Deux livres blancs du CIEHF sur les facteurs humains dans le domaine de la cybersécurité

Le CIEFH Chartered Institude of Ergonomics & Human Factors (UK), société d’ergonomie et facteurs humains de Grande-Bretagne, a fait paraître le 16 mars 2022 deux livres blancs (disponibles en anglais au format PDF) qui traitent de l’importance des facteurs humains dans le domaine de la cybersécurité.

Les incidents de cybersécurité peuvent causer d’importantes perturbations et des dommages financiers et de réputation aux individus et aux organisations. Si de nombreux incidents de cybersécurité ont été attribués à l’élément humain ou à la « menace interne », il est également important de reconnaître que la flexibilité humaine, la conscience de la situation et la prise de décision peuvent renforcer la cybersécurité et que, bien que les défenses soient d’ordre technologique, leur intégrité dépend de l’homme.

Aborder la cybersécurité sans tenir compte de l’élément humain reviendrait à verrouiller toutes les fenêtres de votre maison mais à laisser la porte d’entrée grande ouverte.

Les deux documents font le constat que si l’élément humain est souvent reconnu comme un facteur de ces incidents, il en est rarement la cause première. Au contraire, la cause profonde est souvent une défaillance systémique et organisationnelle qui, si elle n’est pas traitée, continuera à influencer les performances de l’organisation en matière de cybersécurité.

Cadre de cybersécurité affecté par l’homme

Le premier document de 40 pages, est intitulé « Human Affected Cyber Security Framework » (« Cadre de cybersécurité affecté par l’homme »). Il présente sept comportements indésirables qui ont été identifiés et leurs solutions associées et fournit un cadre d’action avec des solutions rapides et d’autres à plus long terme :

  1. Violations de la validation de l’utilisateur
  2. Partage de l’information
  3. Mauvaise utilisation de la technologie
  4. Formation
  5. Mauvais suivi et gestion des incidents des incidents
  6. Négliger l’environnement physique sécurité
  7. Attaque délibérée et malveillante

Il peut être utilisé de manière proactive, pour évaluer et atténuer les risques de cybersécurité, et rétrospectivement, pour identifier les causes potentielles d’incidents liés à l’homme.

Le rôle des facteurs humains dans la mise en œuvre de la cybersécurité

Le second document de 28 pages, est intitulé « The role of human factors in delivering cyber security » (« Le rôle des facteurs humains dans la mise en œuvre de la cybersécurité »). Le document présente un résumé de ce que la discipline des facteurs humains (FH) apporte à la cybersécurité et encourage l’adoption d’une perspective holistique des systèmes, en tenant compte des personnes au sein d’une organisation. Il vise à faire comprendre aux décideurs, aux cadres, aux responsables de la sécurité de l’information (RSSI) et aux praticiens de la sécurité les considérations relatives aux facteurs humains en matière de cybersécurité.

Le « Human Affected Cyber Security (HACS) Framework » développé dans le document, présente des comportements indésirables et des solutions associées. Il a été conçu pour être utilisé par les professionnels des HF de manière proactive pour évaluer et atténuer les risques de cybersécurité, et rétrospectivement, pour identifier les causes potentielles d’incidents liés à l’homme. Il fournit des recommandations pour cinq problèmes majeurs de cybersécurité liés aux facteurs humains :

  1. Changement de comportement
  2. Niveaux de maturité en matière de cybersécurité
  3. Résilience de l’organisation
  4. Prise de décision du conseil d’administration
  5. Présentation de l’information sur la cybersécurité

Ressources

  • CIEHF. (2022a). Human Affected Cyber Security Framework [White Paper]. Chartered Institude of Ergonomics & Human Factors (CIEFH). https://bit.ly/3OEygyl
  • CIEHF. (2022b). The role of human factors in delivering cyber security [White Paper]. Chartered Institude of Ergonomics & Human Factors (CIEFH). https://bit.ly/3rSmGGk

A propos de l'auteur

IPRP spécialisé en intervention ergonomique et en AMOA de projets, j'interviens auprès des organisations qui souhaitent concilier conditions de travail et objectifs de performance, transformer les enjeux environnementaux et sociétaux en leviers de développement et de différentiation.

Je suis convaincu que placer les collaborateurs au centre de l'organisation aura un impact transformationnel sur toute l'activité : gagner en productivité sans sacrifier la qualité de vie au travail, préserver le sens et encourager le travail bien fait développera la satisfaction des clients et la croissance des résultats.

Travaillons ensemble à libérer tout le potentiel de vos collaborateurs. Faisons de la démarche ergonomique votre outil de transformation du travail.

Aller au contenu principal