[Avis d'expert] Cybersécurité : la faille humaine n’est pas inhérente à l’utilisateur

Hantise des industriels, les cyberattaques sont souvent le résultat d'une erreur humaine. Pour Sylvain Guilley, le directeur technique de Secure-IC, une attention particulière à la sécurité lors de la conception des systèmes respectant les normes et la formation des usagers sont le meilleur moyen de limiter les risques.

Partager

TESTEZ GRATUITEMENT L'ABONNEMENT À L'USINE NOUVELLE

15 jours gratuits et sans engagement

[Avis d'expert] Cybersécurité : la faille humaine n’est pas inhérente à l’utilisateur
Parfois, la faille humaine n’est pas à imputer à l’utilisateur, mais au concepteur, pointe Sylvain Guilley, le directeur technique de Secure-IC.

En matière de cybermalveillance, la faille humaine – sous-entendu l’utilisateur – est très souvent pointée du doigt. Avec raison, parfois. Mais c’est oublier un peu vite que l’erreur humaine peut aussi provenir de la conception elle-même de l’infrastructure. Travailler à sa robustesse en amont est au moins aussi important que d’évangéliser les utilisateurs à la cybersécurité.

Le cyberespace, amplificateur de danger ?

Dans la vie réelle (« IRL », i.e. « In real life »), le rapport à la prise de risque et à l’adrénaline est propre à chacun. Certains aiment vivre dangereusement, tandis que d’autres préfèrent ne pas s’aventurer en terre inconnue. Ces mécanismes psychologiques complexes dépendent évidemment de l’inné et de l’acquis de chaque individu.

Dans de nombreux cas, ce sont les comportements qui sont à l’origine des dangers, et l’éducation de tous à ces risques permettrait d’éviter un certain nombre d’écueils.

Dans le cyberespace, le principe est assez proche. Certains lieux visités sont plus risqués que d’autres, et de mauvaises rencontres (voire des agressions) peuvent malheureusement arriver à tout le monde : escroqueries, faux e-mails, attaques ciblées (social engineering ou ingénierie sociale ; pratiques de manipulation ayant pour but d’extirper des informations à des personnes sans qu’elles ne s’en rendent compte), etc. Dans de nombreux cas, ce sont les comportements qui sont à l’origine des dangers, et l’éducation de tous à ces risques permettrait d’éviter un certain nombre d’écueils.

Toutefois, alors même que la technologie est censée être au service de l’humain, c’est elle, par sa conception, qui peut parfois être piégeuse à cause de bugs, de failles ou d’une trop grande permissivité. Dans ce cas, l’usager, malgré un comportement exemplaire, pourra être victime d’une malveillance qui reposerait et exploiterait une ou plusieurs vulnérabilités préexistantes.

La faille humaine à la conception

Si, parmi ces vulnérabilités, certaines peuvent être déjouées par l’utilisateur lui-même (ou par son navigateur, par exemple), comme c’est le cas du protocole web non sécurisé (le « s » de https et le cadenas associé), d’autres sont beaucoup moins évidentes. Ainsi, le cross-site scripting (ou faille XSS) est une faille d’un site tout à fait légitime, capable d’exécuter n’importe quelle action sur le navigateur qui consulte la page.

Dans ce genre de cas, la faille humaine n’est pas à imputer à l’utilisateur, mais bien au concepteur. C’est l’infrastructure, logicielle et/ou matérielle, qui n’a pas été pensée avec un niveau de qualité – et de sécurité – suffisant. Pour autant, l’opprobre ne saurait être jeté systématiquement sur les concepteurs eux-mêmes.

Face à des infrastructures de plus en plus complexes, leur sécurisation maximale est toujours plus difficile à assurer. A contrario, le travail acharné et permanent des personnes mal intentionnées leur permet, au fil du temps, de découvrir et d’exploiter des failles inconnues au moment de la conception.

Vers la sécurité by design

La sécurité des systèmes est-elle vouée à rester une éternelle fuite en avant, doublée de l’espoir de ne jamais subir (ou pas trop gravement) les assauts des cybercriminels ? Heureusement non, et c’est d’ailleurs la technologie elle-même qui accompagne les concepteurs dans leur démarche vertueuse, à l’aide notamment d’outils de vérification de propriétés, de non-régression, d’équivalence formelle au niveau de la compilation, etc. Il est bien sûr nécessaire qu’ils soient correctement configurés, tout en n’empêchant pas les bugs dans les spécifications ou le code source.

Attention toutefois à ne pas établir de raccourci : si l’humain peut être la faille sécuritaire en phase de conception, il est surtout (et avant tout) son atout majeur.

Attention toutefois à ne pas établir de raccourci : si l’humain peut être la faille sécuritaire en phase de conception, il est surtout (et avant tout) son atout majeur, ainsi que le reconnaissent la plupart des schémas de certification, qui impliquent des procédures documentées (donc destinées aux humains). En automobile, par exemple, la normalisation (ISO/SAE 21434, publiée en août 2021) va même plus loin en impliquant le top management, qui doit savoir mesurer les enjeux, nommer un responsable de la sécurité, etc.

En d’autres termes, c’est bien la compréhension des normes et leur application stricte, voire renforcée, en phase de conception qui sera en mesure d’assurer qualité et sécurité aux infrastructures et autres systèmes, depuis le semi-conducteur jusqu’au cloud. Associée à l’apprentissage progressif des enjeux de la cybersécurité auprès du plus grand nombre, cette approche, toujours centrée sur l’humain, permet de limiter au maximum les risques, et donc l’exploitation avérée de vulnérabilités, à l’usage.

Par Sylvain Guilley, directeur technique de Secure-IC et éditeur principal à l’ISO

Les avis d'experts sont publiés sous l'entière responsabilité de leurs auteurs et n'engagent en rien la rédaction de L'Usine Nouvelle.

0 Commentaire

[Avis d'expert] Cybersécurité : la faille humaine n’est pas inhérente à l’utilisateur

Tous les champs sont obligatoires

Votre email ne sera pas publié
0 Commentaire

Partager

SUJETS ASSOCIÉS
LES ÉVÉNEMENTS L'USINE NOUVELLE

LES SERVICES DE L'USINE NOUVELLE

ARTICLES LES PLUS LUS