pourquoi pas nous ? Pourquoi le secteur de la cybersécurité consacre-t-il autant de temps, d’argent et d’efforts à inventer de nouvelles façons de NE PAS croître ?

Trois faits

En tant que professionnels de la sécurité, nous devons faire face à certains faits. Le premier problème est que nous avons un problème de conception de contrôle. Les contrôles fondamentaux n’ont pas évolué depuis des décennies malgré des échecs continus. Nous continuons littéralement à faire les mêmes choses de la même manière en espérant un résultat différent. Et lorsque les contrôles de sécurité sont trop durs, gênants ou prennent trop de temps, les gens trouvent des moyens de les contourner. 

Nous devons également faire davantage pour sensibiliser les gens à ce qu’implique ce travail et à la valeur de la sécurité en dehors de notre domaine. Bien sûr, les fournisseurs de sécurité sont très efficaces pour commercialiser des produits de sécurité auprès des professionnels de la sécurité, mais nous avons peu fait pour sensibiliser les autres spécialités informatiques, ou les autres employés, à la nécessité et à la valeur de la sécurité. (Et pouvons-nous parler de la qualité de la plupart des formations de sensibilisation à la sécurité ? Il est difficile de reprocher aux employés de cliquer dessus aussi vite que possible, même s'ils resteront toujours rivés sur leur centième visionnage de Matrix .)

Ensuite, il y a le fait que nos barrières à l’entrée sont trop élevées. Chaque jour, je vois des discussions en ligne de personnes talentueuses dans le domaine de la sécurité qui ne parviennent pas à décrocher un emploi parce qu’elles n’ont pas de certification spécifique, ne sont pas expertes dans un pare-feu spécifique ou n’ont pas les 15 années d’expérience requises avec un produit qui n’existe peut-être même pas depuis si longtemps. Nous parlons tous des défis liés à la recherche de talents, mais trop souvent, nous ne les laissons pas entrer. Le manque de sensibilisation à notre domaine, associé à des barrières élevées à l’entrée et à un manque de programmes et de diplômés en cybersécurité, garantit des défis pour évoluer afin de répondre aux besoins de l’entreprise.

Comment rendre la sécurité cool

Nous avons tous les ingrédients pour rendre la sécurité cool en 2020. Alors comment on fait ? Je vais suivre mes propres conseils ici et les résumer en trois points :

1.      Partagez davantage. Les attaquants partagent volontiers, et vous devriez en faire autant. Racontez vos histoires drôles et inspirantes à ceux qui sont en dehors de votre cercle de spécialistes en sécurité pour éveiller leur intérêt à notre métier et à son impact. Diffusez vos données sur les attaques auprès de toutes les personnes qui en tireront avantage. Investissez dans des programmes STEM pour mettre vos ressources organisationnelles à profit. Mettez votre savoir à disposition en offrant votre temps pour former et sensibiliser les publics à la cybersécurité.

2.      Acceptez le changement. Adoptez une nouvelle technologie qui se déplace vers la gauche, automatise et fonctionne à la vitesse des attaquants. Défendre et évangéliser DevSecOps.

3.      Communiquez mieux. La formation à la sensibilisation à la sécurité est une occasion en or d’interagir de manière positive avec tous les membres de votre entreprise sur la cybersécurité. Ne le laissez pas se perdre ! Assurez-vous que la formation est adaptée à leur vie et à ce qui leur tient le plus à cœur, en utilisant un langage et des images qui résonnent avec eux. Concentrez-vous sur le fait de les aider à gagner, et non de les enfermer.

La réalité est que la sécurité est cool. Si nous modernisons notre approche, le monde entier le saura également.

Par Mary Gardner, responsable de la sécurité des systèmes d'information (CISO) chez F5