[Avis d'expert] Cybersécurité : la faille humaine n’est pas inhérente à l’utilisateur

Hantise des industriels, les cyberattaques sont souvent le résultat d'une erreur humaine. Pour Sylvain Guilley, le directeur technique de Secure-IC, une attention particulière à la sécurité lors de la conception des systèmes respectant les normes et la formation des usagers sont le meilleur moyen de limiter les risques.

Partager
[Avis d'expert] Cybersécurité : la faille humaine n’est pas inhérente à l’utilisateur
Parfois, la faille humaine n’est pas à imputer à l’utilisateur, mais au concepteur, pointe Sylvain Guilley, le directeur technique de Secure-IC.

En matière de cybermalveillance, la faille humaine – sous-entendu l’utilisateur – est très souvent pointée du doigt. Avec raison, parfois. Mais c’est oublier un peu vite que l’erreur humaine peut aussi provenir de la conception elle-même de l’infrastructure. Travailler à sa robustesse en amont est au moins aussi important que d’évangéliser les utilisateurs à la cybersécurité.

Le cyberespace, amplificateur de danger ?

Dans la vie réelle (« IRL », i.e. « In real life »), le rapport à la prise de risque et à l’adrénaline est propre à chacun. Certains aiment vivre dangereusement, tandis que d’autres préfèrent ne pas s’aventurer en terre inconnue. Ces mécanismes psychologiques complexes dépendent évidemment de l’inné et de l’acquis de chaque individu.

Dans de nombreux cas, ce sont les comportements qui sont à l’origine des dangers, et l’éducation de tous à ces risques permettrait d’éviter un certain nombre d’écueils.

Dans le cyberespace, le principe est assez proche. Certains lieux visités sont plus risqués que d’autres, et de mauvaises rencontres (voire des agressions) peuvent malheureusement arriver à tout le monde : escroqueries, faux e-mails, attaques ciblées (social engineering ou ingénierie sociale ; pratiques de manipulation ayant pour but d’extirper des informations à des personnes sans qu’elles ne s’en rendent compte), etc. Dans de nombreux cas, ce sont les comportements qui sont à l’origine des dangers, et l’éducation de tous à ces risques permettrait d’éviter un certain nombre d’écueils.

Toutefois, alors même que la technologie est censée être au service de l’humain, c’est elle, par sa conception, qui peut parfois être piégeuse à cause de bugs, de failles ou d’une trop grande permissivité. Dans ce cas, l’usager, malgré un comportement exemplaire, pourra être victime d’une malveillance qui reposerait et exploiterait une ou plusieurs vulnérabilités préexistantes.

La faille humaine à la conception

Si, parmi ces vulnérabilités, certaines peuvent être déjouées par l’utilisateur lui-même (ou par son navigateur, par exemple), comme c’est le cas du protocole web non sécurisé (le « s » de https et le cadenas associé), d’autres sont beaucoup moins évidentes. Ainsi, le cross-site scripting (ou faille XSS) est une faille d’un site tout à fait légitime, capable d’exécuter n’importe quelle action sur le navigateur qui consulte la page.

Dans ce genre de cas, la faille humaine n’est pas à imputer à l’utilisateur, mais bien au concepteur. C’est l’infrastructure, logicielle et/ou matérielle, qui n’a pas été pensée avec un niveau de qualité – et de sécurité – suffisant. Pour autant, l’opprobre ne saurait être jeté systématiquement sur les concepteurs eux-mêmes.

Face à des infrastructures de plus en plus complexes, leur sécurisation maximale est toujours plus difficile à assurer. A contrario, le travail acharné et permanent des personnes mal intentionnées leur permet, au fil du temps, de découvrir et d’exploiter des failles inconnues au moment de la conception.

Vers la sécurité by design

La sécurité des systèmes est-elle vouée à rester une éternelle fuite en avant, doublée de l’espoir de ne jamais subir (ou pas trop gravement) les assauts des cybercriminels ? Heureusement non, et c’est d’ailleurs la technologie elle-même qui accompagne les concepteurs dans leur démarche vertueuse, à l’aide notamment d’outils de vérification de propriétés, de non-régression, d’équivalence formelle au niveau de la compilation, etc. Il est bien sûr nécessaire qu’ils soient correctement configurés, tout en n’empêchant pas les bugs dans les spécifications ou le code source.

Attention toutefois à ne pas établir de raccourci : si l’humain peut être la faille sécuritaire en phase de conception, il est surtout (et avant tout) son atout majeur.

Attention toutefois à ne pas établir de raccourci : si l’humain peut être la faille sécuritaire en phase de conception, il est surtout (et avant tout) son atout majeur, ainsi que le reconnaissent la plupart des schémas de certification, qui impliquent des procédures documentées (donc destinées aux humains). En automobile, par exemple, la normalisation (ISO/SAE 21434, publiée en août 2021) va même plus loin en impliquant le top management, qui doit savoir mesurer les enjeux, nommer un responsable de la sécurité, etc.

En d’autres termes, c’est bien la compréhension des normes et leur application stricte, voire renforcée, en phase de conception qui sera en mesure d’assurer qualité et sécurité aux infrastructures et autres systèmes, depuis le semi-conducteur jusqu’au cloud. Associée à l’apprentissage progressif des enjeux de la cybersécurité auprès du plus grand nombre, cette approche, toujours centrée sur l’humain, permet de limiter au maximum les risques, et donc l’exploitation avérée de vulnérabilités, à l’usage.

Par Sylvain Guilley, directeur technique de Secure-IC et éditeur principal à l’ISO

Les avis d'experts sont publiés sous l'entière responsabilité de leurs auteurs et n'engagent en rien la rédaction de L'Usine Nouvelle.

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER La Quotidienne

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

LES ÉVÉNEMENTS L'USINE NOUVELLE

Tous les événements

LES PODCASTS

A Grasse, un parfum de renouveau

A Grasse, un parfum de renouveau

Dans ce nouvel épisode de La Fabrique, Anne Sophie Bellaiche nous dévoile les coulisses de son reportage dans le berceau français du parfum : Grasse. Elle nous fait découvrir un écosystème résilient, composé essentiellement...

Écouter cet épisode

Les recettes de l'horlogerie suisse

Les recettes de l'horlogerie suisse

Dans ce nouvel épisode de La Fabrique, notre journaliste Gautier Virol nous dévoile les coulisses de son reportage dans le jura suisse au coeur de l'industrie des montres de luxe.

Écouter cet épisode

Le rôle des jeux vidéo dans nos sociétés

Le rôle des jeux vidéo dans nos sociétés

Martin Buthaud est docteur en philosophie à l'Université de Rouen. Il fait partie des rares chercheurs français à se questionner sur le rôle du jeu vidéo dans nos sociétés.

Écouter cet épisode

Les coulisses d'un abattoir qui se robotise

Les coulisses d'un abattoir qui se robotise

Dans ce nouvel épisode de La Fabrique, Nathan Mann nous dévoile les coulisses de son reportage dans l'abattoir Labeyrie de Came, dans les Pyrénées-Atlantiques, qui robotise peu à peu ses installations.

Écouter cet épisode

Tous les podcasts

LES SERVICES DE L'USINE NOUVELLE

Trouvez les entreprises industrielles qui recrutent des talents

BUREAU VERITAS

Chargé d'Affaires Equipements sous Pression en Service (F-H-X)

BUREAU VERITAS - 18/01/2023 - CDI - Aix-en-Provence

+ 550 offres d’emploi

Tout voir
Proposé par

Accédez à tous les appels d’offres et détectez vos opportunités d’affaires

33 - COBAN

Fourniture et travaux de pose et de dépose de signalisation spécifique

DATE DE REPONSE 23/02/2023

+ de 10.000 avis par jour

Tout voir
Proposé par

ARTICLES LES PLUS LUS