Cybersécurité : la formation continue des utilisateurs
La cyberattaque est en hausse de 255 % suite à la crise Covid-19. Ses conséquences dévastatrices font trembler les dirigeants d'entreprises, tout comme les municipalités et les établissements de santé, régulièrement ciblés par les hackers.
Je m'abonneEn ce mois européen de la cybersécurité, interrogeons-nous sur les mesures qui peuvent être mises en place pour réduire l'exposition de nos entreprises et de nos institutions aux cybermenaces. Si la technologie joue un rôle crucial, la sensibilisation des collaborateurs est tout aussi importante puisque ces derniers sont la cible prioritaire des pirates - et qu'ils peuvent subir un stress important en cas de cyberattaque réussie.
Des conséquences parfois irréversibles
Ransomware, phishing, fraude au président, les cyberattaques sont de plus en plus massives et sophistiquées. La menace la plus importante, celle des rançongiciels (logiciel malveillant poussant les victimes à payer une rançon en échange de la récupération de leurs données), touche particulièrement les dirigeants de TPE, PME et ETI, (40 % des rançongiciels traités ou rapportés à l'ANSSI en 2022), les collectivités territoriales (23 %) et les établissements publics de santé (10 %). Et l'approche des jeux olympiques ne va qu'amplifier les vagues de cyberattaques sur la France.
Les conséquences des cyberattaques sont multiples : arrêt de l'activité, perte de chiffre d'affaires, coûts liés à la résolution de l'intrusion, impact négatif sur la réputation, stress causé aux collaborateurs, pour citer les principales. Si les conséquences psychologiques sont difficiles à quantifier, les conséquences matérielles ont un prix : deux milliards d'euros (ce montant de pertes liées aux cyberattaques en France en 2022 est estimé par le cabinet de conseil Asterès). Si la technologie peut contrer une grande partie des attaques, elle est sans défense face à celles qui ciblent l'humain.
Lire aussi : Fanny Forgeau, de la sociologie à la cybersécurité
Le collaborateur : dans 95 % des cas, la cible de cyberattaquants
Nombre de cyberattaques parviennent à déjouer les pare-feux technologiques protégeant les systèmes d'information pour atterrir - trop souvent - dans les messageries électroniques. Aux commandes de ces messageries, les collaborateurs, qui représentent d'après un rapport d'IBM 95 % des failles en cybersécurité. Les cyberattaques, de plus en plus élaborées, font aujourd'hui appel à nos biais cognitifs. Trois facteurs ont été identifiés comme aggravant la vulnérabilité des collaborateurs : le stress, la baisse de vigilance, et la charge de travail trop élevée.
L'un ou plusieurs de ces facteurs peuvent conduire le collaborateur à un effet de "tunneling attentionnel". En d'autres mots, le collaborateur portera son attention visuelle sur une partie seulement des éléments qui s'affichent à l'écran et sera moins concentré sur d'autres indices qui pourraient indiquer une cyberattaque potentielle, tels qu'un logo défaillant ou une syntaxe médiocre. Contrarié par une deadline courte ou une réunion importante causant de l'anxiété, le manque d'attention du collaborateur et son manque de connaissances des risques cyber le feront tomber dans le piège. Dans sa chute, il pourra emmener toute une équipe - ou toute une organisation. L'erreur est humaine : les hackers ne le savent que trop bien.
La formation (continue) pour protéger ses collaborateurs
Un mythe dont il faut urgemment se défaire : les responsables des systèmes d'information ne peuvent pas à eux seuls assurer la sécurité d'une organisation. Selon une enquête réalisée en 2022 par le cabinet Trustpair, 73 % des employés d'équipes cyber ont démissionné pour cause de burn out. Une étude du cabinet Gartner, datant de mars 2022, indique que 50 % des responsables en cybersécurité dans le monde auront quitté leur poste d'ici à 2025 en raison d'un stress trop élevé.
Les menaces se complexifient, se répètent, et nécessitent une réactivité permanente. À cela s'ajoutent les difficultés de recrutements dans le secteur IT, augmentant la charge de travail des équipes cyber. Et pourtant, la cybersécurité est l'affaire de toutes et tous. Pour réduire la vulnérabilité de l'ensemble des collaborateurs, il est nécessaire de les sensibiliser puis de les former aux risques cyber et leurs conséquences.
Parce que les menaces sont en permanente évolution, les cours magistraux doivent être remplacés par une formation continue, expérientielle et régulière. Et parce qu'apprendre de ses erreurs est souvent efficace, les simulations d'attaques inopinées permettent de tester et d'améliorer les capacités d'apprentissage des collaborateurs, en les impliquant directement dans le cas concret et inattendu d'une cyberattaque.
La cybersécurité doit devenir la priorité des organisations, peu importe leur taille et leur secteur d'activité. Parce que les hackers auront toujours une longueur d'avance, la technologie, bien qu'incontournable, ne sera jamais sans faille. C'est la raison pour laquelle les collaborateurs doivent devenir le maillon fort de la cybersécurité des organisations.
Thomas Kerjean est le PDG de Mailinblack, acteur majeur de la cybersécurité en France et leader de la protection de messagerie.
Diplômé de masters de Sciences Po et de l'ESCP Business School, Thomas a fait ses armes chez Microsoft en France et à l'étranger.
Il y a occupé le poste de Directeur de la division Cloud et IA avant de prendre la direction de Mailinblack en 2019.