Plus précisément, 68 % des personnes interrogées craignent que les applications et les données cloud soient soumises à des logiciels malveillants, des ransomwares et des attaques de phishing. Bien que 55 % ne soient pas convaincus que leur sécurité cloud est correctement configurée, 59 % pensent qu’ils disposent de processus de contrôle et de politiques adéquats pour sécuriser le cloud. Environ un répondant sur trois a déclaré qu’il était difficile de former adéquatement les employés à la cybersécurité.
Les utilisateurs finaux attaqués
Le maillon le plus faible de toute stratégie de sécurité informatique a toujours été les personnes, déclare Keri Pearlson, directrice exécutive du consortium de recherche MIT Cybersecurity at MIT Sloan (CAMS). Le CAMS étudie les enjeux organisationnels, managériaux et stratégiques de la cybersphère. « Il suffit qu’une seule personne clique sur le mauvais e-mail ou le mauvais lien ou installe le mauvais programme pour que les systèmes soient infectés. Ce ne sont pas seulement les utilisateurs finaux au sens traditionnel du terme, ce sont toutes les personnes qui interagissent avec nos systèmes. Chaque personne qui interagit avec les systèmes est un point de vulnérabilité possible », déclare Pearlson.
Bien que généralement plus de 99 % des mesures de sécurité du système soient gérées par le service informatique, explique Salvi, la petite tranche de menaces de sécurité dont les utilisateurs sont responsables représente près de 19 cyberattaques sur 20.
« Ils commencent tous par des e-mails de phishing », explique Salvi. « Ils essaient d’obtenir les clés plutôt que de casser les serrures. » Certaines tentatives de phishing peuvent tromper même un utilisateur méfiant, se faisant passer pour des messages urgents provenant des ressources humaines ou de la suite C. Les verrouillages de Covid ont mis les utilisateurs finaux en position de faire plus de dégâts, et la stratégie de sécurité s’est adaptée rapidement.
Contrairement aux modèles traditionnels de sécurité de l’utilisateur final, la connexion initiale d’un utilisateur à un environnement de confiance zéro, même confirmée par une empreinte digitale, une analyse faciale ou une authentification multifacteur, n’est pas la fin de la surveillance. Une fois dedans, la confiance zéro suit discrètement les utilisateurs pendant la cyber-journée, s’assurant qu’ils ne sont pas en train de faire quelque chose de néfaste et qu’ils n’ont pas cliqué par erreur sur un lien qui ouvre une porte à un pirate informatique. À l’exception d’une demande occasionnelle de ré-authentification, les utilisateurs ne remarqueront pas la confiance zéro à moins qu’ils ne décident qu’ils ne peuvent pas vous faire confiance et vous empêchent d’accéder à un endroit où vous souhaitez aller.
« Je n’ai pas à dépendre de l’utilisateur pour faire ce qu’il faut pour que la sécurité fonctionne », déclare Salvi. « Ils n’ont pas à se souvenir d’un mot de passe complexe ou à le changer tous les trois mois ou à faire attention à ce qu’ils téléchargent. »
Téléchargez le rapport complet.
Ce contenu a été produit par Insights, la branche de contenu personnalisé de MIT Technology Review. Il n’a pas été rédigé par la rédaction de MIT Technology Review.
