La sensibilisation à la cybersécurité ne suffit pas
Adrien Gendre
—07 octobre 2021
—4 min de lecture
Cet article a été publié en Mai 2020 et a été mis à jour avec un nouveau contenu.
Vous avez l’impression que les cybercriminels ont toujours une longueur d’avance sur les entreprises de cybersécurité ? Eh bien, vous avez raison ! Les dépenses en matière de cybersécurité devraient atteindre 133,8 milliards de dollars en 2022, tandis que le marché de la sensibilisation à la cybersécurité devrait quant à lui s’élever à 10 milliards de dollars en 2027. Ces dépenses semblent toutefois vaines : la cybercriminalité continue de se développer, les attaques sont de plus en plus sophistiquées, et l’humain comme la technologie paraissent à la peine.
Les attaques de ransomware en France ont augmenté de 255% en 2020. 61% des entreprises françaises ont été ciblées par des ransomware alors qu’en moyenne, les entreprises françaises consacrent 10% de leur budget IT à la Cybersécurité.
Les pertes engendrées par ces attaques et des milliers d’autres sont irrécupérables, et la situation ne va certainement pas s’améliorer. La sensibilisation à la cybersécurité constitue certes un investissement essentiel, mais elle est bien différente de la cybersécurité à proprement parler.
Différence entre la sensibilisation à la cybersécurité et la vigilance en matière de cybersécurité
La sensibilisation à la cybersécurité se concentre, à raison, sur le facteur humain des cyberattaques, à savoir les erreurs qui ouvrent grand les portes des systèmes et données des entreprises. Ces formations apprennent à choisir des mots de passe forts, à les modifier fréquemment, à ne pas les communiquer à des tiers, à ne jamais cliquer sur un lien de phishing et à suivre diverses autres bonnes pratiques. Dans un monde idéal, nous suivrions religieusement ces règles.
Mais dans la réalité, nous les oublions et les ignorons régulièrement. Par ailleurs, les formations proposées par les entreprises se déroulent généralement sur une base annuelle. Ce manque de régularité a une conséquence directe : les employés s’empressent d’oublier tout ce qu’ils ont appris. En 12 mois, les cybercriminels ont de plus largement le temps de faire évoluer leurs méthodes et de rendre ainsi obsolètes les formations passées.
La plupart des programmes de formation présentent les bons comportements et les réflexes à supprimer, tout en expliquant les problématiques en jeu. Toutefois, ils ne garantissent pas que plusieurs mois plus tard, les employés appliqueront ce qu’ils ont appris au quotidien. En effet, ce comportement implique de faire preuve de vigilance. Un utilisateur sensibilisé sait qu’une cyberattaque est possible. Un utilisateur vigilant anticipe cette attaque et agit de manière réactive et responsable lorsqu’elle se produit.
La grande question est donc la suivante : comment faire passer votre culture d’entreprise de la sensibilisation à la vigilance ?
La technologie n’est qu’un composant de la solution
La technologie évolue rapidement. Les hackers évoluent encore plus vite. La plupart des entreprises auront beau consacrer des sommes considérables à la mise à jour de leurs technologies, le jeu du chat et de la souris entre les hackers et les spécialistes de la sécurité ne s’arrêtera jamais. Un correctif logiciel est publié ? Une nouvelle vulnérabilité est découverte. La clé de déchiffrement d’un ransomware est diffusée ? Une nouvelle souche améliorée fait son apparition. Un email de phishing est bloqué ? Il réapparaît quelques jours plus tard, envoyé par une nouvelle adresse IP. La technologie constitue un point de départ, mais elle n’est pas l’alpha et l’oméga de la cybersécurité.
Aucune solution de cybersécurité n’est capable de bloquer toutes les menaces. Aussi, il est indispensable de faire appel à des renforts, et ces renforts ne sont nuls autres que les utilisateurs, pourtant parfois considérés comme les maillons faibles de la cybersécurité. En réalité, ils constituent votre dernière ligne de défense lorsque la technologie échoue, ce qui explique pourquoi les hackers essaient régulièrement de les pousser à la faute.
Créer une communauté vigilante
D’après Accenture, les cyberattaques ciblant les personnes ont connu la plus forte poussée au cours de l’année passée. Les attaques par malwares et ransomwares ont ainsi enregistré une croissance à deux chiffres. Dans son rapport 2021 Data Breach Investigations Report, Verizon constate que l'ingénierie sociale (phishing et spear phishing) est responsable de 85 % des vols d'identifiants en 2020, tandis que le phishing est la première forme d'attaque sociale. Si des hackers veulent s’en prendre à vos employés, ils utiliseront l’un de ces deux types d’attaques.
Bien que le taux d’employés cliquant sur les emails de phishing ait diminué en raison des formations de sensibilisation, le taux de signalement reste extrêmement faible. D’après Verizon toujours, seuls 17 % des emails de phishing sont signalés aux services informatiques des entreprises. Cette contradiction révèle que si les employés savent mieux reconnaître les emails de phishing, ils ne comprennent peut-être pas comment fonctionnent les technologies antiphishing ni l’importance des signalements pour leur efficacité.
Dans le cadre d’une formation de sensibilisation à la cybersécurité, les utilisateurs doivent apprendre le fonctionnement des technologies de lutte contre le phishing et rôle qu’ils peuvent jouer dans leur amélioration. Par exemple, ils doivent savoir que le fait de signaler un email de phishing au service informatique déclenche toute une série d’événements dont ils n’ont probablement pas idée.
Un filtre de messagerie qui laisse passer un email de phishing doit être affûté pour reconnaître cet email si le hacker le renvoie par la suite, chose qui n’a rien d’improbable. Se contenter d’ajouter une adresse IP à une liste noire ne suffit pas. De nouvelles règles doivent être écrites, et les algorithmes d’IA, qui s’appuient sur les données fournies par les utilisateurs, doivent être encore entraînés. Si un utilisateur supprime un email sans le signaler, aucune de ces actions ne peut avoir lieu. L’email reviendra, et quelqu’un finira par cliquer dessus.
La meilleure façon de s’assurer qu’il ne revienne jamais consiste à fournir au moteur d’IA les données dont il a besoin pour s’améliorer, et mettre ainsi en place une boucle de rétroaction entre l’utilisateur et l’IA. Il en résultera un moteur plus intelligent et autonome, capable de prendre les bonnes décisions et d’apprendre de ses erreurs.
En formant vos utilisateurs au fonctionnement de la technologie conçue pour les protéger, vous leur apprenez les limites de la cybersécurité en matière d’attaques contre les personnes, et le rôle qu’ils peuvent jouer dans son amélioration. Les utilisateurs ont tendance à davantage signaler les emails de phishing lorsqu’ils savent qu’ils participent activement à l’évolution de la technologie et bénéficient de ses améliorations. De la même manière que les experts en cybersécurité forment des communautés, souvent composées de fournisseurs concurrents, vous devez créer une communauté d’utilisateurs signalant activement les emails pour protéger votre entreprise et, au final, leurs gagne-pain.
Pour passer de la sensibilisation à la vigilance, vous devez également renforcer la formation contextuelle, lorsqu’un utilisateur commet une erreur susceptible d’aboutir à une violation. Cliquer sur un lien de phishing constitue par exemple une erreur grave aux conséquences potentiellement désastreuses. La formation au moment du clic permet d’éliminer les comportements dangereux, de renforcer les bonnes pratiques et de favoriser la vigilance.
Vos utilisateurs continuent de cliquer sur des mails de phishing ?