Que ce soit sur le plan professionnel ou personnel, aucun·e de nous ne souhaite être mêlé·e à une cyberattaque. Pourtant, le nombre de victimes de ces menaces en ligne ne cesse d’augmenter. Ces attaques sont non seulement de plus en plus fréquentes, mais aussi de plus en plus graves, et elles ciblent souvent le facteur humain.
Forrester prévoit que, cette année, 9 violations de données sur 10 (compromissions de données ou d’identité, arnaques financières, etc.) passeront, d’une manière ou d’une autre, par le facteur humain. En étudiant l’ampleur du phénomène, nous sommes, chez SoSafe, parvenus à la conclusion que 1 entreprise sur 2 avait déjà été victime d’une cyberattaque réussie au cours des trois dernières années et que 64 % d’entre elles estimaient qu’il y avait de fortes probabilités qu’elles en subissent une nouvelle. Peu à peu, ces incidents ne sont plus une exception, mais deviennent la norme.
Les violations de données augmentent alors même qu’une part croissante du personnel est composée de personnes nées avec le numérique et habituées à surfer en ligne depuis leur plus jeune âge. C’est à se demander comment cette génération peut encore se faire avoir par ce type d’attaques.
Les cybercriminels utilisent la technologie de l’IA pour piéger les gens
Une grande partie de la réponse réside dans le fait que les tentatives de cyberattaque d’aujourd’hui sont souvent très différentes de ce qu’elles étaient il y a cinq ans, deux ans, ou même l’an dernier. Les cybercriminels ont, depuis longtemps, compris que le facteur humain était le point d’entrée idéal pour accéder aux systèmes en contournant les outils de défense technologiques. Pour maximiser la portée de leurs tentatives de piratage, ils exploitent les possibilités offertes par les technologies émergentes. Les outils augmentés à l’IA et les grands modèles de langage qui s’apprêtent à révolutionner le service à la clientèle ou le développement des produits sont détournés pour élaborer des e-mails d’extorsion d’informations de plus en plus difficiles à distinguer de demandes légitimes. On se refile sous le manteau, sur le Dark Web ou par le biais de messages confidentiels, les noms d’outils comme WormGPT et FraudGPT, capables de générer des e-mails comme celui ci-dessous :
L’IA générative permet de rédiger des e-mails de phishing jusqu’à 40 % plus vite que les méthodes utilisées autrefois. Et la qualité de leur contenu est susceptible de piéger une plus grande population. Chez SoSafe, nous avons réussi à créer des e-mails (dans le cadre de simulations d’attaques) que 78 % des employé·e·s ont ouverts, qui ont incité 65 % du personnel à divulguer des données privées et 21 % à cliquer sur des liens ou des pièces jointes corrompus.
Ces technologies permettent également aux pirates informatiques d’intégrer des informations spécifiques au secteur de l’entreprise et à la société elle-même, tout en rédigeant des messages bien conçus, sans fautes d’orthographe ni de grammaire. Cette nouvelle génération de phishing ne présente plus les caractéristiques traditionnelles de l’hameçonnage : polices bizarres, syntaxe bancale, types de fichiers inhabituels, etc. Pire encore, l’IA est capable de personnaliser chaque attaque et d’intégrer des sujets ou des contenus en lien avec les centres d’intérêt de la cible. Nous entrons dans l’ère du spear phishing de masse.
Si la technologie est efficace pour tenir à distance les acteurs malveillants, elle n’offre cependant pas une protection suffisante. Il est très probable qu’en unissant leurs efforts, des hackers professionnels parviennent, avec suffisamment de temps, à venir à bout de n’importe quelle protection informatique. Mais cela leur demandera du temps et du travail. Ils devront probablement faire preuve d’innovation et repérer des vulnérabilités zero-day. Il leur est bien plus facile de s’en prendre à un utilisateur ou une utilisatrice disposant de privilèges d’accès pour contourner la procédure de vérification.
Les utilisateurs et utilisatrices sont donc devenu·e·s la « principale cible des attaques ». Pour un attaquant, c’est la voie d’accès la plus aisée à emprunter pour s’infiltrer dans nos systèmes, nos données et nos ressources : trop souvent, ils exploitent la bonne volonté de membres du personnel désireux de rendre service, de répondre rapidement à la demande d’un client ou de remédier à l’urgence d’une crise. Les événements qui ont touché la société américaine de développement de logiciels Retool illustrent ce phénomène de manière frappante. À l’aide de l’IA, les attaquants ont cloné les voix de membres du service informatique afin de contourner la MFA, après s’être procuré les identifiants de connexion d’un employé par le biais d’une attaque de smishing. Ils ont ainsi pu mettre la main sur plus de 27 comptes clients. Nombre d’entre eux y ont perdu des millions en cryptomonnaie, à l’instar de Fortress Trust qui déplore une perte de 15 millions de dollars.
Voilà en quoi consiste le « facteur humain » en cyberdéfense. Au cœur de la guerre cybernétique, les êtres humains sont dans le collimateur des attaquants. Ils doivent être activement impliqués dans cette lutte et non relégués au rang de « maillons faibles » offrant une porte d’entrée aux intrus.
Faire évoluer la sensibilisation et la formation : une nécessité pour inculquer des comportements vigilants
Pour gérer le risque humain, il est primordial d’éduquer. La première étape consiste à prendre conscience du problème. Les attaquants cherchent à dérober aux entreprises des données et des ressources importantes. Depuis longtemps, les réglementations et les normes en la matière ont pris acte du problème et imposent aux responsables de sécurité informatique toute une série d’obligations pour limiter les risques au niveau humain. Se contenter de répondre à ces obligations et de cocher toutes les cases n’est cependant pas suffisant. Ces cadres juridiques s’appuient, en effet, sur des bonnes pratiques d’ordre général, mais ne permettent pas vraiment de faire évoluer les comportements en ligne. Les formations en cybersécurité s’en tiennent bien souvent là. Or, la simple conformité avec des obligations de base n’offre pas une protection suffisante, car les personnes ainsi formées ne disposent ni des outils ni des connaissances nécessaires pour prendre une part active à la défense de leur entreprise. Le plus inquiétant dans tout cela est que, selon une récente étude du National Institute of Standards and Technology (NIST) aux États-Unis, 56 % des délégué·e·s à la cybersécurité continuent de penser que la conformité est le principal indicateur d’une sensibilisation et d’une formation réussies à la cybersécurité. Pourtant, tout en continuant à la considérer comme un indicateur important de réussite, ces professionnel·le·s n’en affirment pas moins que la conformité n’est pas vraiment gage d’efficacité ni d’évolution des comportements.
Les formations en cybersécurité peuvent être inintéressantes : des diaporamas interminables sur lesquels l’utilisatrice ou l’utilisateur doit cliquer toutes les 20 ou 30 secondes pour « attester de sa participation », des quiz sans queue ni tête, dont les réponses sont trop évidentes. Cette méthode n’est plus adaptée aux besoins actuels. Les sociétés doivent déployer leurs efforts pour aller plus loin et ne pas se reposer sur des compétences basiques qui ne font plus le poids dans un contexte où les menaces s’intensifient de jour en jour.
Il faut désormais miser sur des programmes qui mettent en lumière le risque humain propre à une entreprise donnée et y remédient en priorité en mettant en place des mesures correctives. Les employé·e·s acquerront ainsi des réflexes sains et apprendront à repérer les menaces, à les comprendre et à y réagir. Il est indispensable que de tels programmes couvrent toute la gamme des risques liés à l’humain et permettent l’adoption de bons réflexes face aux menaces. Ils doivent jouer sur les influences culturelles, les facteurs de motivation et les attitudes, le contexte et la réponse émotionnelle. Il faut qu’ils concentrent leur action sur les principes qui sous-tendent une utilisation sécurisée des outils et des données numériques, pour inculquer des réflexes qui restent valables quel que soit le format ou la technologie.
La formation doit aussi être attrayante. S’il est essentiel qu’elle dispense des informations utiles, il faut surtout qu’elle apprenne aux gens à appliquer ce qu’ils ont appris, leur permette de développer de bonnes habitudes en matière de sécurité et les amène à toucher du doigt l’importance de ces différents points. Bonne nouvelle : nous disposons aujourd’hui de méthodes psychologiques qui ont fait leurs preuves dans ce sens. Concrètement, cela se traduit par une expérience multicanal et par des mises en situation pédagogiques qui mettent la cybersécurité à la portée de chacun. Il s’agit de programmes qui remplacent les gros pavés de texte explicatif par des micro-modules faciles à assimiler et qui utilisent des techniques comme la gamification, la répétition espacée, les composants interactifs, les rappels automatisés et contextualisés, et la pédagogie narrative pour favoriser un apprentissage basé sur le renforcement positif plutôt que sur la crainte des représailles.
Adopter une approche comportementale de la gestion du risque humain est notre seule chance pour lutter contre le burn-out qui guette actuellement les équipes de cybersécurité
Les entreprises qui ne réagissent pas dès maintenant courent le risque de voir leurs équipes de cybersécurité être submergées par la lutte contre les cybermenaces. Les professionnel·le·s de la cybersécurité sont au bord du burn-out. Les statistiques montrent que 66 % des expert·e·s du secteur, aux États-Unis et en Europe, souffrent d’un niveau important de stress au travail et que 3,5 millions de postes sont aujourd’hui vacants sur le secteur de la cybersécurité au niveau international. Ces professionnel·le·s ont besoin du soutien de toute l’entreprise pour pouvoir mener à bien leur mission. La cybersécurité doit devenir l’affaire de tous : les êtres humains ont le pouvoir de repousser les cybercriminels. En acquérant de solides réflexes de sécurité, vos collaboratrices et collaborateurs deviendront les meilleur·e·s allié·e·s de l’équipe informatique et pourront mettre leurs nombreux talents au service des stratégies de défense de l’entreprise afin de réduire durablement les risques.
La célèbre formule « Si tu donnes un poisson à un homme, il mangera un jour. Si tu lui apprends à pêcher, il mangera toujours » s’applique aussi dans le domaine de la cybersécurité. Fournir à nos employé·e·s, une technologie de cyberdéfense, c’est lui donner un « poisson » : cette approche permettra peut-être de bloquer une menace, mais elle ne résoudra pas le problème de fond. La seule manière de construire une culture d’entreprise résiliente et de réduire durablement les risques cyber, c’est de responsabiliser le personnel en première ligne en mettant en place un programme holistique de gestion du risque humain.
Comment SoSafe peut vous aider à gérer et à réduire le risque humain
SoSafe est une plateforme leader de gestion du risque humain qui s’appuie sur la psychologie et les sciences comportementales pour faire de la sécurité, une seconde nature. Nous croyons que chaque personne veut bien faire, mais qu’elle a souvent besoin d’être accompagnée dans cette démarche, en particulier dans le contexte actuel où des cybermenaces augmentées à l’IA se profilent. Nous concentrons donc notre action sur le développement d’une culture de la cybersécurité au sein des entreprises. L’objectif n’est pas seulement de mettre en place un bouclier contre les menaces en ligne, mais aussi d’impliquer chaque membre de l’entreprise dans la réduction des risques liés au facteur humain.
Pour permettre à ses clients d’atteindre cet objectif, SoSafe joue sur différents tableaux : la formation gamifiée associée à une pédagogie narrative, les expériences personnalisées, avec par exemple des simulations de phishing auxquelles sont associées des explications pas-à-pas détaillées, ainsi qu’un accompagnement constant pour s’assurer que la formation est continue et efficace. Notre bouton d’alerte phishing permet aux collaboratrices et collaborateurs d’agir contre les menaces et de protéger toute la société. Cerise sur le gâteau : Sofie, notre chatbot d’IA conversationnelle vous permet de contacter rapidement vos employé·e·s par messagerie instantanée. Vous pourrez ainsi diffuser des micro-formations en réponse aux menaces émergentes, alimenter une solide culture de la cybersécurité en offrant un accès au support technique 24h/24 et 7 j/7 et faire de vos collaboratrices et collaborateurs votre principale ligne de défense.
Vous bénéficierez également de notre tableau de bord Score de risque et automatisation de la culture qui vous permettra d’intégrer les données first-party et third-party en toute simplicité, d’assurer un suivi de l’activité et des indicateurs de risque, d’évaluer le risque humain, de détecter les vulnérabilités et de prendre des décisions éclairées.