Mieux encore que des salariés sensibilisés : des salariés vigilants !
Publié par Adrien Gendre, Chef solution Architect chez Vade Secure le - mis à jour à
Les cybercriminels ont toujours un temps d'avance sur les entreprises. Selon Accenture, sur les 12 derniers mois, 66% des PME ont signalé une cyberattaque, 49% ont été victimes d'un ransomware et 78% d'entre elles ont payé une rançon. La faute à un manque de sensibilisation ?
La technologie a beau être un premier rempart efficace, l'humain est la dernière ligne de défense de l'entreprise face aux attaquants. Cependant, cette ligne est encore trop fragile. La sensibilisation au sein des entreprises augmente mais pour être vraiment efficace, elle doit être plus régulière et adaptée au contexte de chacun. De cette manière, les utilisateurs " sensibilisés " deviendront des utilisateurs " vigilants ". Et cela fait une grande différence.
Sensibilisation et vigilance, quelle différence ?
L'humain ouvre souvent la porte du système d'information et donne ainsi accès aux données de l'entreprise aux cybercriminels. Ces derniers ne manquent pas d'imagination pour tromper les utilisateurs, par exemple via des emails frauduleux d'apparence tout à fait légitimes. Même si cette méthode du phishing est désormais largement connue, elle fonctionne encore très bien, si bien que le phishing est toujours utilisé dans plus de 90% des attaques informatiques.
Pour empêcher les utilisateurs de tomber dans les pièges tendus aux utilisateurs, les formations liées à la sensibilisation se sont multipliées : pour apprendre à choisir un mot de passe fort, repérer un email de phishing, etc. Pourtant, les utilisateurs oublient ou ignorent régulièrement les règles en matière de sécurité numérique.
Pourquoi ? Tout d'abord à cause du manque de régularité de ces opérations de sensibilisation. Dans la plupart des entreprises, les campagnes de sensibilisation ne sont organisées qu'une fois par an. Les cybercriminels ont ainsi tout le temps de faire évoluer leurs méthodes, rendant ainsi d'anciennes campagnes de sensibilisation - au mieux en partie - obsolètes. A l'inverse, en intensifiant la sensibilisation, les employés vont devenir plus vigilants. Cela fait une grande différence : un utilisateur sensibilisé sait qu'une cyberattaque est possible, alors qu'un utilisateur vigilant anticipe cette attaque et agit de manière réactive et responsable lorsqu'elle se produit...
La technologie, premier rempart (rapidement contourné par les cybercriminels)
Le marché de la cybersécurité offre de nombreuses solutions de sécurité ultra performantes, qui ne cessent de s'améliorer grâce aux nouvelles technologies, l'intelligence artificielle en premier lieu. Mais les techniques des hackers évoluent encore plus vite. Un email de phishing bloqué réapparait souvent quelques jours plus tard, envoyé par une nouvelle adresse IP, etc. La technologie constitue un point de départ, mais elle n'est pas l'alpha et l'oméga de la cybersécurité, aucune solution de cybersécurité ne pouvant prétendre aujourd'hui être capable de bloquer toutes les menaces.
Au-delà des solutions, c'est l'utilisateur qui doit jouer un rôle clé. Souvent présenté comme le maillon faible de la cybersécurité, il doit être au contraire une dernière ligne de défense forte lorsque la technologie échoue.
Créer une communauté d'utilisateurs participatifs
Le phishing et l'ingénierie sociale sont les deux types d'attaques les plus utilisées par les hackers. Si a priori les taux d'employés qui cliquent sur des emails de phishing ont diminué, grâce notamment à la sensibilisation, les chiffres annoncés restent approximatifs car trop peu d'emails de phishing (17 % selon Verizon) sont remontés auprès du service informatique.
Les employés ne comprendraient-ils pas suffisamment l'importance de ces signalements, ni le fonctionnement des technologies qui les protègent ? Rien n'est moins sûr.
Pour être efficaces et intégrer les dernières techniques d'attaques des hackers, les technologies ont besoin d'être continuellement affutées pour s'améliorer. L'intelligence artificielle qui est largement utilisée aujourd'hui a par exemple besoin d'être nourrie de données pour s'améliorer (la machine apprenant souvent toute seule aujourd'hui, selon les principes du "machine learning"). Dans le cas du phishing, les données remontées par les utilisateurs jouent un rôle crucial pour améliorer les filtres de détection. A défaut, si un utilisateur supprime un email de phishing sans le signaler, aucune amélioration ne peut avoir lieu.
Nous l'aurons compris, le rôle des utilisateurs en matière de sécurité numérique est primordial. Mais il semblerait qu'ils n'aient tout simplement pas pleinement conscience de ce rôle. C'est là l'une des clés de la sécurité de l'entreprise : les employés doivent donc comprendre qu'en étant bien sensibilisés et vigilants dans leurs comportements et vis-à-vis des approches dont ils font l'objet, ils peuvent renforcer considérablement la sécurité de leur entreprise, de son business... et in fine de leur propre emploi.
Pour en savoir plus
Chief Product & Services Officer chez Vade Secure et conférencier au M3AAWG (Messaging, Malware & Mobile Anti-Abuse Working Group), Adrien Gendre est un spécialiste de la sécurité de l'email. Il est au fait des technologies les plus performantes pour protéger les entreprises des attaques avancées de phishing, spear phishing et malware.