Dans la série américaine American Housewife, dans l'épisode intitulé « The Walk » (La marche), un couple a du mal à laisser son enfant de huit ans se rendre seul à la bibliothèque située à deux pas de chez eux. Cela peut-être stressant en effet, mais il arrive un moment où tous les parents doivent apprendre à lâcher prise, car ils réalisent qu'ils ne peuvent pas être présents chaque seconde.
Dans la fiction, le couple résout ce problème en utilisant un drone lui permettant de voir l’environnement de l’enfant et ses actions. Plutôt que de l’empêcher de sortir ou de lui assigner un chaperon pour chacun de ses faits et gestes, les parents optent pour une visibilité granulaire. Ils peuvent ainsi voir pour mieux protéger leur enfant. La problématique de la sécurité en entreprise n’est pas si éloignée finalement….
Le comportement des employés, facteur de cyberisques
Les vecteurs de failles de sécurité les plus importants sont les employés d’une organisation. Selon un rapport publié par l’entreprise américaine Dtex Systems, 60 % de l’ensemble des attaques sont conduites de l’intérieur, et parmi elles, 68 % résultent de simples négligences. Plus préoccupant encore, il ressort que 95 % des organisations confirment avoir vu des employés chercher des moyens de contourner les protocoles de sécurité mis en place.
En d’autres termes, lorsque des employés considèrent que les règles instaurées limitent leur capacité à exercer leur métier, ils les outrepassent la plupart du temps ou cherchent un moyen de les contourner. Par exemple, ils peuvent utiliser un Tor ou VPN pour se connecter à un autre réseau, puis télécharger du contenu à risque à partir de sites web suspects. Ce « chemin détourné » est le point de départ de la menace : soit l’employé a partagé des informations par inadvertance, soit un malware identifiera cette faille et infectera le réseau. Ce type de comportement est très répandu. Combien d’employés – y compris les spécialistes de la sécurité – consultent leurs emails personnels à partir d’un terminal professionnel ? Combien ont téléchargé une présentation d’entreprise sur une clé USB ou un disque dur externe personnel pour la partager avec un collègue ?
Les freins d’une sécurité basée sur l’interdiction
Au cours des vingt dernières années, la méthode de protection réseau la plus couramment utilisée était basée sur l’interdiction, c’est-à-dire l’inspection, la vérification et finalement le blocage des paquets. Les allées et venues au sein de l’environnement étaient limitées en bloquant les accès à certains sites, en désactivant les ports USB, en restreignant l’utilisation des imprimantes, ou encore en séparant le réseau.
Tout comme dans ces sitcoms où les parents ne peuvent pas constamment conduire leurs enfants partout, il est impossible d’avoir une personne qui vérifie chaque paquet dans le détail. Donc, pour résoudre cela, les équipes IT mettent en place une nouvelle règle – manuellement ou automatiquement – et bloquent certains comportements.
Faire confiance mais vérifier (et contrôler)
Les entreprises veulent des employés qui réussissent, mais tout comme des parents attentifs, elles ont à cœur d’assurer leur sécurité ainsi que celle de leur structure. Néanmoins, on ne peut pas simplement supprimer une fonctionnalité sans leur fournir une alternative leur permettant d’effectuer leur travail. Ils seraient dès lors tentés de trouver un moyen de contourner les restrictions. La raison est simple : ils sont évalués sur leurs performances et leurs résultats, et non sur le respect des règles internes.
Ainsi, pour que les employés soient plus productifs sans compromettre la sécurité de leur entreprise, ils ont besoin de plus d’autonomie avec le réseau, et d’être en mesure d’effectuer davantage de tâches avec les outils à leur disposition. C’est pourquoi les organisations doivent remplacer les politiques de sécurité d’interdiction par des règles de visibilité :
Faire confiance – Il s’agit de laisser les employés prendre les initiatives, tout en réduisant l’exhaustivité des règles de sécurité. Pour ce faire, les équipes IT peuvent définir des protocoles alternatifs simples à exécuter et qui n’entravent pas la réussite des employés. Il est en outre indispensable d’encourager ces derniers à instiller les comportements sécuritaires au sein de l’organisation.
Vérifier – Il est difficile de faire confiance à 100 % sans vérifier que les protocoles de sécurité sont respectés. Il est essentiel de savoir ce qu’il se passe, n’importe où sur le réseau, c’est pourquoi la confiance associée à une visibilité accrue induit plus de sécurité.
Contrôler – La sécurité centrée sur la visibilité permet un meilleur contrôle, plus précis. Le fait de voir le contexte qui entoure des comportements problématiques permet aux organisations d’appliquer une automatisation intelligente, et de mettre en place des règles plus détaillées offrant aux collaborateurs la liberté leur permettant d’être plus productifs tout en protégeant le réseau. Elles évitent ainsi des politiques « couvertures » qui risqueraient de freiner leur performance.
La visibilité du trafic facilite donc la compréhension du comportement de l’employé « à risque ». Des politiques plus granulaires permettent en effet d’assurer que la sécurité du réseau n’entrave pas la productivité de l’employé, et n’ouvre pas la voie à ce dernier au détournement des règles internes, tout comme l’enfant n’est pas tenté de détourner l’attention de ses parents s’il ne se sent pas épié à chacun de ses mouvements !