Rendre la sécurité cool : Mois national de sensibilisation à la cybersécurité 2020

Tout au long du mois d’octobre, F5 partagera ses connaissances en matière de cybersécurité sur Twitter , LinkedIn , Facebook et Instagram .

Le Mois national de sensibilisation à la cybersécurité en est à sa ^17e année. Depuis près de 20 ans, la Cybersecurity and Infrastructure Security Agency (CISA) consacre chaque mois d'octobre à expliquer aux Américains comment être plus en sécurité en ligne. Pendant tout ce temps, est-ce que quelque chose a changé ?

Eh bien, oui et non. Les risques liés à la sécurité des informations n'ont pas fondamentalement changé : les organisations sont aujourd'hui confrontées aux mêmes menaces qu'elles ont toujours connues. Ce qui a changé, ce sont leurs stratégies de gestion des risques et leurs opinions sur ce qui constitue un risque acceptable. En matière de cybersécurité, les données montrent que nous n’atteignons pas les utilisateurs ou les professionnels avec les messages que le Mois national de sensibilisation à la cybersécurité est consacré à diffuser. Comme je l’ai dit lors de mon récent discours au Securityweek CISO Forum, nous avons un problème de relations publiques : nous devons rendre la sécurité « cool » .

La crise de la priorisation

Les spécialistes de la sécurité ont passé des années à se concentrer davantage sur les contrôles que sur le problème. Le résultat est ce qu’un récent article d’USENIX a appelé « une crise de priorisation des conseils ».  Dans une évaluation complète de la qualité des conseils de sécurité et de confidentialité sur le Web , les auteurs ont indiqué que les experts identifient 118 pratiques de cybersécurité comme faisant partie des « 5 principales » choses que les utilisateurs devraient faire, laissant ainsi aux utilisateurs finaux le soin de hiérarchiser ces comportements et de prendre des mesures pour se protéger.

Le résultat de cette crise est une sécurité inefficace. Nous demandons aux utilisateurs depuis des décennies de ne jamais utiliser le même mot de passe pour les accès professionnels et non professionnels, mais les recherches montrent que 94 % des mots de passe réutilisés sont des correspondances exactes. Nous avons organisé des sessions de sensibilisation à la sécurité leur disant de ne pas cliquer sur les liens dans les e-mails provenant de sources non vérifiées et adressés à des sources non vérifiées, mais les attaques de phishing conservent un taux de réussite de 33 à 11 %.

Ce ne sont pas seulement les utilisateurs finaux qui souffrent de cette approche. L’industrie technologique innove aujourd’hui à un rythme incroyable, mais les organisations n’évoluent pas dans la manière de mettre en œuvre cette technologie du point de vue de la sécurité. Les plus grandes innovations technologiques de la dernière décennie (IoT, Cloud, API) ont révolutionné le fonctionnement des entreprises et sont largement déployées sans contrôles de sécurité de base. Les appareils IoT peuvent être sécurisés. Les API peuvent être sécurisées. Le cloud peut être sécurisé.  Pourtant, la liste des organisations qui ne parviennent pas à le faire comprend des sociétés du Fortune 50, des agences à trois lettres et des entreprises technologiques sophistiquées dotées des meilleures équipes de sécurité que l’argent puisse acheter.

En ce moment, « cool » consiste à aller vite et à casser des choses.  La sécurité n’est pas cool. Cela gêne. Ce n’est pas facile. Cela ne correspond pas à notre façon d’innover.

La compétition

Vous savez ce qui est « cool » ? Piratage. Beaucoup d’entre nous dans l’industrie sont suffisamment vieux pour se souvenir de l’époque où le piratage était notre mot d’ordre, quelque chose que nous faisions pour innover et évoluer. Aujourd’hui, les cybercriminels et les attaquants ont repris à leur compte ce mot et l’éthique qui le sous-tend. Ils communiquent. Ils partagent. Ils rendent leurs bots open source. Ils s'adaptent et réagissent aux nouvelles opportunités du marché avec agilité et rapidité. Ces pirates informatiques malveillants forment des jeunes de 13 ans à créer des robots, tandis que l'élève du lycée de mon voisin n'a aucune idée que la sécurité de l'information est un cheminement de carrière, et encore moins quelque chose pour lequel il pourrait obtenir une bourse complète. 

Alors, si les méchants peuvent s’armer et partager rapidement, pourquoi pas nous ? Pourquoi le secteur de la cybersécurité consacre-t-il autant de temps, d’argent et d’efforts à inventer de nouvelles façons de NE PAS croître ?

Trois faits

En tant que professionnels de la sécurité, nous devons faire face à certains faits. Le premier problème est que nous avons un problème de conception de contrôle. Les contrôles fondamentaux n’ont pas évolué depuis des décennies malgré des échecs continus. Nous continuons littéralement à faire les mêmes choses de la même manière en espérant un résultat différent. Et lorsque les contrôles de sécurité sont trop durs, gênants ou prennent trop de temps, les gens trouvent des moyens de les contourner. 

Nous devons également faire davantage pour sensibiliser les gens à ce qu’implique ce travail et à la valeur de la sécurité en dehors de notre domaine. Bien sûr, les fournisseurs de sécurité sont très efficaces pour commercialiser des produits de sécurité auprès des professionnels de la sécurité, mais nous avons peu fait pour sensibiliser les autres spécialités informatiques, ou les autres employés, à la nécessité et à la valeur de la sécurité. (Et pouvons-nous parler de la qualité de la plupart des formations de sensibilisation à la sécurité ? Il est difficile de reprocher aux employés de cliquer dessus aussi vite que possible, même s'ils resteront toujours rivés sur leur centième visionnage de Matrix .)

Ensuite, il y a le fait que nos barrières à l’entrée sont trop élevées. Chaque jour, je vois des discussions en ligne de personnes talentueuses dans le domaine de la sécurité qui ne parviennent pas à décrocher un emploi parce qu’elles n’ont pas de certification spécifique, ne sont pas expertes dans un pare-feu spécifique ou n’ont pas les 15 années d’expérience requises avec un produit qui n’existe peut-être même pas depuis si longtemps. Nous parlons tous des défis liés à la recherche de talents, mais trop souvent, nous ne les laissons pas entrer. Le manque de sensibilisation à notre domaine, associé à des barrières élevées à l’entrée et à un manque de programmes et de diplômés en cybersécurité, garantit des défis pour évoluer afin de répondre aux besoins de l’entreprise.

Comment rendre la sécurité cool

Nous avons tous les ingrédients pour rendre la sécurité cool en 2020. Alors comment on fait ? Je vais suivre mes propres conseils ici et les résumer en trois points :

1.      Partagez davantage. Les attaquants aiment partager, et nous devrions faire de même. Partagez vos histoires hilarantes et géniales avec des personnes extérieures à votre cercle de professionnels de la sécurité, pour intéresser les autres à ce que nous faisons et à son impact. Partagez vos données sur les attaques avec toute personne susceptible d’en bénéficier. Partagez les ressources organisationnelles en investissant dans des programmes STEM. Partagez votre expertise en vous portant volontaire pour éduquer et former les gens à la cybersécurité.

2.      Acceptez le changement. Adoptez une nouvelle technologie qui se déplace vers la gauche, automatise et fonctionne à la vitesse des attaquants. Défendre et évangéliser DevSecOps.

3.      Communiquez mieux. La formation à la sensibilisation à la sécurité est une occasion en or d’interagir de manière positive avec tous les membres de votre entreprise sur la cybersécurité. Ne le laissez pas se perdre ! Assurez-vous que la formation est adaptée à leur vie et à ce qui leur tient le plus à cœur, en utilisant un langage et des images qui résonnent avec eux. Concentrez-vous sur le fait de les aider à gagner, et non de les enfermer.

La réalité est que la sécurité est cool. Si nous modernisons notre approche, le monde entier le saura également.

Par Mary Gardner, responsable de la sécurité des systèmes d'information (CISO) chez F5