SlideShare une entreprise Scribd logo

User centric security - le facteur humain en sécurité de l'Information

Alain EJZYN
Alain EJZYN

Conférence DPO Forum octobre 2018

Technologie
1  sur  41
Télécharger pour lire hors ligne
User Centric Security Comment développer une sécurité centrée sur l’utilisateur ? Alain EJZYN #Transformation Digitale #Sécurité de l’information ICHEC Brussels Management School alain.ejzyn@ichec.be www.ichec.be
Il était une fois dans un hôpital
ü Dossier patient électronique ü Plateforme d’accès aux analyses ü Prescriptions électroniques ü Équipements connectés ü Pharmacie ü Robots,…. Un hôpital « digital »
Réalisation de prototypes de chariots de soins connectés Objectifs : - Accès aux informations les plus récentes (analyses, imageries, notes, …) - Encodage direct - Paperless Satisfaction des utilisateurs : 5/5 Sécurité :
Réaction de l’hôpital - Note de service - Envoi d’un mail de rappel des règles de sécurité, …
Réaction des utilisateurs Court terme : Moyen terme : Lecteur de badge
Que retenir de cet exemple ? § Tensions entre « Business » et « sécurité » § Objectifs à CT divergents § Mécanismes adaptés aux tâches ?, … § Culture Cyber sécurité ?
Comment passer de à ?
Action Intentionnelle Comportement abusif Conscience avancée Hygiène de base EXPERT NOVICE Malveillant Bienveillant Comportements face aux risques cyber INTENTION NIVEAU D’EXPERTISE Comportements attendus Comportements malveillants Comportements Intentionnels Jeffrey M. Stanton (2004) Bricolage dangereux Erreurs Naïves Conformité Intelligence
Origine des « Data Breaches » X 2018 Cost of a Data Breach Study: Benchmark research sponsored by IBM Security Independently conducted by Ponemon Institute LLC
ICHEC Brussels Management School 14 © Alain EJZYN 10 comportements à risque les plus fréquents Connecting computers to the Internet through an insecure wireless network. Not deleting information on their computer when no longer necessary. Sharing passwords with others. Reusing the same password and username on different websites. Using generic USB drives not encrypted or safeguarded by other means. Leaving computers unattended when outside the workplace. Ponemon Institute (January 2012) Losing a USB drive possibly containing confidential data and not immediately notifying their organization. Working on a laptop when traveling and not using a privacy screen. Carrying unnecessary sensitive information on a laptop when traveling. Using personally owned mobile devices that connect to their organization’s network.
ICHEC Brussels Management School 15 © Alain EJZYN
01 Concevoir des mécanismes de sécurité centrés sur l’utilisateur
Matériel Organisation du travail Interface Aspects individuels ETC. Nombreuses facettes
L’organisation du travail et les mécanismes de sécurité sont-ils compatibles avec des comportements « vertueux » ? 1) Organisation du travail et sécurité
75% des utilisateurs ne suivent pas les recommandations du message de sécurité Google(2015) 2) Les applications (et interfaces) sont-elles ergonomiques ?
30.9% 32.1% 58.3% 53.3% Taux d’ adhésion
3°) La problématique des mots de passe +vv6Cp#(K9 33 années $urfNaple$P1zza 6 SIÈCLES https://password.kaspersky.com/fr/
ICHEC Brussels Management School 22 © Alain EJZYN Trouver l’équilibre Sécurité Fonctionnalités Ergonomie Contexte Tâche(s) Utilisateurs Age, éducation, connaissances, compétences Tâches simples (login, consultations, …) Tâches complexes (traitement de données …) Intérieur, extérieur, mobilité, fixe, … Coûts
ICHEC Brussels Management School 23 © Alain EJZYN Ergonomie, les principaux critères d’évaluation Vitesse (Speed) La réalisation de la tâche est-elle rapide ? Efficacité (Efficiency) Apprentissage (Learnability) Mémorabilité (Memorability) Préférence utilisateur (User Preference) Quel est le nombre (moyen) d’erreurs pour réaliser la tâche ? Le système est-il facile à apprendre ? Après apprentissage, est-il facile de se souvenir de la procédure ? Entre plusieurs systèmes possibles, quel est celui qui est plébiscité par les utilisateurs ?
Vitesse (Speed) La réalisation de la tâche est-elle rapide ? Efficacité (Efficiency) Apprentissage (Learnability) Mémorabilité (Memorability) Préférence utilisateur (User Preference) Quel est le nombre (moyen) d’erreurs pour réaliser la tâche ? Le système est-il facile à apprendre ? Après apprentissage, est-il facile de se souvenir de la procédure ? Entre plusieurs mécanismes/systèmes possibles, quel est celui qui est plébiscité par les utilisateurs ?
02 Sensibilisation Information & Formation
ICHEC Brussels Management School 26 © Alain EJZYN Online • Emails • Vidéos • GamesWebinars • Online training courses • Organisation Intranet • Social media Hybrid • Run Scenarios, Rehearsals, Sandboxes, and War-gaming exercises • Stories • Offer incentives • Tip Sheets • FAQs • Conduct ‘mock attacks’. Offine • group training sessions • Flyers • Workshops • Events • External expert lectures • Posters Elements and resources for successful Cyber Security Culture programmes ENISA Cyber Security Culture in organisations 2017
ICHEC Brussels Management School 28 © Alain EJZYN Quelques conseils pour améliorer l’efficacité de vos campagnes Idéalement, le contenu doit être : Adapté à l’audience Profils, formation, tâches, … Concret et factuel en vue de favoriser la mémorisation Basé sur études de cas et/ou sur les activités et les retours d’expériences des membres du personnel. Ne pas être trop compliqué ou négatif Eviter les communications basées uniquement sur les conséquences négatives. Mettre en évidence les opportunités de favoriser la sécurité. Etre en phase avec les « security policies » et les valeurs de l’organisation Montrer en quoi les pratiques de sécurités participent aux valeurs de l’organisation. Parsons (2010)
03 Climat et Culture d’entreprise favorables
Conformité Respect des pratiques de sécurité définies par l’organisation (obligations légales ou autres) Intelligence Faire preuve de « jugement » en matière de sécurité = adopter des comportements appropriés Communication, sensibilisation, formation, … Culture organisationnelle Climat organisationnel Adapté de Nguyen (2017) CT LT
Il est fondamentalement impossible d’assurer vraiment la protection de l’information L’organisation n’a pas vraiment une responsabilité « morale » de protéger l’information La sécurité de l’information est du ressort exclusif du département informatique Dans notre organisation, la sécurité de l’information ce n’est pas prioritaire Plus ces croyances sont répandues, moins les employés seront motivés à mettre en œuvre des pratiques sécuritaires La sécurité de l’information est avant tout un défi d’ordre technique Adapté de Nguyen (2017)
L’organisation communique sur l’importance de la sécurité (objectifs, importance, attentes, etc) Les employés sont impliqués dans l’élaboration et l’évolution des pratiques de sécurité Les mesures de sécurité sont en adéquation avec le contexte organisationnel et les tâches L’environnement de travail permet de discuter ouvertement des problèmes/erreurs liés à la mise en oeuvre des pratiques de sécurité L’organisation forme et développe les connaissances en sécurité de l’information L’organisation récompense le respect des pratiques de sécurité Plus l’organisation développe un climat positif envers la sécurité, plus les les employés seront enclins à mettre en œuvre des pratiques sécuritaires Les gestionnaires appuient concrètement la sécurité de l’information
ICHEC Brussels Management School 33 © Alain EJZYN 04 Développer l’intelligence des utilisateurs
ICHEC Brussels Management School 34 © Alain EJZYN Appréhender nos comportements …. et ceux des hackers
Framing Risque vs gain L'illusion du contrôle Familiarity Autorité Réciprocité Lien d'affection Biais d’omission Biais d’optimisme Engagement Biais de disponibilité Consensus Niveau de connaissances Approche Par les biais cognitifs Approche la persuasion Pourquoi les utilisateurs « se font avoir » ?
ICHEC Brussels Management School 37 © Alain EJZYN 05 Impliquer les utilisateurs dans le design des dispositifs de sécurité
Pourquoi ne pas s’inspirer d’autres domaines/secteurs pour impliquer les utilisateurs dans le « design » de dispositifs de sécurité ? En la matière le « Design Thinking » est une approche novatrice et très efficace.
Cette approche permet : - De comprendre l’utilisateur et l’intégrer dans la réflexion - D’impliquer des équipes pluridisciplinaires - De se concentrer sur les solutions et pas les problèmes - De tester très rapidement les solutions - D’itérer
Alors il est temps de favoriser une approche pluridisciplinaire et de placer l’utilisateur au centre des dispositifs SI
Merci pour votre attention Crédit « visuels » flaticon.com & pixabay.com Pour aller plus loin Certificat en Management de la sécurité des systèmes d’Information Certificat interuniversitaire en Protection des données à caractère personnel Ouvrage Revue Formations

Recommandé

Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...Alain EJZYN
 
Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014 Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014 polenumerique33
 
Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...polenumerique33
 
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Télécom Paris
 
Sogeti cybersecurity
Sogeti cybersecuritySogeti cybersecurity
Sogeti cybersecurityYann SESE
 
ENFIN Cyber !
ENFIN Cyber !ENFIN Cyber !
ENFIN Cyber !Henri d'AGRAIN
 
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...BEIJAFLORE
 
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0Eric DUPUIS
 

Recommandé

Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...Alain EJZYN
 
Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014 Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014 polenumerique33
 
Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...polenumerique33
 
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Télécom Paris
 
Sogeti cybersecurity
Sogeti cybersecuritySogeti cybersecurity
Sogeti cybersecurityYann SESE
 
ENFIN Cyber !
ENFIN Cyber !ENFIN Cyber !
ENFIN Cyber !Henri d'AGRAIN
 
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...BEIJAFLORE
 
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0Eric DUPUIS
 
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...polenumerique33
 
Des cyberattaques massives menacent les systèmes de contrôle industriel
Des cyberattaques massives menacent les systèmes de contrôle industrielDes cyberattaques massives menacent les systèmes de contrôle industriel
Des cyberattaques massives menacent les systèmes de contrôle industrielfEngel
 
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...Eric DUPUIS
 
Clusif 2014 scada panorama des referentiels sécurité système information ind...
Clusif 2014 scada panorama des referentiels sécurité système information ind...Clusif 2014 scada panorama des referentiels sécurité système information ind...
Clusif 2014 scada panorama des referentiels sécurité système information ind...echangeurba
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Alain EJZYN
 
Principes de bon sens pour une gouvernance cyber sécurité efficiente
Principes de bon sens pour une gouvernance cyber sécurité efficientePrincipes de bon sens pour une gouvernance cyber sécurité efficiente
Principes de bon sens pour une gouvernance cyber sécurité efficienteELCA Informatique SA / ELCA Informatik AG
 
Analyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielleAnalyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industriellePatrice Bock
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerThierry Pertus
 
Workshop cyber jpme
Workshop cyber jpmeWorkshop cyber jpme
Workshop cyber jpmeVanbreda Risk & Benefits
 
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...Thierry Pertus
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
 
Rh et sécurité
Rh et sécurité Rh et sécurité
Rh et sécurité Prof. Jacques Folon (Ph.D)
 
Sécurité de l'information et ressources humaines
Sécurité de l'information et ressources humainesSécurité de l'information et ressources humaines
Sécurité de l'information et ressources humainesProf. Jacques Folon (Ph.D)
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Patrick Leclerc
 
Rh et informatique
Rh et informatique Rh et informatique
Rh et informatique Prof. Jacques Folon (Ph.D)
 
Le « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesLe « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesThierry Pertus
 
Biométrie et sécurité de l'information aapi avril 2014 v 15 04
Biométrie et sécurité de l'information aapi avril 2014 v 15 04Biométrie et sécurité de l'information aapi avril 2014 v 15 04
Biométrie et sécurité de l'information aapi avril 2014 v 15 04Morkfromork
 
Responsable de sécurité de l'information et RH
Responsable de sécurité de l'information et RHResponsable de sécurité de l'information et RH
Responsable de sécurité de l'information et RHProf. Jacques Folon (Ph.D)
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseEyesOpen Association
 
Hapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la CarteHapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la CarteHapsis
 
IT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patchIT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patchDaniel Soriano
 
Conférence IE et RH - REUNIVEILLE CADRIFORMAT
Conférence IE et RH - REUNIVEILLE CADRIFORMATConférence IE et RH - REUNIVEILLE CADRIFORMAT
Conférence IE et RH - REUNIVEILLE CADRIFORMATFranck Dasilva
 

Contenu connexe

Tendances

Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...polenumerique33
 
Des cyberattaques massives menacent les systèmes de contrôle industriel
Des cyberattaques massives menacent les systèmes de contrôle industrielDes cyberattaques massives menacent les systèmes de contrôle industriel
Des cyberattaques massives menacent les systèmes de contrôle industrielfEngel
 
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...Eric DUPUIS
 
Clusif 2014 scada panorama des referentiels sécurité système information ind...
Clusif 2014 scada panorama des referentiels sécurité système information ind...Clusif 2014 scada panorama des referentiels sécurité système information ind...
Clusif 2014 scada panorama des referentiels sécurité système information ind...echangeurba
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Alain EJZYN
 
Analyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielleAnalyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industriellePatrice Bock
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerThierry Pertus
 
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...Thierry Pertus
 

Tendances (10)

Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
 
Des cyberattaques massives menacent les systèmes de contrôle industriel
Des cyberattaques massives menacent les systèmes de contrôle industrielDes cyberattaques massives menacent les systèmes de contrôle industriel
Des cyberattaques massives menacent les systèmes de contrôle industriel
 
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
 
Clusif 2014 scada panorama des referentiels sécurité système information ind...
Clusif 2014 scada panorama des referentiels sécurité système information ind...Clusif 2014 scada panorama des referentiels sécurité système information ind...
Clusif 2014 scada panorama des referentiels sécurité système information ind...
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?
 
Principes de bon sens pour une gouvernance cyber sécurité efficiente
Principes de bon sens pour une gouvernance cyber sécurité efficientePrincipes de bon sens pour une gouvernance cyber sécurité efficiente
Principes de bon sens pour une gouvernance cyber sécurité efficiente
 
Analyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielleAnalyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielle
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk Manager
 
Workshop cyber jpme
Workshop cyber jpmeWorkshop cyber jpme
Workshop cyber jpme
 
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
 

Similaire à User centric security - le facteur humain en sécurité de l'Information

ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
 
Sécurité de l'information et ressources humaines
Sécurité de l'information et ressources humainesSécurité de l'information et ressources humaines
Sécurité de l'information et ressources humainesProf. Jacques Folon (Ph.D)
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Patrick Leclerc
 
Le « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesLe « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesThierry Pertus
 
Biométrie et sécurité de l'information aapi avril 2014 v 15 04
Biométrie et sécurité de l'information aapi avril 2014 v 15 04Biométrie et sécurité de l'information aapi avril 2014 v 15 04
Biométrie et sécurité de l'information aapi avril 2014 v 15 04Morkfromork
 
Responsable de sécurité de l'information et RH
Responsable de sécurité de l'information et RHResponsable de sécurité de l'information et RH
Responsable de sécurité de l'information et RHProf. Jacques Folon (Ph.D)
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseEyesOpen Association
 
Hapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la CarteHapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la CarteHapsis
 
IT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patchIT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patchDaniel Soriano
 
Conférence IE et RH - REUNIVEILLE CADRIFORMAT
Conférence IE et RH - REUNIVEILLE CADRIFORMATConférence IE et RH - REUNIVEILLE CADRIFORMAT
Conférence IE et RH - REUNIVEILLE CADRIFORMATFranck Dasilva
 
Intelligence économique et Management de la Connaissance
Intelligence économique et Management de la ConnaissanceIntelligence économique et Management de la Connaissance
Intelligence économique et Management de la ConnaissanceBENCHERIF Amir Nidhal
 
Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernancePECB
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 
Support formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiquesSupport formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiquesSmartnSkilled
 
Cyber-attaques : Comment les combattre ? Gérer les risques connus, anticiper ...
Cyber-attaques : Comment les combattre ? Gérer les risques connus, anticiper ...Cyber-attaques : Comment les combattre ? Gérer les risques connus, anticiper ...
Cyber-attaques : Comment les combattre ? Gérer les risques connus, anticiper ...EY
 
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileWebinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileSynopsys Software Integrity Group
 

Similaire à User centric security - le facteur humain en sécurité de l'Information (20)

ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
Rh et sécurité
Rh et sécurité Rh et sécurité
Rh et sécurité
 
Sécurité de l'information et ressources humaines
Sécurité de l'information et ressources humainesSécurité de l'information et ressources humaines
Sécurité de l'information et ressources humaines
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
 
Rh et informatique
Rh et informatique Rh et informatique
Rh et informatique
 
Le « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesLe « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettes
 
Biométrie et sécurité de l'information aapi avril 2014 v 15 04
Biométrie et sécurité de l'information aapi avril 2014 v 15 04Biométrie et sécurité de l'information aapi avril 2014 v 15 04
Biométrie et sécurité de l'information aapi avril 2014 v 15 04
 
Responsable de sécurité de l'information et RH
Responsable de sécurité de l'information et RHResponsable de sécurité de l'information et RH
Responsable de sécurité de l'information et RH
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
 
Hapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la CarteHapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la Carte
 
IT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patchIT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patch
 
Conférence IE et RH - REUNIVEILLE CADRIFORMAT
Conférence IE et RH - REUNIVEILLE CADRIFORMATConférence IE et RH - REUNIVEILLE CADRIFORMAT
Conférence IE et RH - REUNIVEILLE CADRIFORMAT
 
Intelligence économique et Management de la Connaissance
Intelligence économique et Management de la ConnaissanceIntelligence économique et Management de la Connaissance
Intelligence économique et Management de la Connaissance
 
Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernance
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 
Support formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiquesSupport formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiques
 
Cyber-attaques : Comment les combattre ? Gérer les risques connus, anticiper ...
Cyber-attaques : Comment les combattre ? Gérer les risques connus, anticiper ...Cyber-attaques : Comment les combattre ? Gérer les risques connus, anticiper ...
Cyber-attaques : Comment les combattre ? Gérer les risques connus, anticiper ...
 
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileWebinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
 
RSI face aux autres départements (ISO 27002)
RSI face aux autres départements (ISO 27002)RSI face aux autres départements (ISO 27002)
RSI face aux autres départements (ISO 27002)
 
EBIOS
EBIOSEBIOS
EBIOS
 

User centric security - le facteur humain en sécurité de l'Information

  • 1. User Centric Security Comment développer une sécurité centrée sur l’utilisateur ? Alain EJZYN #Transformation Digitale #Sécurité de l’information ICHEC Brussels Management School alain.ejzyn@ichec.be www.ichec.be
  • 2.
  • 3.
  • 4. Il était une fois dans un hôpital
  • 5. ü Dossier patient électronique ü Plateforme d’accès aux analyses ü Prescriptions électroniques ü Équipements connectés ü Pharmacie ü Robots,…. Un hôpital « digital »
  • 6. Réalisation de prototypes de chariots de soins connectés Objectifs : - Accès aux informations les plus récentes (analyses, imageries, notes, …) - Encodage direct - Paperless Satisfaction des utilisateurs : 5/5 Sécurité :
  • 7. Réaction de l’hôpital - Note de service - Envoi d’un mail de rappel des règles de sécurité, …
  • 8. Réaction des utilisateurs Court terme : Moyen terme : Lecteur de badge
  • 9. Que retenir de cet exemple ? § Tensions entre « Business » et « sécurité » § Objectifs à CT divergents § Mécanismes adaptés aux tâches ?, … § Culture Cyber sécurité ?
  • 11.
  • 12. Action Intentionnelle Comportement abusif Conscience avancée Hygiène de base EXPERT NOVICE Malveillant Bienveillant Comportements face aux risques cyber INTENTION NIVEAU D’EXPERTISE Comportements attendus Comportements malveillants Comportements Intentionnels Jeffrey M. Stanton (2004) Bricolage dangereux Erreurs Naïves Conformité Intelligence
  • 13. Origine des « Data Breaches » X 2018 Cost of a Data Breach Study: Benchmark research sponsored by IBM Security Independently conducted by Ponemon Institute LLC
  • 14. ICHEC Brussels Management School 14 © Alain EJZYN 10 comportements à risque les plus fréquents Connecting computers to the Internet through an insecure wireless network. Not deleting information on their computer when no longer necessary. Sharing passwords with others. Reusing the same password and username on different websites. Using generic USB drives not encrypted or safeguarded by other means. Leaving computers unattended when outside the workplace. Ponemon Institute (January 2012) Losing a USB drive possibly containing confidential data and not immediately notifying their organization. Working on a laptop when traveling and not using a privacy screen. Carrying unnecessary sensitive information on a laptop when traveling. Using personally owned mobile devices that connect to their organization’s network.
  • 15. ICHEC Brussels Management School 15 © Alain EJZYN
  • 16. 01 Concevoir des mécanismes de sécurité centrés sur l’utilisateur
  • 18. L’organisation du travail et les mécanismes de sécurité sont-ils compatibles avec des comportements « vertueux » ? 1) Organisation du travail et sécurité
  • 19. 75% des utilisateurs ne suivent pas les recommandations du message de sécurité Google(2015) 2) Les applications (et interfaces) sont-elles ergonomiques ?
  • 21. 3°) La problématique des mots de passe +vv6Cp#(K9 33 années $urfNaple$P1zza 6 SIÈCLES https://password.kaspersky.com/fr/
  • 22. ICHEC Brussels Management School 22 © Alain EJZYN Trouver l’équilibre Sécurité Fonctionnalités Ergonomie Contexte Tâche(s) Utilisateurs Age, éducation, connaissances, compétences Tâches simples (login, consultations, …) Tâches complexes (traitement de données …) Intérieur, extérieur, mobilité, fixe, … Coûts
  • 23. ICHEC Brussels Management School 23 © Alain EJZYN Ergonomie, les principaux critères d’évaluation Vitesse (Speed) La réalisation de la tâche est-elle rapide ? Efficacité (Efficiency) Apprentissage (Learnability) Mémorabilité (Memorability) Préférence utilisateur (User Preference) Quel est le nombre (moyen) d’erreurs pour réaliser la tâche ? Le système est-il facile à apprendre ? Après apprentissage, est-il facile de se souvenir de la procédure ? Entre plusieurs systèmes possibles, quel est celui qui est plébiscité par les utilisateurs ?
  • 24. Vitesse (Speed) La réalisation de la tâche est-elle rapide ? Efficacité (Efficiency) Apprentissage (Learnability) Mémorabilité (Memorability) Préférence utilisateur (User Preference) Quel est le nombre (moyen) d’erreurs pour réaliser la tâche ? Le système est-il facile à apprendre ? Après apprentissage, est-il facile de se souvenir de la procédure ? Entre plusieurs mécanismes/systèmes possibles, quel est celui qui est plébiscité par les utilisateurs ?
  • 26. ICHEC Brussels Management School 26 © Alain EJZYN Online • Emails • Vidéos • GamesWebinars • Online training courses • Organisation Intranet • Social media Hybrid • Run Scenarios, Rehearsals, Sandboxes, and War-gaming exercises • Stories • Offer incentives • Tip Sheets • FAQs • Conduct ‘mock attacks’. Offine • group training sessions • Flyers • Workshops • Events • External expert lectures • Posters Elements and resources for successful Cyber Security Culture programmes ENISA Cyber Security Culture in organisations 2017
  • 27.
  • 28. ICHEC Brussels Management School 28 © Alain EJZYN Quelques conseils pour améliorer l’efficacité de vos campagnes Idéalement, le contenu doit être : Adapté à l’audience Profils, formation, tâches, … Concret et factuel en vue de favoriser la mémorisation Basé sur études de cas et/ou sur les activités et les retours d’expériences des membres du personnel. Ne pas être trop compliqué ou négatif Eviter les communications basées uniquement sur les conséquences négatives. Mettre en évidence les opportunités de favoriser la sécurité. Etre en phase avec les « security policies » et les valeurs de l’organisation Montrer en quoi les pratiques de sécurités participent aux valeurs de l’organisation. Parsons (2010)
  • 30. Conformité Respect des pratiques de sécurité définies par l’organisation (obligations légales ou autres) Intelligence Faire preuve de « jugement » en matière de sécurité = adopter des comportements appropriés Communication, sensibilisation, formation, … Culture organisationnelle Climat organisationnel Adapté de Nguyen (2017) CT LT
  • 31. Il est fondamentalement impossible d’assurer vraiment la protection de l’information L’organisation n’a pas vraiment une responsabilité « morale » de protéger l’information La sécurité de l’information est du ressort exclusif du département informatique Dans notre organisation, la sécurité de l’information ce n’est pas prioritaire Plus ces croyances sont répandues, moins les employés seront motivés à mettre en œuvre des pratiques sécuritaires La sécurité de l’information est avant tout un défi d’ordre technique Adapté de Nguyen (2017)
  • 32. L’organisation communique sur l’importance de la sécurité (objectifs, importance, attentes, etc) Les employés sont impliqués dans l’élaboration et l’évolution des pratiques de sécurité Les mesures de sécurité sont en adéquation avec le contexte organisationnel et les tâches L’environnement de travail permet de discuter ouvertement des problèmes/erreurs liés à la mise en oeuvre des pratiques de sécurité L’organisation forme et développe les connaissances en sécurité de l’information L’organisation récompense le respect des pratiques de sécurité Plus l’organisation développe un climat positif envers la sécurité, plus les les employés seront enclins à mettre en œuvre des pratiques sécuritaires Les gestionnaires appuient concrètement la sécurité de l’information
  • 33. ICHEC Brussels Management School 33 © Alain EJZYN 04 Développer l’intelligence des utilisateurs
  • 34. ICHEC Brussels Management School 34 © Alain EJZYN Appréhender nos comportements …. et ceux des hackers
  • 35.
  • 36. Framing Risque vs gain L'illusion du contrôle Familiarity Autorité Réciprocité Lien d'affection Biais d’omission Biais d’optimisme Engagement Biais de disponibilité Consensus Niveau de connaissances Approche Par les biais cognitifs Approche la persuasion Pourquoi les utilisateurs « se font avoir » ?
  • 37. ICHEC Brussels Management School 37 © Alain EJZYN 05 Impliquer les utilisateurs dans le design des dispositifs de sécurité
  • 38. Pourquoi ne pas s’inspirer d’autres domaines/secteurs pour impliquer les utilisateurs dans le « design » de dispositifs de sécurité ? En la matière le « Design Thinking » est une approche novatrice et très efficace.
  • 39. Cette approche permet : - De comprendre l’utilisateur et l’intégrer dans la réflexion - D’impliquer des équipes pluridisciplinaires - De se concentrer sur les solutions et pas les problèmes - De tester très rapidement les solutions - D’itérer
  • 40. Alors il est temps de favoriser une approche pluridisciplinaire et de placer l’utilisateur au centre des dispositifs SI
  • 41. Merci pour votre attention Crédit « visuels » flaticon.com & pixabay.com Pour aller plus loin Certificat en Management de la sécurité des systèmes d’Information Certificat interuniversitaire en Protection des données à caractère personnel Ouvrage Revue Formations