Au coutendus aux utilisateurs, les formations liées à la sensibilisation se sors des 12 derniers mois, 66% des PME ont signalé une cyberattaque, 49% ont été touchées par un ransomware et 78% d’entre elles ont payé la rançon demandée. La faute à un manque de sensibilisation ?
En effet, la technologie a beau être un premier rempart efficace, l’humain est la dernière ligne de défense de l’entreprise face aux attaquants. Mais cette ligne est encore trop fragile. La sensibilisation au sein des entreprises augmente mais pour être vraiment efficace, elle doit être plus régulière et adaptée au contexte de chacun. De cette manière, les utilisateurs « sensibilisés » deviendront des utilisateurs « vigilants ». Et cela fait une grande différence.
L’humain ouvre souvent la porte du système d’information et donne ainsi accès aux données de l’entreprise aux cybercriminels. Et ceux-ci ne manquent pas d’imagination pour tromper les utilisateurs, par exemple via des emails frauduleux d’apparence tout à fait légitimes. Même si cette méthode du phishing est désormais largement connue, elle fonctionne encore très bien, si bien que le phishing est toujours utilisé dans plus de 90% des attaques informatiques.
Pour empêcher les utilisateurs de tomber dans les pièges nt multipliées : pour apprendre à choisir un mot de passe fort, repérer un email de phishing, etc. Pourtant, les utilisateurs oublient ou ignorent régulièrement les règles en matière de sécurité numérique.
Pourquoi ? Tout d’abord à cause du manque de régularité de ces opérations de sensibilisation. Dans la plupart des entreprises, les campagnes de sensibilisation ne sont organisées qu’une fois par an. Les cybercriminels ont ainsi tout le temps de faire évoluer leurs méthodes, rendant ainsi d’anciennes campagnes de sensibilisation au mieux en partie obsolètes. A l’inverse, en intensifiant la sensibilisation, les employés vont devenir plus vigilants. Cela fait une grande différence : un utilisateur sensibilisé sait qu’une cyberattaque est possible, alors qu’un utilisateur vigilant anticipe cette attaque et agit de manière réactive et responsable lorsqu’elle se produit…
Le marché de la cybersécurité offre de nombreuses solutions de sécurité ultra performantes, qui ne cessent de s’améliorer grâce aux nouvelles technologies, l’intelligence artificielle en premier lieu. Mais les techniques des hackers évoluent encore plus vite. Un email de phishing bloqué réapparait souvent quelques jours plus tard, envoyé par une nouvelle adresse IP, etc. La technologie constitue un point de départ, mais elle n’est pas l’alpha et l’oméga de la cybersécurité, aucune solution de cybersécurité ne pouvant prétendre aujourd’hui être capable de bloquer toutes les menaces.
Au-delà des solutions, c’est l’utilisateur qui doit jouer un rôle clé. Souvent présenté comme le maillon faible de la cybersécurité, il doit être au contraire une dernière ligne de défense forte lorsque la technologie échoue.
Le phishing et l’ingénierie sociale sont les deux types d’attaques les plus utilisées par les hackers. Si a priori les taux d’employés qui cliquent sur des emails de phishing ont diminué, grâce notamment à la sensibilisation, les chiffres annoncés restent approximatifs car trop peu d’emails de phishing (17 % selon Verizon) sont remontés auprès du service informatique.
Les employés ne comprendraient-ils pas suffisamment l’importance de ces signalements, ni le fonctionnement des technologies qui les protègent ? Rien n’est moins sûr.
Pour être efficaces et intégrer les dernières techniques d’attaques des hackers, les technologies ont besoin d’être continuellement affutées pour s’améliorer. L’intelligence artificielle qui est largement utilisée aujourd’hui a par exemple besoin d’être nourrie de données pour s’améliorer (la machine apprenant souvent toute seule aujourd’hui « Machine learning »). Dans le cas du phishing, les données remontées par les utilisateurs jouent un rôle crucial pour améliorer les filtres de détection. A défaut, si un utilisateur supprime un email de phishing sans le signaler, aucune amélioration ne peut avoir lieu.
Nous l’aurons compris, le rôle des utilisateurs en matière de sécurité numérique est primordial. Mais il semblerait qu’ils n’aient tout simplement pas pleinement conscience de ce rôle. C’est là l’une des clés de la sécurité de l’entreprise : les employés doivent donc comprendre qu’en étant bien sensibilisés (via des campagnes plus régulières et contextualisées : il existe aujourd’hui des formations en temps réel et personnalisées pour des employés venant de cliquer sur un lien de phishing par exemple) et vigilants dans leurs comportements et vis-à-vis des approches dont ils font l’objet, ils peuvent renforcer considérablement la sécurité de leur entreprise, de son business… et in fine de leur propre emploi.