Construire la sécurité autour des utilisateurs : une approche de la cyber-résilience axée sur l'humain

Les concepteurs de technologies commencent par créer un produit et le testent sur les utilisateurs. Le produit vient en premier; les commentaires des utilisateurs sont utilisés pour confirmer sa viabilité et l'améliorer. La démarche a du sens. McDonald's et Starbucks font de même. Les gens ne peuvent imaginer de nouveaux produits, tout comme ils ne peuvent imaginer des recettes, sans les expérimenter.

Mais le paradigme a également été étendu à la conception de technologies de sécurité, où nous construisons des programmes pour la protection des utilisateurs et demandons ensuite aux utilisateurs de les appliquer. Et cela n'a pas de sens.

La sécurité n'est pas une idée conceptuelle. Les gens utilisent déjà le courrier électronique, naviguent déjà sur le Web, utilisent les médias sociaux et partagent des fichiers et des images. La sécurité est une amélioration qui se superpose à quelque chose que les utilisateurs font déjà lorsqu'ils envoient des e-mails, naviguent et partagent en ligne. C'est comme demander aux gens de porter une ceinture de sécurité.

Il est temps de regarder la sécurité différemment

Notre approche de la sécurité, cependant, revient à enseigner la sécurité des conducteurs tout en ignorant la façon dont les gens conduisent. Faire tout cela garantit que les utilisateurs adoptent aveuglément quelque chose, croyant que c'est mieux, ou d'un autre côté, lorsqu'ils sont forcés, se conforment simplement à cela. Dans tous les cas, les résultats sont sous-optimaux.

Prenons le cas du logiciel VPN. Ceux-ci sont fortement promus aux utilisateurs comme un outil de sécurité et de protection des données indispensable, mais la plupart ont limité à aucune validité. Ils exposent les utilisateurs qui croient en leurs protections à un plus grand risque, sans compter que les utilisateurs prennent plus de risques en croyant en ces protections. Pensez également à la formation de sensibilisation à la sécurité qui est désormais obligatoire pour de nombreuses organisations. Ceux qui trouvent que la formation n'est pas pertinente pour leurs cas d'utilisation spécifiques trouvent des solutions de contournement, entraînant souvent des risques de sécurité innombrables.

Il y a une raison à tout cela. La plupart des processus de sécurité sont conçus par des ingénieurs ayant une formation dans le développement de produits technologiques. Ils abordent la sécurité comme un défi technique. Les utilisateurs ne sont qu'une autre action dans le système, pas différente des logiciels et du matériel qui peuvent être programmés pour exécuter des fonctions prévisibles. L'objectif est de contenir des actions basées sur un modèle prédéfini de quelles entrées sont appropriées, de sorte que les résultats deviennent prévisibles. Rien de tout cela ne repose sur les besoins de l'utilisateur, mais reflète plutôt un programme de programmation défini à l'avance.

Des exemples de ceci peuvent être trouvés dans les fonctions de sécurité programmées dans la plupart des logiciels d'aujourd'hui. Prenez les applications de messagerie, dont certaines permettent aux utilisateurs de vérifier l'en-tête source d'un e-mail entrant, une couche d'informations importante qui peut révéler l'identité d'un expéditeur, tandis que d'autres ne le font pas. Ou prenez les navigateurs mobiles, où, encore une fois, certains permettent aux utilisateurs de vérifier la qualité du certificat SSL tandis que d'autres ne le font pas, même si les utilisateurs ont les mêmes besoins d'un navigateur à l'autre. Ce n'est pas comme si quelqu'un devait vérifier SSL ou l'en-tête source uniquement lorsqu'il se trouve sur une application spécifique. Ce que ces différences reflètent, c'est la vision distincte de chaque groupe de programmation sur la façon dont leur produit devrait être utilisé par l'utilisateur - une mentalité axée sur le produit.

Les utilisateurs achètent, installent ou respectent les exigences de sécurité en pensant que les développeurs de différentes technologies de sécurité tiennent leurs promesses. C'est pourquoi certains utilisateurs sont encore plus cavaliers dans leurs actions en ligne lorsqu'ils utilisent ces technologies.

Il est temps d'adopter une approche de sécurité axée sur l'utilisateur

Il est impératif d'inverser le paradigme de la sécurité, de donner la priorité aux utilisateurs, puis de construire une défense autour d'eux. Ce n'est pas seulement parce que nous devons protéger les gens, mais aussi parce qu'en favorisant un faux sentiment de protection, nous fomentons le risque et les rendons plus vulnérables. Les organisations en ont également besoin pour contrôler les coûts. Alors même que les économies du monde ont vacillé à cause des pandémies et des guerres, les dépenses de sécurité organisationnelles au cours de la dernière décennie ont augmenté géométriquement.

La sécurité axée sur l'utilisateur doit commencer par une compréhension de la façon dont les gens utilisent la technologie informatique. Nous devons nous demander : qu'est-ce qui rend les utilisateurs vulnérables au piratage par e-mail, messagerie, réseaux sociaux, navigation, partage de fichiers ?

Nous devons démêler la base du risque et localiser ses racines comportementales, cérébrales et techniques. C'est l'information que les développeurs ont longtemps ignorée lors de la conception de leurs produits de sécurité, c'est pourquoi même les entreprises les plus soucieuses de la sécurité sont toujours piratées.

Faites attention au comportement en ligne

Beaucoup de ces questions ont déjà répondu. La science de la sécurité a expliqué ce qui rend les utilisateurs vulnérables à l'ingénierie sociale. Étant donné que l'ingénierie sociale cible une variété d'actions en ligne, les connaissances peuvent être appliquées pour expliquer un large éventail de comportements.

Parmi les facteurs identifiés figurent convictions sur le cyber-risque — les idées que les utilisateurs ont en tête sur le risque d'actions en ligne, et stratégies de traitement cognitif — comment les utilisateurs traitent les informations de manière cognitive, ce qui dicte le degré d'attention que les utilisateurs accordent aux informations lorsqu'ils sont en ligne. Un autre ensemble de facteurs est habitudes et rituels médiatiques qui sont en partie influencés par les types d'appareils et en partie par les normes organisationnelles. Ensemble, les croyances, les styles de traitement et les habitudes déterminent si une communication en ligne - e-mail, message, page Web, texte - se déclenche suspicion.

Former, mesurer et suivre les soupçons des utilisateurs

La suspicion est ce malaise face à quelque chose, le sentiment que quelque chose ne va pas. Cela conduit presque toujours à la recherche d'informations et, si une personne est armée des bons types de connaissances ou d'expérience, conduit à la détection de la tromperie et à la correction. En mesurant la suspicion ainsi que les facteurs cognitifs et comportementaux menant à la vulnérabilité au phishing, les organisations peuvent diagnostiquer ce qui a rendu les utilisateurs vulnérables. Ces informations peuvent être quantifiées et converties en un indice de risque qu'ils peuvent utiliser pour identifier les personnes les plus à risque — les maillons les plus faibles — et mieux les protéger.

En capturant ces facteurs, nous pouvons suivre la façon dont les utilisateurs sont cooptés à travers diverses attaques, comprendre pourquoi ils sont trompés, et développer des solutions pour l'atténuer. Nous pouvons élaborer des solutions autour du problème tel qu'il est vécu par les utilisateurs finaux. Nous pouvons supprimer les mandats de sécurité et les remplacer par des solutions pertinentes pour les utilisateurs.

Après des milliards dépensés pour mettre la technologie de sécurité devant les utilisateurs, nous restons tout aussi vulnérables aux cyberattaques que apparu dans le réseau AOL dans les années 1990. Il est temps de changer cela et de renforcer la sécurité autour des utilisateurs.