La sous-estimation du facteur humain dans la défense contre les cyberattaques
Alors que les mesures de sécurité technologiques sont indispensables, il est fréquent que les organisations négligent l’importance de la préparation humaine. L’analyse de 67,7 millions de simulations a révélé un fait alarmant : les outils technologiques sont impuissants à modifier les comportements humains.
En dépit des progrès significatifs dans les technologies de cybersécurité, le phishing reste la méthode d’intrusion principale. Pour saisir les raisons de cette persistance, il est crucial de regarder au-delà de la technologie et de considérer les failles dans la gestion des ressources humaines et de leur vulnérabilité aux risques.
La force de la sensibilisation
Bien des entreprises abordent la formation en sécurité comme un remède annuel, pensant qu’une session suffit pour une protection à long terme. Toutefois, la sensibilisation à la sécurité ressemble plus à une condition physique qui réclame un entraînement constant pour maintenir la force défensive.
Initialement, 33,1 % des utilisateurs peuvent cliquer sur des liens de phishing, mais une formation régulière peut réduire ce chiffre à environ 19 % en trois mois. Le succès n’est pas un état permanent, mais plutôt une pratique continue.
Le danger de la conformité
Les cyberattaquants tirent parti de l’autorité interne des sociétés. Les courriels de phishing les plus efficaces sont souvent déguisés en communications internes, venant des départements des ressources humaines, de l’informatique ou de la finance. Les employés ne sont pas nécessairement trompés par les supercheries; ils répondent à ce qui semble être une requête légitime de leur entreprise.
Pour remédier à cela, il est crucial de cultiver une « culture de l’interrogation », où la vérification des demandes douteuses est encouragée et récompensée, même si elles semblent émaner de la direction.
Le déficit de visibilité managériale
Si les responsables de la sécurité des systèmes d’information (RSSI) connaissent souvent le nombre de mises à jour effectuées sur les serveurs, ils ont du mal à identifier quel département est le plus à risque de :
- cliquer sur un lien malveillant,
- utiliser un périphérique USB non sécurisé,
- visiter des sites web dangereux,
- laisser un ordinateur déverrouillé sans surveillance.
Cette absence de visibilité est une grave lacune. On ne peut efficacement gérer ce que l’on ne mesure pas.
Les entreprises les plus performantes adoptent une gestion du risque humain, utilisant des indicateurs tels que le Pourcentage de susceptibilité au Phishing (Phish-prone Percentage – PPP) pour orienter des interventions précises et efficaces.
L’excès de confiance des experts
Un mythe dangereux prévaut selon lequel les experts techniques ou les dirigeants seraient immunisés contre le phishing. En réalité, une confiance excessive peut devenir un atout pour les cybercriminels.
Les études montrent qu’avant toute formation, un utilisateur sur trois interagit avec des emails de phishing simulés, quel que soit son rôle dans l’entreprise. L’intelligence ne protège pas contre les tactiques de manipulation.
Une véritable compétence en sécurité naît lorsque chaque individu accepte sa vulnérabilité potentielle.
L’illusion de la solution parfaite
Depuis longtemps, les entreprises comptent sur des filtres de messagerie classiques. Toutefois, avec l’avènement de l’intelligence artificielle qui permet aux attaquants de créer des messages personnalisés et impeccables, les indices habituels comme les fautes d’orthographe sont en voie de disparition.
Si les filtres et autres protections sont essentiels, ils ne bloquent pas toutes les intrusions. Lorsqu’un message frauduleux atteint un employé, sa réaction devient déterminante.
Investir uniquement dans la technologie sans former les individus revient à s’appuyer sur un unique point de défaillance.
Il est vital de transformer les utilisateurs en défenseurs actifs de la sécurité, plutôt qu’en simples victimes.
Beaucoup considèrent encore le phishing comme un problème technique relevant uniquement du département IT. Or, il s’agit d’un défi comportemental qui nécessite un changement culturel.
En mettant en place une formation continue et une sensibilisation, les organisations peuvent diminuer significativement leur vulnérabilité au phishing, réduisant leur exposition jusqu’à 86 % en une année. Les outils sont cruciaux, mais ce sont les individus qui les utilisent qui garantissent véritablement la sécurité.
À propos de l’auteur :
Martin Kraemer, spécialiste de la cybersécurité chez KnowBe4, propose des insights pour les PME dans son article « Cinq raisons pour lesquelles le phishing reste efficace ».
Article initialement publié sur Beaboss.fr, le site dédié aux dirigeants de PME.
