CASES.LU

Glossary

  1. ▹ Antivirus
  2. ▹ Actifs
  3. ▹ Authentification
  4. ▹ Disponibilité
  5. ▹ Critères de base pour l'analyse des risques
  6. ▹ Attaque informatique
  7. ▹ Confidentialité
  8. ▹ Control
  9. ▹ Cryptographie
  10. ▹ Cybercriminalité
  11. ▹ Cybercriminel
  12. ▹ DRP – Disaster Recovery Plan
  13. ▹ Sauvegarde de données
  14. ▹ Perte de données
  15. ▹ Défiguration
  16. ▹ Désinfectez la machine avec un live CD
  17. ▹ Mise au rebut
  18. ▹ Email
  19. ▹ Firewall
  20. ▹ Erreurs humaines
  21. ▹ IDS/IPS
  22. ▹ Droit à l'image
  23. ▹ Impact
  24. ▹ Intégrité
  25. ▹ Internet et droits d'auteurs
  26. ▹ Aspects légaux
  27. ▹ LuxTrust
  28. ▹ Logiciels malveillants
  29. ▹ Sites Web malicieux
  30. ▹ Segmentation réseau
  31. ▹ Password
  32. ▹ Correctifs - patch
  33. ▹ Phishing
  34. ▹ Pannes physiques
  35. ▹ Sécurité physique
  36. ▹ Vol Physique
  37. ▹ Recommandations pour sécuriser un serveur de fichiers
  38. ▹ Recommandations pour sécuriser un serveur connecté à Internet
  39. ▹ Recommandations pour sécuriser un serveur Web
  40. ▹ Supports amovibles
  41. ▹ Gestion des risques
  42. ▹ Spam - les courriers indésirables
  43. ▹ SSL/TLS - les technologies de chiffrement sur la toile
  44. ▹ Mettre à jour les logiciels sur son ordinateur à l'aide de Secunia PISA
  45. ▹ Charte de sécurité
  46. ▹ Ingénierie sociale
  47. ▹ Menaces
  48. ▹ VPN : Les réseaux privés virtuels
  49. ▹ Vulnérabilités
  50. ▹ Web of Trust - WOT
  51. ▹ Filtre web - Proxy
  52. ▹ Pourquoi est-il important de protéger son ordinateur?

Erreurs humaines

En quelques mots

Considérer les erreurs humaines comme des menaces peut sembler un peu indélicat et pourtant, comme le montrent les statistiques publiées par différents organismes, elles demeurent une cause très courante de sinistres informatiques. 

On considère comme « erreur humaine », tout comportement humain ne respectant pas le bon usage et pouvant conduire de façon involontaire à des préjudices divers.

Types d’erreurs

On considère comme « erreur humaine », tout comportement humain ne respectant pas le bon usage et pouvant conduire de façon involontaire à des préjudices divers. Les actes volontaires réalisés dans un but malveillant ne sont pas qualifiés d’erreurs.

Il est impossible de dresser une liste exhaustive des erreurs humaines. Bien qu’il soit impossible de quantifier toutes les possibilités en matière d’erreurs humaines, il est toutefois possible de dresser quelques critères distinctifs permettant de classifier les erreurs humaines.

Les erreurs de type négligence

On regroupe sous ce titre toutes les actions menées par des personnes bien informées mais ne respectant pas les règles. On pourrait donc associer la négligence à un acte volontaire. Toutefois le but de la négligence n’est généralement pas frauduleux.

Exemples :

Les erreurs de type incapacité

Cette catégorie regroupe toutes les erreurs commises sans en avoir conscience. En effet, de nombreuses erreurs peuvent être commises “de bonne foi”, sans que l’utilisateur ait conscience du non-respect du bon usage ou du règlement et sans qu’il mesure l’impact de son geste.

Exemples :

Comment cela fonctionne-t-il?

Les erreurs humaines sont des menaces non intentionnelles qui exploitent différentes vulnérabilités notamment :

La fainéantise et l’absence de conscience professionnelle

Dans cette catégorie sont repris tous les actes commis par négligence et contre lesquels il est très difficile de lutter, si ce n’est en agissant au niveau de la responsabilisation et des mécanismes de sanction.

Le manque de formation ou de sensibilisation à la sécurité

L’absence de conscientisation d’une personne représente bien sûr une énorme vulnérabilité dont la face cachée est l’absence de prise de conscience de l’erreur commise, et donc l’absence de détection et de correction par la personne elle-même.

Le manque de formation et de sensibilisation à la sécurité d’une personne présente une vulnérabilité pouvant être exploitée par une menace hautement dangereuse qui est le social engineering.

Comment se protéger?

La loi de « non fiabilité » de Gibbs (mathématicien américain) stipule que « Tout système qui dépend de la fiabilité de l’homme n’est pas fiable ».

Il existe de multiples moyens de lutter contre les erreurs humaines. Toutefois, il est conseillé de consacrer beaucoup d’énergie à la limitation de l’impact des erreurs humaines et de ne pas partir du principe que l’on va être en mesure d’éviter toutes les erreurs humaines. Les principales contre-mesures sont les suivantes :

La sensibilisation

C’est dans ce domaine qu’il est facilement possible de diminuer de manière sensible le risque.

En effet, la majorité des êtres humains sont de bonne volonté et si on les informe de l’importance de leurs gestes quotidiens ainsi que de la valeur des données traitées, ils prendront à cœur de les gérer en bon père de famille.

La formation

Le meilleur moyen d’éviter de mauvaises manipulations au niveau des données et des logiciels, est de former les utilisateurs sur les logiciels et sur la manipulation des supports.

La mise en place et le contrôle de procédures

Il est primordial de mettre en place des procédures qui couvrent tous les aspects importants (accès, sauvegarde…) touchant à la sécurité. Ces procédures doivent être contrôlées de façon cyclique et leur non respect devrait entraîner des sanctions. Ces procédures font généralement partie de la politique de sécurité.

La double validation

Afin d’éviter des erreurs de saisie au niveau des logiciels critiques (paiement électronique…), il est prudent de mettre en place une double saisie des données ou une double validation.

La gestion et le suivi des erreurs

La gestion et le suivi des erreurs\ Les erreurs n’étant pas entièrement inévitables, il faut en tirer les conséquences afin de ne pas les reproduire. Seule une analyse pointue des erreurs commises, ainsi que des causes à l’origine de ces erreurs permet d’en éviter la répétition.

L’administration centralisée

Pour minimiser les erreurs humaines, il est conseillé de strictement limiter les accès aux logiciels et aux données aux seules personnes qui en ont vraiment besoin: gestion des accès et authentification .