La compromission des données numériques sensibles, avec les conséquences induites sur l’activité, est devenue le premier risque auquel les organisations doivent faire face. Ce constat initial fonde l’analyse et l’élaboration d’une démarche de parade innovante. L’auteur propose en effet une approche originale et impactante destinée à inverser le facteur de risque, l’humain, en facteur de succès face aux défis posés par la prédation du patrimoine immatériel économique.
Les opinions exprimées dans cet article n'engagent pas le CNAM.
Cet article est une contribution « hors partenaires » proposée et acceptée par le comité de lecture de GeoStrategia. Les références originales de cet article sont : Gauthier Appriou « Prédation économique par voie numérique ; et si on retournait le facteur humain contre le prédateur pour anticiper, protéger et essaimer ? ».
PRÉDATION ÉCONOMIQUE PAR VOIE NUMÉRIQUE
Et si on retournait le facteur humain contre le prédateur pour anticiper, protéger et essaimer ?
Dans notre monde globalisé et toujours plus numérique, l’arrêt d’activité dû à une compromission[1] des informations et données sensibles est devenu le premier risque des organisations, devant le risque de rupture de la chaîne logistique ou le risque incendie.
Leur protection est un enjeu incontournable, mais il est aussi un défi collectif. Si l’engagement des collaborateurs est nécessaire, les dirigeants doivent aussi cesser de raisonner en silo, parce que la problématique est éminemment transverse, relevant autant des sphères technique et sécuritaire que de la sphère des interactions humaines.
Une approche innovante et impactante pour protéger ce patrimoine immatériel est de considérer le facteur humain non plus comme une faille mais comme une force au service du collectif.
Le collaborateur : un “objet d’intérêt” pour les prédateurs de patrimoine immatériel, mais surtout la première ligne de défense de l’organisation.
Des milliers de cadres approchés chaque année via les réseaux sociaux[2], des collaborateurs hameçonnés[3] en se voyant proposer une rémunération pour écrire des rapports d’expertise pour le compte de tiers, des vols d’ordinateurs professionnels, des violations de données par attaques informatiques – dont 82 % impliquent le facteur humain[4]-, des normes d’extraterritorialité du droit utilisées pour affaiblir son concurrent, des audits de conformité juridique avec agendas cachés, des atteintes à la réputation, des achats hostiles etc…
Aujourd’hui plus qu’hier, l’état d’’affrontement’ économique[5] est omniprésent : une cybercriminalité qui s’organise comme une véritable industrie du vol et de la revente, des acteurs privés ou étatiques qui n’hésitent plus à utiliser des stratégies de conquêtes agressives et décomplexées, une crise sanitaire qui n’a fait qu’exacerber et intensifier la guerre économique que se livraient déjà ces différents acteurs. Plus de 4 000 entreprises et 2 000 structures publiques françaises sont susceptibles d’être la cible de manœuvre de déstabilisation ou de prédation de leur patrimoine immatériel.
Dans notre monde globalisé et toujours plus numérisé, la richesse économique d’un pays, élément de souveraineté et d’indépendance, s’adosse sur ses entreprises et institutions qui ne fonctionnent, elles, que grâce aux hommes et femmes qui les composent. L’Humain est et reste au cœur du fonctionnement de toute organisation. Par leurs connaissances, leurs savoir-faire ou leurs accès, les collaborateurs constituent par essence un “objet d’intérêt” pour toute entité à la recherche d’un vecteur de pénétration permettant la captation d’informations et données sensibles. Mais à l’inverse, ces mêmes collaborateurs sont aussi la première ligne de défense de l’organisation et peuvent constituer un véritable réseau de sentinelles permettant d’anticiper la menace.
Dès lors, la question qui se pose est comment faire pour convertir un cadre dirigeant, un juriste, un commercial, un administratif ou encore un développeur en sentinelle de la prédation économique ?
Remettre de l’humain au centre du système défensif pour diminuer la surface d’attaque et voir la menace arriver de loin.
Dans la sphère numérique, on présente souvent une cyberattaque comme un enchainement d’actions techniques : un clic, l’envoi d’une charge utile comme un virus de distribution, une période de latéralisation du système, puis l’envoi de la charge finale comme un rançongiciel, un virus d’espionnage ou de sabotage. À partir du clic, c’est la “cinétique” de l’attaque qui se déclenche et il revient aux technologies défensives de contrer cette attaque. Mais que s’est-il passé avant le clic ? Qu’est-ce qui a bien pu pousser cette employée d’ETI à télécharger une application et ouvrir une proposition de contrat sur son poste de travail et provoquer ainsi l’arrêt d’une usine ?
Dans la sphère physique, lorsqu’un ordinateur professionnel est volé dans le coffre d’une voiture ou dans une chambre d’hôtel, le vol est la phase “cinétique”[6] de l’opération. Mais avant cette phase active, que s’est-il passé ? Comment le dirigeant d’une petite entreprise produisant des dispositifs de sécurité biométrique peut-il être amené à laisser dans sa chambre d’hôtel son ordinateur portable professionnel avec tout son registre prospects & clients pour ensuite se le faire voler, entrainant quelques mois plus tard le dépôt de bilan de sa PME ?
De même, qu’est-ce qui se passe avant qu’une équipe Pentest[7] arrive à coller ses stickers sur les baies d’un Data Center en passant cinq procédures physico-techniques de filtrage mises en place ? Par quelle magie cette équipe d’intrusion a-t-elle bien pu se procurer de vraies « fausses invitations » auprès du support informatique de l’entreprise ?
Dans les trois cas, en amont du déclenchement de la partie “cinétique” de l’attaque, il y a eu une planification s’appuyant sur la reconnaissance de l’objectif, permettant elle-même d’identifier la surface d’attaque[8], d’élaborer le mode opératoire adéquat et de choisir les moyens utiles à l’opération. Or dans cette partie en amont de la “cinétique”, l’humain tient une place centrale, au même titre que les ressorts psychologiques qui vont être utilisés pour atteindre l’objectif final, qui reste l’accès à des informations et données sensibles.
Le recours aux technologies de cybersécurité est bien sûr nécessaire, mais il devient inopérant pour contrer les modes d’attaques hybrides s’appuyant sur une “zone de confiance”, établie ou utilisée par le prédateur, permettant de faire entrer le loup dans la bergerie. Et cette zone de confiance, c’est de l’humain, et plus précisément du facteur humain. Ce dernier fait partie intégrante de la surface d’attaque au même titre que les failles technologiques !
Mais si l’Humain, considéré par l’attaquant comme un vecteur de pénétration, comprend le pourquoi du comment, s’il détient les clés de compréhension de la manœuvre visant à établir cette zone de confiance, et qu’il apprend à reconnaître ou détecter les situations permettant de la créer, son niveau de vigilance s’élèvera instinctivement. A l’instar de cette employée d’un service commerciale sensibilisée deux ans auparavant qui, en reconnaissant l’effet de cadrage utilisé sur elle, a non seulement diminué la faisabilité de l’attaque et augmenté le coût d’exposition de l’attaquant, mais a également permis, en faisant remonter ses doutes, de casser la chaîne d’attaque sophistiquée visant à pénétrer le système d’information de la structure en utilisant une usurpation d’autorité.
En considérant l’humain, non plus comme une faille, mais comme une opportunité d’élever son niveau défensif, on diminue non seulement la surface d’attaque, mais on crée, en plus, un réseau de sentinelles permettant de voir arriver la menace de loin et prendre les mesures défensives adéquates par anticipation.
Sensibiliser aux risques de prédation du patrimoine immatériel économique : un défi plus facile à formuler qu’à relever ?
Tous les experts en charge de la sûreté d’une organisation ou de la protection de ses systèmes d’information s’accordent sur le fait que la sensibilisation des collaborateurs à la protection des informations et données sensibles dont ils sont détenteurs, ou auxquelles ils ont accès, est une nécessité et un impératif, en commençant par les cadres dirigeants. Ne serait-ce que dans le champ numérique, cette catégorie de collaborateur est dix fois plus ciblée que les autres[9].
Mais une fois ce constat posé, la sensibilisation se heurte toujours aux mêmes obstacles : comment susciter l’intérêt, l’adhésion et l’engagement dans le temps, sur un sujet perçu comme ne relevant pas de son domaine de compétences ou de responsabilités ? Autrement dit, comment créer un « habitus » comportemental sans pour autant que le collaborateur ne se sente stigmatisé ou craigne un effet boomerang sur sa carrière ou son environnement professionnel ? Car le non-dit est aussi là. Je veux bien faire tout ce que l’on me demande à condition que cela ne me retombe pas dessus, en particulier si je fais remonter mes doutes.
A cette réalité s’ajoute l’angle mort au niveau des décideurs que l’on trouve quasi-systématiquement à l’intersection des responsabilités, des compétences et des missions : je suis compétent mais cela ne relève pas de mes missions, je suis responsable mais je n’ai pas les compétences pour, ou encore je n’ai pas l’autorité nécessaire, et parfois, ni les moyens. Et une “sensibilisation” n’échappe pas à cet angle mort. Il ne s’agit pas d’une formation professionnelle, donc les RH ne veulent pas en assumer les coûts. Il ne s’agit pas non plus de sécurité des systèmes d’informations au sens strict, donc les “IT[10]” ne veulent pas en prendre la responsabilité. Le “jargon cyber” est trop technique, voire abscons, le responsable sûreté-sécurité pratique le contournement arguant qu’il a « d’autres chats à fouetter ». Bref, sous prétexte que ce n’est pas son cœur de métier, on se renvoie la balle.
Or, cette peur de l’effet boomerang et cette approche en silo sont, dans ce domaine, particulièrement contre-productives. Pourquoi ? Parce que les modes opératoires d’attaque hybrides utilisent non seulement des failles techniques mais également des vulnérabilités humaines. Si les cyberattaques via la messagerie d’entreprise (Business Email Compromise) utilisant l’ingénierie sociale[11] sont si difficiles à détecter et à neutraliser technologiquement[12], c’est justement parce qu’elles s’appuient sur du facteur humain et qu’elles ciblent non seulement tous les départements d’une entreprise sans discrimination, mais aussi tout type de collaborateur.
La peur de l’effet boomerang et l’effet de non-décision due à un raisonnement en silo peuvent et doivent être surmontées concomitamment parce qu’elles contribuent elles-mêmes à élargir la surface d’attaque. Pour un prédateur, peu importe l’âge, les fonctions ou encore le sexe de sa cible, ce qui compte, pour lui, c’est l’accès direct ou indirect aux informations ou aux données qu’il convoite. Et plus sa surface d’attaque est large, plus il est content, peu importe les “bonnes” raisons pour lesquelles cette surface d’attaque est étendue.
Retourner la logique du prédateur contre lui en considérant le facteur humain non plus comme une faille mais comme une force au service du collectif.
Dans le monde des affaires, si vous ne comprenez pas la culture de l’autre, vous ne pouvez pas comprendre ce qu’il ne vous dit pas. Dans le monde de la compétition et de l’affrontement économique, si vous ne comprenez pas comment un prédateur raisonne, vous ne le verrez pas venir.
Pour réduire une surface d’attaque, il ne suffit pas de délivrer des consignes et des bonnes pratiques. Pour qu’elles soient appliquées et suivies dans le temps, encore faut-il qu’elles aient du sens pour celui ou celle qui les reçoit. Il/elle doit aussi y trouver son intérêt. C’est un principe bien connu en psychologie comportementale : moins il y a de récompense ou de punition à la clé, plus je me sens libre de m’engager à faire ce que l’on me demande de faire. Donc je m’engage. Encore faut-il que j’y perçoive un intérêt !
Et pour trouver un intérêt à se comporter naturellement comme une sentinelle dans son quotidien, on a besoin de comprendre le pourquoi du comment, on a besoin de se sentir concerné à titre personnel et d’être convaincu de son rôle-clé, non seulement pour son organisation, mais aussi pour soi-même[13] ! Savoir reconnaître par exemple une tactique de sollicitation malveillante d’engagements successifs, qu’elle se pratique dans la sphère physique ou numérique, est particulièrement utile, non seulement dans sa vie professionnelle mais aussi personnelle. Ce n’est qu’à partir de ce moment que l’on va adopter naturellement, sans sentiment de contrainte, les comportements vertueux permettant de détecter des signaux faibles, et déjouer une attaque qui se prépare.
Or n’y a-t-il pas de meilleure façon de convaincre que de montrer comment un “méchant” raisonne, à quel moment il intègre le facteur-humain dans sa stratégie d’attaque, quels sont les vulnérabilités qu’il va exploiter, quels sont les biais cognitifs, les techniques de persuasion et les outils dont il se sert, comment, dans la pratique, il s’en sert et comment on les contre ?
En nourrissant cette réflexion par des cas concrets qui interpellent, en guidant l’analyse par la pédagogie, en montrant les choses et leurs conséquences telles qu’elles sont et en expliquant pourquoi l’intervention d’un tiers casse une chaîne d’attaque, c’est donner du sens, c’est considérer l’apprenant comme un adulte responsable, c’est susciter son intérêt à vouloir apprendre, c’est considérer le facteur humain non plus comme une faille mais comme une force au service du collectif en le retournant contre l’attaquant. C’est anticiper, protéger et essaimer.
Combien de fois ai-je entendu cette phrase « si j’avais su, je ne me serais jamais fait avoir ! » ou « tiens, cela ressemble étrangement à quelque chose qui m’est arrivé ». Quand j’entends cela, je sais que les petits feux orange transmis sont en place et qu’ils resteront implantés pour un bon bout de temps. En commençant par le premier :
Quel est le point commun entre un cadre travaillant dans un train sur son ordinateur portable sans filtre de protection, un développeur jouant en ligne pendant ses heures creuses à partir de son poste de travail[14], un collaborateur arrondissant ses fins de mois en rédigeant des notes dans son domaine d’expertise pour un tiers et un dirigeant qui laisse son ordinateur portable dans sa chambre d’hôtel pour assister à un Ice Breaking ?
Je vous laisse y réfléchir.
References
Par : Gauthier APPRIOU
Source : ESD-CNAM
