Les entreprises du monde entier sont confrontées à un paysage de menaces qui évolue rapidement et la France ne fait pas exception : 91% des organisations françaises ont subi au moins une cyberattaque majeure au cours des 12 derniers mois.
Que ce soit par le biais de liens malveillants, de compromissions de comptes ou de techniques d'ingénierie sociale, les acteurs de la menace visent inlassablement la dernière ligne de défense des organisations : les collaborateurs.
Mais malgré la fréquence des attaques et une implication renforcée du Comex, de nombreuses organisations ne parviennent toujours pas à mettre en œuvre des stratégies de cyberdéfense efficaces. La formation est souvent inadéquate et la sensibilisation des utilisateurs insuffisante.
Une nouvelle approche centrée sur l'humain est nécessaire pour encourager les employés à non seulement apprendre à éviter les pièges, mais aussi à prendre conscience de leur rôle dans la sécurité de leur entreprise.
Suivre le rythme et l'intensification des menaces
L'épidémie de COVID-19 aura marqué un tournant dans le paysage des cybermenaces. L'adoption massive du télétravail notamment, a considérablement accentué la pression sur les équipes de cybersécurité. Chargées de défendre une surface d'attaque plus vaste et plus complexe, bon nombre d'entre elles admettent avoir des difficultés à effectuer cette nouvelle transition.
Seulement un RSSI français sur cinq (20%) est pleinement convaincu que ses collaborateurs disposent des moyens nécessaires pour travailler à distance et plus de la moitié reconnaissent que l'adoption du télétravail les a rendus plus vulnérables aux cyberattaques.
Par ailleurs, l'intensité des menaces n'a fait que progresser lors de l'épidémie de COVID-19. Près de deux tiers ont constaté une augmentation du nombre de tentatives d'attaques de phishing. Avec des attaques plus sophistiquées et plus précises, les hackers donnent du fils à retordre aux entreprises. Et, loin d'une époque où les infrastructures étaient la cible privilégiée, les cybercriminels se concentrent désormais davantage sur l'humain. Pourtant, si les utilisateurs constituent une dernière ligne de défense contre les cyberattaques, ils sont globalement insuffisamment sensibilisés aux bonnes pratiques en matière de cybersécurité. Les décideurs en cybersécurité français sont bien conscients de cette faille, puisque 61 % d'entre eux estiment que le facteur humain représente la principale vulnérabilité de leur entreprise.
Vers une nouvelle prise de conscience ?
Les entreprises françaises semblent parfaitement conscientes des cybermenaces qui pèsent sur elles. Plus de deux tiers des RSSI français estiment que leur entreprise risque d'être la cible d'une cyberattaque au cours des 12 prochains mois.
Conscients des risques liés au facteur humain, les RSSI français manquent en revanche de la capacité d'identifier les personnes les plus ciblées au sein de leur organisation et la moitié d'entre eux avouent même ignorer qui sont précisément ces collaborateurs les plus à risque au sein de leur entreprise.
Pourtant, le constat est sans appel : une personne sur quatre admet avoir ouvert des emails de phishing. Plus alarmant, le fait qu'une personne sur dix admette avoir cliqué sur des liens malveillants contenus dans ces messages.
S'il est encourageant de constater que la majorité des décideurs en cybersécurité semblent parfaitement conscients des risques et des difficultés auxquels ils sont confrontés, leur posture en matière de cybersécurité pourrait être renforcée. Plus de la moitié des RSSI français estiment que la direction de leur entreprise ne prête pas assez attention à la stratégie de cybersécurité, et seuls 14 % d'entre eux pensent que leur entreprise est prête à faire face à une cyberattaque.
Il est temps que les mentalités changent, et rapidement. La cyberdéfense ne doit plus être considérée comme une préoccupation des équipes de sécurité uniquement. Le facteur humain est désormais considéré comme la principale porte d'entrée des criminels. Les employés à tous les niveaux, dans tous les services, peuvent mettre leur entreprise en danger. Pour mettre en place une défense solide, il est nécessaire de sensibiliser les utilisateurs aux menaces les plus fréquentes et leur faire prendre conscience que leurs actions peuvent avoir de lourdes conséquences. Le FBI estime que les pertes mondiales dues à la compromission d'emails professionnels (attaques de type BEC) s'élevaient à 1,7 milliard de dollars rien que l'année dernière. Les enjeux n'ont jamais été aussi forts et les programmes de formation doivent en tenir compte.
La cybersécurité centrée sur les personnes
Le manque de sensibilisation crée un fossé entre les utilisateurs et les équipes de cybersécurité, problème que de nombreuses organisations ne parviennent toujours pas à résoudre. Pourtant, qu'ils soient confrontés à des imposteurs se faisant passer pour des collègues ou partenaires, comme à des tentatives de phishing « corporate » toujours plus convaincantes, les utilisateurs finaux sont de plus en plus à même de détecter et d'éviter les cyberattaques.
En ne mettant pas en place de véritable programme de sensibilisation pour les collaborateurs ou en n'évaluant pas régulièrement leurs connaissances, les entreprises s'exposent dangereusement. Ce sujet inquiète de nombreux RSSI en France, car près de deux tiers estiment que leur programme de formation à la cybersécurité doit être amélioré. Malheureusement, la majorité pense que le manque de temps et de ressources est un obstacle majeur à la concrétisation de cet objectif.
Les solutions techniques et les contrôles, bien qu'importants, ne sont qu'un aspect d'une défense large et en profondeur. La pierre angulaire d'une défense réussie est la formation régulière, complète et adaptée aux employés.
Cette formation doit aller au-delà des méthodes et des motivations d'une cyberattaque. Elle doit inviter tous les employés à jouer pleinement le rôle qui leur revient dans la protection de leur entreprise. Les employés à tous les niveaux doivent comprendre comment des comportements simples - réutilisation de mots de passe et mauvaise manipulation des données - peuvent avoir des conséquences importantes.
L'objectif est de créer une culture des meilleures pratiques. Une culture dans laquelle la cyberdéfense est de la responsabilité de chacun, quel que soit le département ou le niveau de poste. Les cybercriminels s'attaquent aux utilisateurs, les considérant comme le maillon faible ; il convient à chacun de veiller à changer cette perception, et le plus vite possible.