WannaCry : une dimension humaine et organisationnelle

0

Le 12 mai dernier, nous avons assisté à la plus grande attaque surmédiatisée de l’histoire des « ransomware ». Ces logiciels malveillants, selon No More Ransom , bloquent l’accès aux données d’une machine infectée à moins que son propriétaire paie une rançon (d’où leur nom). Pourtant, leurs vecteurs d’attaques sont largement connus, du moins, par les spécialistes de la sécurité de l’information. En effet, ils utilisent des mails piégés (par ingénierie sociale) ou des failles logicielles. Le premier vecteur d’attaques est une « attaque émotionnelle » et nous pouvons citer Jaff comme exemple de rançongiciel utilisant des mails piégés .

Le second vecteur utilise des failles techniques dont les correctifs disponibles n’ont pas été appliqués. Par exemple, WannaCry exploite une faille du protocole de partage de ressources SMBv1 (Server Message Block version 1) de Windows appelé aussi Samba. Cependant, un correctif était disponible depuis le 14 mars dernier , ce qui nous fait 2 mois de sursis. Par conséquent, les attaques émotionnelles et la non-application de correctifs de sécurité montrent que « le problème (des ransomwares) est loin d’être technique, il est bien à la fois humain et organisationnel ».

Quand un incident survient, il serait tentant de pointer du doigt la culpabilité de son collègue d’à côté. D’ailleurs, dans ces situations, on entend souvent cette phrase choque « ce n’est pas moi, c’est l’autre ». Cela pourrait être organisationnellement acceptable, mais c’est humainement contre-productif (comme le rappel Gartner), car il ne ferait qu’accroître les tensions déjà existantes dans l’entreprise. La question que l’on devrait plutôt se poser est de WannaCry : une dimension humaine et organisationnelle savoir comment éviter cela à l’avenir. C’est une question difficile à laquelle doit répondre chaque entreprise. De façon théorique, la réponse est « facile » et elle consiste à formaliser des politiques de formation (et donc la sensibilisation), de sauvegarde et de gestion des vulnérabilités.

« l’humain constitue un facteur de différenciation ».

Pour la formation, il est très bien connu que les Hommes doivent être bien formés et informés pour qu’ils puissent donner le maximum d’eux-mêmes pour faire progresser l’entreprise : « l’humain constitue un facteur de différenciation ». Cela dit, si l’utilisateur est sensibilisé, alors il identifierait le risque et n’ouvrirait jamais une pièce jointe contenant le logiciel malveillant. La sauvegarde permet de minimiser la perte des données en les restaurant dans un système sain. Quant à la gestion des vulnérabilités, elle pourrait stopper le malware et/ou éviter sa propagation avec célérité. D’ailleurs, des outils techniques existent pour satisfaire ces solutions théoriques : « techniquement, tout est possible ou presque », disait mon collègue Frédéric.

Cependant, dans la réalité, la formation, la sauvegarde et la gestion des vulnérabilités en sécurité sont souvent peu efficaces pour peu qu’elles soient effectives. En effet, les vulnérabilités identifiées sont d’abord humaines et organisationnelles avant d’être techniques. Sur ces deux aspects, le formalisme (emprunté de Taylor et de Weber) coexiste toujours avec les « zones d’incertitudes » qui sont parfois nécessaires pour le fonctionnement de l’entreprise. Par analogie, doit-on éliminer toutes les bactéries du corps humain ? Ne diton pas que certaines d’entre elles nous sont utiles et bénéfiques ?

Ceci montre les limites de la formalisation dans l’organisation. Cette dernière sera définie comme un « espace social de logiques d’action » réunissant au moins l’acteur, les situations d’action et les interactions entre acteurs et à l’intérieur de ces situations d’action. Ces trois entités élémentaires complexifient l’étude des organisations. D’où la nécessite d’utiliser la sociologie des logiques d’actions qui donne une analyse instantanée du comportement humain dans un groupe . Il ne s’agit pas d’un simple principe de cause à effet, car l’acteur est construit (et défini) par le biais de son action , d’ailleurs il en est à la fois la source et le produit. L’avantage de la sociologie des logiques d’action est qu’elle s’appuie sur des disciplines multidimensionnelles, pouvant même paraître contradictoires. WannaCry : une dimension humaine et organisationnelle.

La difficulté de notre question réside du fait que l’ensemble des logiques d’actions ne correspond pas aux intérêts de l’entreprise. Autrement dit, les solutions humaines ne coïncident pas avec les solutions organisationnelles. Notre but n’est pas de les faire coïncider, mais elles ne doivent jamais être contradictoires pour se freiner mutuellement : nous devons agir avec intelligence. Pour trouver les solutions humaines et organisationnelles, nous devons nous aider des outils sociologiques sans toutefois nous transformer en sociologue aguerri. En particulier, nous devrons réinventer la sécurité de l’information autour de la communication, de la motivation (donc de la mobilisation), de la coopération (donc du conflit), de la confiance (donc de la défiance) et du changement.

Pour conclure, nous devons aboutir à un changement social permettant de faire face à des risques et vulnérabilités. Cela revient à mettre l’acteur et les logiques organisationnelles au cœur des solutions à ce problème d’apparence technique mais déterminé par des déterminants sociaux, culturels et organisationnels.

About Author

Oumar DIAO

Dr. Oumar DIAO est un consultant sénior de BSSI/EVA Group (https://bssi.fr et http://www.evagroup.fr). Docteur en cryptographie, Oumar est un expert technico-fonctionnel de la sécurité de l'information.

Leave A Reply