Un cadre de réduction des risques peut-il renforcer la cybersécurité ?

Kyle Tobener souhaite que les professionnels de la sécurité de l’information suppriment les mots « ne faites pas cela » de leur vocabulaire. Tobener, vice-président, responsable de la sécurité et de l’informatique chez la startup DevOps Copado, s’est exprimé lors de Black Hat USA 2022 le 10 août sur la façon dont la création d’un cadre de réduction des risques peut améliorer la cybersécurité au-delà de la simple concentration sur la réduction de l’utilisation.

Fournir des conseils de sécurité efficaces n’est pas aussi simple que de dire aux gens « Ne cliquez pas sur ce lien » ou « Ne réutilisez pas les mots de passe », selon Tobener. La première partie d’un cadre de réduction des risques pour la cybersécurité demande à ceux qui fournissent des conseils d’accepter que les gens vont participer à des comportements à risque.

Les gens adoptent des comportements à risque pour une raison. L’incitation au comportement peut l’emporter sur le risque. Les gens réutilisent les mots de passe parce que cela leur fait gagner du temps et de l’énergie mentale malgré leur conscience du risque de sécurité.

Le modèle humain de prise de risques est bien établi dans plus que la cybersécurité. Le simple fait d’interdire les comportements à risque n’est pas toujours efficace. Tobener a donné l’exemple de la prohibition de l’alcool aux États-Unis. Alors que la consommation d’alcool a d’abord diminué après l’avènement de la prohibition, la consommation a remonté tandis que le coût de l’application augmentait. L’activité de contrebande a explosé et l’alcool est devenu plus puissant. Essayer simplement d’empêcher les gens de participer à un comportement s’est avéré inefficace.

Lire aussi  Qu'est-ce que la confiance zéro ? Cela dépend de ce que vous voulez entendre

“Il y a quelque chose qui s’appelle l’effet de violation de l’abstinence. Cela se produit lorsque les gens sont confrontés à des objectifs de réduction d’utilisation peu pratiques », a déclaré Tobener. “Ils peuvent en fait augmenter leur prise de risque parce qu’ils ont l’impression qu’ils ne peuvent pas répondre à vos attentes trop élevées.”

Réduire les conséquences négatives

La réduction des méfaits a une longue histoire dans les soins de santé. Tobener a souligné le rôle que jouent les programmes d’échange de seringues dans la réduction des infections à VIH chez les toxicomanes par voie intraveineuse. Il a également cité les e-cigarettes comme exemple. Lorsqu’elle a été initialement interdite aux États-Unis, un marché noir a fleuri pour les cigarettes électroniques et de nombreuses personnes sont mortes. Le Royaume-Uni a opté pour la réglementation au lieu d’une interdiction générale. L’utilisation de la cigarette électronique était plus faible et il n’y a eu aucun décès.

Si un comportement à risque est inévitable, qu’est-ce que cela signifie pour les conseils en matière de cybersécurité ? Trouver des moyens de réduire les conséquences négatives est la partie suivante du cadre de réduction des méfaits de Tobener.

“À maintes reprises dans la recherche, nous voyons [that] seule la réduction de l’utilisation augmente les dommages aux individus », a-t-il expliqué. “Pour être plus efficace, vous devez examiner les résultats néfastes des comportements à risque que vous avez dans votre environnement et concevoir des traitements qui atténuent ces risques et ces résultats néfastes.”

Au lieu de dire simplement aux gens de ne pas participer à un comportement, offrez un aperçu de la façon d’atténuer les conséquences de leur comportement. « Il existe des versions plus risquées et moins risquées des comportements. Le risque existe sur un spectre », a déclaré Tobener.

Déployer un cadre de réduction des méfaits ne signifie pas abandonner complètement les stratégies de réduction de l’utilisation. “Aucun contrôle individuel ne suffit”, a déclaré Tobener. “Vous pouvez superposer les contrôles et, dans l’ensemble, avoir un programme de sécurité très efficace en adoptant la réduction des risques.”

Lire aussi  La cyberattaque contre la compagnie de téléphone australienne Optus touche 1,2 million de clients

Offrir de la compassion

La dernière partie du cadre de réduction des méfaits de Tobener peut sembler contre-intuitive. Qu’est-ce que la compassion a à voir avec la cybersécurité ?

Les tactiques du « nom et honte » sont courantes dans le domaine de la cybersécurité. L’objectif est d’attacher des conséquences négatives aux comportements qui entraînent un risque pour la sécurité. Ce type de stigmatisation sociale peut se retourner contre vous et rendre les conseils en matière de cybersécurité moins efficaces. “En ce qui concerne la honte et la stigmatisation, cela réduit l’efficacité et augmente les dommages pouvant être causés par des comportements à haut risque”, a déclaré Tobener.

Il a offert une alternative à la stigmatisation des comportements à risque. “En établissant une relation de compassion et de confiance avec les personnes que vous essayez de guider, vos conseils seront plus efficaces”, a déclaré Tobener.

Une relation fondée sur la confiance plutôt que sur la peur rend les gens plus susceptibles d’adopter des conseils et d’apprendre de toutes les erreurs qu’ils commettent en cours de route. « Lorsque nous fustigons les gens, lorsque nous leur faisons honte d’avoir commis des erreurs dans leur programme de sécurité, ils sont moins susceptibles de partager les résultats de ce qu’ils ont appris de leur violation, de leurs erreurs, de leurs efforts de réponse. Cela nous rend tous moins sûrs. Nous ne bénéficions pas des connaissances qu’ils ont acquises », a expliqué Tobener.

Des conseils efficaces en matière de cybersécurité assurent la sécurité des entreprises et des particuliers en adoptant le pragmatisme. “Le but ici est de supprimer ‘Ne fais pas ça’ de ton vocabulaire. Au lieu de cela, dites quelque chose comme “Essayez de ne pas faire ça, mais si vous le faites, voici quelques moyens de rendre ce comportement plus sûr”, a déclaré Tobener.

Lire aussi  Un haut responsable russe confirme l'engagement de son pays envers la station spatiale

Que lire ensuite :

Black Hat à 25 ans : pourquoi la cybersécurité va s’aggraver avant de s’améliorer

Comment les cyberattaquants cultivent de nouvelles stratégies et reconfigurent les jeux classiques

Juillet 2022 Bulletin sur la politique technologique mondiale : de la victoire de Biden sur la puce à la confidentialité des données après Roe

Related News

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Recent News

Editor's Pick