Pour autant, leur faire prendre conscience des risques et leur inculquer les bonnes pratiques de sécurité n’est pas un exercice facile : casse-tête pour le RSSI, sujet de désintérêt voire de crispation pour les utilisateurs qui ne perçoivent que l’aspect contraignant des mesures de sécurité, la sensibilisation à la sécurité de l’information doit en permanence se réinventer.

L’escape game va-t-il réussir à réconcilier les utilisateurs avec la cybersécurité ?

Une approche ludique pour sensibiliser les utilisateurs

Comme dans un escape game classique, les joueurs sont accueillis par un maître du jeu qui leur présente le contexte et les règles à respecter. Ils entrent ensuite dans la salle de jeu dans laquelle ils découvrent les objectifs à atteindre dans un temps limité.

Tout au long de la partie, le maître du jeu suit l’avancement à distance et intervient pour donner des indices si les joueurs sont en difficulté.

En fin de partie, le maître du jeu procède à un débriefing, au cours duquel il met en exergue les mauvaises pratiques de sécurité illustrées dans chaque phase du jeu et rappelle les bonnes pratiques.

Les objectifs à atteindre dans le jeu dépendent du scénario. Il peut par exemple s’agir :

• En se faisant passer pour un candidat à un entretien de recrutement, de fouiller le bureau du Directeur Recherche et Développement d’une société concurrente, afin de voler les plans et les spécifications techniques d’un nouveau produit ;
• Sous la pression d’un pirate menaçant de dévoiler des informations relatives à la vie privée des participants, de voler des documents confidentiels et de réaliser un virement bancaire au sein de leur propre entreprise ;
• En profitant d’une invitation au domicile de la Directrice Générale de l’entreprise, de collecter les preuves de son implication dans des détournements de fonds.

Quelles sont les thématiques de sensibilisation abordées ?

L’escape game permet d’aborder de nombreuses thématiques telles que celles illustrées ci-dessous :

Sur la thématique des mots de passe par exemple, le jeu va confronter les joueurs à des mauvaises pratiques dont ils devront tirer parti pour atteindre leurs objectifs :

• Utilisation d’un mot de passe trivial contenant des données personnelles (prénom, nom, année de naissance…) ;
• Enregistrement des mots de passe dans le navigateur ;
• Utilisation des mêmes mots de passe dans les sphères privée et professionnelle ;
• Ecriture d’un mot de passe sur un post-it.

Les participants vont ainsi exploiter eux-mêmes les vulnérabilités volontairement mises en œuvre dans le jeu et ainsi plus facilement prendre conscience des risques associés que lorsqu’ils reçoivent de l’information descendante.

Toujours grâce aux mises en situation, l’escape game va leur permettre de comprendre le rôle qu’ils ont à jouer pour ne pas se rendre involontairement complice d’une cyberattaque : être discrets sur les réseaux sociaux, être vigilants lorsqu’ils sont sollicités par une personne inconnue, développer des réflexes pour détecter les indices dans un e-mail de phishing ou encore broyer systématiquement les documents confidentiels…

Comment réussir la construction d’un escape game cybersécurité ?

Dans un premier temps, il convient de définir le scénario global : quels sont les objectifs à atteindre ? Quels rôles les joueurs incarnent-ils ? Dans quel lieu le jeu se déroule-t-il ?

Ensuite, il s’agit de concevoir les sous-objectifs et le séquencement qui permet d’atteindre les objectifs principaux. Par exemple, pour atteindre un objectif tel que « voler le dossier de conception confidentiel », les joueurs devront successivement : reconstituer un document déchiré trouvé dans la poubelle, dans lequel ils trouveront la réponse à la question secrète permettant de réinitialiser le mot de passe d’un utilisateur, qu’ils utiliseront ensuite pour se connecter sur un espace de travail dans lequel ils trouveront le document.

Contrairement à un escape game classique qui fait appel à des énigmes ou des cachettes souvent improbables, l’idée de l’escape game cybersécurité est au contraire de reproduire des situations réelles et crédibles dans lesquelles les participants se reconnaîtront.

Il est également important de bien doser le niveau de difficulté des énigmes en fonction des populations ciblées. Si l’escape game est déployé sur une large population de collaborateurs de l’entreprise, les énigmes devront être accessibles à des personnes sans expertise informatique. Au contraire, s’il s’adresse à des populations plus techniques, il faudra alors complexifier les énigmes : les joueurs pourront par exemple avoir à réaliser une injection SQL simple sur une application pour accéder à des données confidentielles. Le mode opératoire de l’injection peut être mis à disposition sur un site web présent dans les favoris du navigateur du poste de travail.

Enfin, une fois l’ensemble de ces éléments spécifiés et mis en œuvre, quelques sessions de test seront nécessaires pour affiner la durée du jeu et mettre au point les indices que le maître du jeu donnera aux participants en cas de blocage : il est en effet important que les participants réalisent l’ensemble des objectifs afin que toutes les thématiques de sensibilisation soient abordées.

Une action très efficace à inscrire dans une stratégie globale de sensibilisation

Les mises en situation procurées par l’escape game permettent une véritable prise de conscience et garantissent ainsi une très bonne appropriation des messages. Les participants font spontanément le lien entre les situations auxquelles ils sont confrontés pendant le jeu et des situations vécues, ce qui rend la phase de débriefing très riche : les échanges sont nombreux et l’expérience montre que les participants s’intéressent réellement au fond des sujets abordés.

L’escape game ne se substitue cependant pas aux autres moyens de sensibilisation : il doit s’inscrire dans une stratégie globale, qui alterne les actions à fort impact (mais coûteuses…) et les actions moins onéreuses (mais également moins efficaces…) qui permettent d’entretenir la dynamique de sensibilisation dans la durée et avec un budget maîtrisé.

Enfin, et même si ce n’est pas son objectif premier, l’escape game cybersécurité constitue un excellent outil de teambuilding !

Cet article L’escape game cybersécurité, le graal de la sensibilisation ? est apparu en premier sur RiskInsight.

Dans ce contexte, la grande majorité des entreprises a mené des projets d’IAM : les accès aux applications sensibles sont étroitement contrôlés et les niveaux d’accès sont restreints selon les profils des utilisateurs et les actions à réaliser.

Or, trop souvent, ces démarches IAM « oublient » les populations IT qui ont pourtant des accès privilégiés sur l’infrastructure de l’entreprise. Et pour ces derniers, plusieurs spécificités sont à prendre en compte.

Les utilisateurs IT ont des besoins d’accès différents

Les utilisateurs « non-IT » représentent les utilisateurs « standards » du SI : utilisateurs des directions métier ou des fonctions support comme RH, paie, ou comptabilité… Ils accèdent classiquement :

• Aux applications en environnement de production,
• Et via les IHM standard de celles-ci.

Les populations « IT » (service informatique interne, télémaintenance, support…) ont quant à elles des accès très différents :

• Elles opèrent les infrastructures (serveurs, bases de données), et le code applicatif, sur lesquels reposent les applications ;
• Elles accèdent à tous les environnements et en particulier production et hors-production (ces derniers contenant souvent des données de production ou à caractère sensible ou personnel) ;
• Très souvent, elles opèrent avec des niveaux de droits (des « privilèges ») très élevés, présentant donc un niveau de risque non négligeable.

Ainsi, la terminologie « accès à privilèges » désigne tout accès technique, sur une infrastructure ou une brique logicielle, dans des environnements de production ou hors-production.

Ces accès sont parfois créés pour des individus, ou pour les applications elles-mêmes (une application a besoin de plusieurs comptes techniques, comme pour écrire dans une base de données).

On distingue différents niveaux d’accès « à privilèges ». Les plus critiques, de niveau « administrateur », offrent un contrôle total d’un ou plusieurs serveurs, et donc potentiellement plusieurs applications. Les accès IT de niveau « standard » sont moins sensibles mais restent à surveiller. Ces derniers pourraient permettre, par exemple, de consulter des informations sensibles dans une base de données.

Accès IT, risques métier

Par définition, la maitrise des accès privilégiés des populations IT doit être au cœur des préoccupations des entreprises.

Parmi les risques les plus importants, nous retrouvons :

• Les risques opérationnels, sans impact sur la production

Exemple : des traces d’exploitation sont supprimées par erreur ou un serveur non critique est éteint.

• Les risques sur l’activité de l’entreprise

Exemple : indisponibilité de la plateforme de flux des paiements / transaction suite à un redémarrage des serveurs par erreur.

• Les risques de non-conformité aux régulations

Exemple : mise en évidence d’un accès non-justifié sur un périmètre régulé suite à un audit interne.

• Des actions frauduleuses

Exemple : délit d’initié commis grâce à une information sensible consultée directement depuis une base de données.

Sans compter les risques plus larges autour du système d’information : vol de données, ransomwares et autres actions malveillantes. Parce qu’ils sont puissants (et permettent notamment de désactiver les mesures de sécurité), les accès à privilèges sont des cibles de choix en cas de cyber-attaque.

Aujourd’hui, la plupart des responsables d’application sensibles sont en mesure de rendre des comptes quant à l’usage des accès métier dans leur application. De la même manière, les responsables d’application et les responsables d’infrastructure doivent pouvoir répondre à des questions simples telles que :

• Qui utilise réellement des accès à privilèges sur mon périmètre ?
• Combien de comptes à privilèges existent sur mon périmètre ?
• Les mots de passe de ces comptes sont-ils changés régulièrement ?
• Quels sont les niveaux d’accès nécessaires pour mon application ou mes services, et qui ne peuvent pas être retirés sans conséquence pour la production ?

Plusieurs particularités à prendre en compte

Avant de se lancer dans un projet de mise sous contrôle des accès à privilèges, il est bon d’avoir conscience de certaines spécificités qui ne s’appliquent pas pour les accès métier.

À commencer par le cycle de vie de certains accès à privilèges. Dans le monde des accès métier, le cycle de vie est lié au statut RH de leur unique propriétaire. Mais dans le monde IT, il existe des accès partagés entre plusieurs personnes (pour des besoins opérationnels spécifiques), ou bien qui sont utilisés par l’application elle-même pour fonctionner. La durée de vie de ces accès-là est plutôt liée à la durée de vie de l’application concernée, ou bien parfois à la durée d’un projet.

Certaines contraintes opérationnelles sont aussi à prendre en compte. Notamment en ce qui concerne :

• La gestion de la production, qui ne souffre aucun délai. Dans le monde des accès métier, les niveaux d’accès sont généralement liés à la fiche de poste des utilisateurs, et c’est aussi le cas pour les populations IT. Mais dans certaines circonstances, les utilisateurs IT doivent pouvoir obtenir de nouveaux accès sans délai. Par exemple, en cas de panne d’une application critique, les équipes IT doivent pouvoir intervenir au plus vite avec toute la latitude nécessaire. Ce qui peut nécessiter des élévations de privilèges. Dans ce contexte, des processus de validation seraient trop longs (avec validation du responsable hiérarchique, puis éventuellement un autre niveau de validation…). Une autre approche peut consister à autoriser ce type de demande sans validation préalable, mais tracer et contrôler à posteriori l’usage qui a été fait de cet accès.

• Le grand nombre de ressources cibles. Certaines applications reposent sur un grand nombre de serveurs de production, et au moins autant de serveurs hors-production. Des applications peuvent aujourd’hui créer ou supprimer des serveurs virtuels à la volée, en fonction de la charge. Dans ce cas, il serait vite ingérable d’imposer aux utilisateurs des demandes d’accès pour chaque ressource cible. Une solution peut consister à gérer des demandes d’accès à des groupes de ressources (par exemple un groupe Active Directory qui représente tous les serveurs de production d’une application, lequel groupe pourrait même être déployé automatiquement sur les nouveaux serveurs par un orchestrateur).

Surtout, l’hétérogénéité de l’environnement peut rendre le modèle d’accès complexe. En effet, articuler la gestion des accès à privilèges autour d’un modèle cohérent, implique de composer avec :

• Des serveurs qui hébergent parfois plusieurs applications. Dans ce cas, un besoin d’accès à une seule application se traduit, en pratique, par des accès indus à plusieurs applications. Dans le cas d’applications critiques, il vaut donc mieux investir dans des serveurs dédiés (virtuels ou non, face aux risques portés par les administrateurs des plateformes de virtualisation).

• Des ressources hétérogènes avec leurs propres particularités. Serveur Windows, Unix, base de données Oracle, middleware Tomcat, des équipements réseau, voire des conteneurs comme Docker… La liste des technologies à prendre en compte est longue.

• Pour une même ressource, différents comptes à créer. Un utilisateur peut souvent intervenir sur une même ressource via différents moyens. Pour un même serveur, on pourra offrir la possibilité de s’y connecter directement (protocoles SSH, RDP…), via l’intermédiaire d’un serveur de rebond (et dans ce cas, c’est sur ce serveur qu’il faut créer un accès utilisateur), ou encore via une interface logicielle d’administration (c’est d’ailleurs la voie du DevOps).

• Des populations hétérogènes et des besoins qui évoluent rapidement. Le modèle d’accès est difficile à uniformiser, notamment parce que différents types de population, comme des administrateurs d’infrastructures ou des développeurs, ont des besoins différents. Par exemple, un administrateur Windows opère tous les serveurs Windows, quelle que soit l’application, alors qu’un développeur intervient sur plusieurs technologies dans la limite d’une application. Mais il est aussi difficile d’uniformiser le modèle d’accès pour une même population, car les développeurs de 2 applications différentes peuvent avoir des besoins différents.

Les accès à privilèges : un challenge pour la sécurité ?

Accès standards métier et accès à privilèges sont les 2 faces de la même pièce. Et les accès à privilèges en sont la face sombre, car ils sont à la fois plus sensibles et techniquement plus complexes à gérer.

Face à cet état des lieux, la prise de conscience des entreprises est inégale. Les mieux informées sont les équipes techniques IT qui utilisent les comptes à privilèges, et qui sont souvent favorables au statuquo.

Au-delà de la Direction des systèmes d’information, ce sont les Directions en charge des processus internes, de la qualité ou encore le contrôle interne, qui ont un rôle clé de sponsoring à jouer.

Le législateur, lui, commence aussi à s’y intéresser. Ainsi la Loi de programmation militaire, qui concerne les opérateurs d’importance vitale, impose une mise sous contrôle des accès à privilèges les plus critiques.

Mais alors comment s’y prendre, pour mettre les accès à privilèges sous contrôle ? Nous y reviendrons dans un prochain article.

Cet article Accès à privilèges : la face sombre de l’IAM est apparu en premier sur RiskInsight.

Un réseau social interne peut être un facteur crucial de productivité pour l’entreprise. Ses avantages ? Diminution des délais et des coûts de communication, fédération des équipes et meilleure capitalisation sur la connaissance, pour n’en citer que quelques-uns.

Mais pour en tirer les bénéfices, il ne suffit pas de mettre en place un réseau social d’entreprise (RSE) ; il faut également le faire vivre. Et, puisque la participation des collaborateurs ne peut être obligatoire, elle doit être désirée. Le principal enjeu d’un projet RSE est donc d’obtenir l’adhésion des utilisateurs.

Voici 5 conseils clés pour garantir le succès de votre réseau social d’entreprise.

 1-    Définir une charte d’utilisation du réseau social d’entreprise : une base saine et transparente

La charte d’utilisation doit cadrer les usages et indiquer les bonnes pratiques, mais également motiver les utilisateurs. Il faut donc indiquer pourquoi et comment utiliser le RSE, et rassurer l’utilisateur sur les conséquences de cette utilisation. Comment seront utilisées les données personnelles de chacun ? Qui dispose du copyright sur une publication ? L’entreprise doit faire preuve de transparence sur ces questions afin de vaincre les réticences des utilisateurs à s’exposer sur un réseau social.

2.     Préparer son lancement : faire de votre RSE un media attrayant dès le début

Le lancement officiel d’un réseau social d’entreprise  ne doit pas présenter un outil vide, qui risquerait de décourager les utilisateurs. Il vaut mieux créer en amont les premières communautés, et y inviter quelques collaborateurs intéressés. Ceci permet d’alimenter ces communautés en contenu pertinent et de lancer quelques discussions aux sujets bien choisis. Trop spécifiques, ils n’intéresseront que les experts ; trop larges, ils ne seront pas porteurs de discussion.

3.     Communiquer: une campagne de lancement sur mesure

Le lancement d’un RSE doit s’inscrire dans un plan de communication. Celui-ci devra présenter les objectifs stratégiques du projet, ainsi que les apports concrets dont bénéficieront les utilisateurs. Le plan devra certes prévoir un événement de lancement officiel du RSE, mais ce dernier  devra être suivi par plusieurs actions échelonnées sur une période de quelques mois afin d’assurer une animation continue. Ces actions secondaires pourront concerner par exemple des formations ou le déploiement de nouvelles fonctionnalités.

4.     Identifier vos acteurs et définir leurs rôles : des ambassadeurs bien choisis

Le succès du RSE dépend de la présence de trois types d’acteurs dans chaque communauté. Le sponsor, haut placé dans l’entreprise, dont l’engagement garantit la crédibilité de l’outil. Les community managers, qui veillent à animer les communautés et à alimenter les discussions. Les champions, utilisateurs fortement impliqués dans le projet, garants de la mise en place d’une dynamique collaborative. Ces trois types d’acteurs doivent être identifiés, sensibilisés à l’importance de leur rôle, et si besoin formés.

5.     Évaluer votre RSE : des indicateurs précis à suivre

Un projet RSE suivra la courbe d’adoption bien connue dite « Hype Cycle ». Après une phase de buzz lors de sa lancée, suivie par une période d’engouement,  il risque de connaître une chute de popularité. Pour éviter qu’un RSE ne tombe dans l’oubli, il doit être étudié sur une période de plusieurs mois à l’aide d’indicateurs de réussite pertinents. Il peut s’agir du nombre de pages consultées, du nombre de messages postés et de réponses obtenues, ou du nombre de participants actifs. À l’aide de ces critères, on pourra ensuite évaluer les sujets et les fonctionnalités porteurs, et au besoin réadapter l’outil.

 Conclusion

Somme toute, un projet RSE ne s’arrête pas à la mise en place d’un outil. Celui-ci doit être cadré, mis en valeur, préparé : au-delà du buzz et de l’effervescence du début, il faut savoir impliquer ses utilisateurs dans le temps. Et si l’outil RSE met fondamentalement l’utilisateur au centre de la conversation, le projet doit de son côté le convaincre d’y participer activement.

Cet article Réseau social d’entreprise : comment assurer l’adhésion des utilisateurs ? est apparu en premier sur RiskInsight.