L'interface chaise-clavier : ou la gestion des facteurs humains dans la sécurité des systémes d'information

En matière de sécurité des systèmes d'information, on parle souvent des deux principaux facteurs de risques qui sont :

- La "technique" : failles hardware ou logicielles

- L'"interface chaise-clavier" : vulgairement appelé l'être humain.

Le plus souvent, lorsque l'on prend en compte l'humain dans l'analyse des risques, on prend en compte généralement les risques liés à la malveillance ou à des faits volontaires... Légitime mais est-ce bien complet ?

Si cela était aussi facile, pourquoi à un moment donné, dans notre éternelle volonté d'amélioration continue, arrive t'on fatalement au moment où notre progression est plus que limitée ? En d'autres termes, pourquoi je compte plus sur mon téléphone intelligent pommé (et paumé dans cette grande ville depuis une certaine mise à jour) pour me rappeler en mémoire mon rendez-vous que  sur ma charmante épouse ?

PARCE QUE L’ÊTRE HUMAIN EST FAILLIBLE M'sieur Dame !! Nous aurons beau mettre des tonnes et des tonnes de mesures préventives, de barrières techniques et organisationnelles, nous ne sommes que des êtres humains et tôt ou tard, nous trébucherons !

"OH Mais alors, il n'y a rien à faire, sommes nous définitivement condamné Doc ?"

Mais non Marty, car ce phénomène a déjà été étudié dans d'autres domaines où la sécurité est également primordiale (l'aéronautique par exemple) et a donné un domaine d'étude appelé "La gestion des Facteurs Humains".

"Les facteurs humains : Kesako Doc ?" Mon ami Wikipédia te répondra

Le facteur humain est la contribution humaine impliquée dans un événement [...] Le facteur humain concerne également l'étude des raisons aboutissant à une erreur humaine

En résumé, c'est la prise en compte des données biologiques et neurologiques de l'être humain afin d'anticiper ces réactions et donc ces erreurs !

"Bien Bien, mais plus concrètement ?"

La gestion des facteurs humains, mais surtout la sensibilisation à la gestion des facteurs humains, permet, à chaque niveau de l'organisation, d'avoir conscience des phénomènes induisant l'erreur humaine et de les prendre en compte dans l'élaboration, le déploiement et le suivi des politiques de sécurité.

"Des exemples peut-être ?"

Les phénomènes pouvant mener à des erreurs et à des risques pour la sécurité des systèmes d'information de notre organisation peuvent venir de :

- Problème liées à la communication entre personnes ou problèmes liés au travail d'équipe ;

- La fatigue, le stress ;

- Le manque de ressources, l'inattention, le manque d'affirmation de soi...

et peuvent créer des brèches dans notre organisation qui pourront être exploitées par des attaquants, par exemple :

- Oubli du Smartphone dans le taxi ;

- vulnérabilité renforcée au social-engineering...

Pour résumer, le management de la sécurité des systèmes d'information doit être traité comme le sont les système de management de la sécurité des domaines à fortes incidences pour la population. la prise en compte des facteurs humains doit se faire en amont de toutes réflexions sur la SSI et faire partie intégrante du système de management de la SSI, à tout les niveaux.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

This site uses Akismet to reduce spam. Learn how your comment data is processed.