Les cybercriminels n’ont de cesse de se réinventer en développant de nouvelles tactiques pour cibler différentes organisations, les récentes cyberattaques d’hôpitaux français l’ont démontré. Quels que soient les moyens administrés, la compromission d’e-mails professionnels (BEC), les attaques de type phishing ou les ransomware, les attaquants privilégient l’humain aux infrastructures et gardent dans leur ligne de mire les collaborateurs en entreprise.
En plus de constituer une surface d’attaque importante, les collaborateurs sont également considérés comme plus vulnérables et donc plus faillibles que les outils et technologies automatisés. Et en raison de nombreuses cyberattaques centrées sur les personnes, une majorité de DSI et RSSI ont pris conscience de cette réalité. En outre, un RSSI sur deux pense que l’erreur humaine et le manque de sensibilisation à la sécurité sont les principaux facteurs de risques auxquels leurs organisations sont confrontées.
Mais si la plupart des RSSI ont connaissance des risques et des conséquences, beaucoup d’entre eux peinent à se faire entendre pour protéger l’intégralité de leurs entreprises. Les DSI et RSSI avertis œuvrent afin de pâlier à des stratégies cyberdéfense inefficaces, lutter contre le manque d’intérêt de la part des conseils d’administration, et résoudre le faible niveau de sensibilisation de l’ensemble des collaborateurs à la cybersécurité. Alors quels sont les outils et démarches à mettre en place afin de mener à bien leur mission pour sécurité efficace ?
Connaître la fréquence de la menace
Concevoir une stratégie qui viserait à se protéger des cyberattaques centrées sur l’humain est non seulement crucial, mais cela nécessite également des réflexions pouvant aboutir à l’implémentation de nouvelles approches. Pour élaborer et déployer une stratégie cyberdéfense qui aille dans ce sens, il est tout d’abord important de comprendre le type et la fréquence des attaques auxquelles sont confrontées les entreprises.
Une récente étude menée auprès de 150 RSSI français, affiche que 91% des entreprises françaises ont été victimes d’au moins une cyberattaque et que 65 % en ont subi plusieurs au cours des 12 derniers mois de 2020. Les attaques centrées sur les personnes figurent en effet en tête de liste. 45% des DSI et RSSI français pensent que les attaques par usurpation d’identité deviendront l’une des principales méthodes employées par les cybercriminels au cours des 12 prochains mois, suivi de près par la compromission de comptes clouds (43%)
Si toutefois la fréquence de ces attaques ne demeure pas trop alarmante, leur taux de réussite devrait en revanche susciter de graves inquiétudes. Les attaques de type BEC ont généré plus de 1,7 milliards de dollars de pertes l’année dernière, et 55 % des entreprises ont subi au moins une attaque de phishing réussie. Ces statistiques démontrent à quel point les conséquences peuvent être lourdes pour les entreprises, allant de la perte de revenus et de l’atteinte à la réputation aux baisses d’activité, aux frais juridiques, aux indemnisations et aux mesures correctives.
Dès lors que les entreprises auront connaissance du type, de la fréquence et des conséquences des attaques courantes, elles seront enfin en mesure d’armer le personnel en première ligne et ainsi assurer une défense efficace. Malheureusement, cette stratégie demeure encore jusqu’à présent très peu répandue.
Convaincre le Comex d’investir dans la cybersécurité
Cantonner la sensibilisation en matière de cybersécurité au conseil d’administration ne suffit pas. Pour qu’elle soit efficace, la stratégie de cyberdéfense centrée sur les personnes doit concerner l’ensemble des collaborateurs de l’entreprise. Quel que soit le niveau ou la fonction des employés, il est important de souligner que n’importe quel employé peut exposer son entreprise à de nombreux risques. L’hygiène des mots de passe est l’une des principales raisons qui rendent l’entreprise vulnérable face à des cyberattaques. En effet, dans 25 % des cas c’est en raison d’une mauvaise gestion des informations sensibles et dans 24 % des cas, en raison d’attaques de phishing.
Il est regrettable de voir qu’il y a encore aujourd’hui entre un fort décalage entre la prise de conscience du problème et la capacité à trouver une solution durable. Faudrait-il y voir un manque d’adhésion de la part du conseil d’administration ? C’est bien d’ailleurs ce que 31 % des RSSI affirment, considérant le manque d’implication des conseils d’administration comme un obstacle majeur à la mise en œuvre de mesures de sécurité efficaces. Qu’elle soit due à un manque de sensibilisation, de préoccupation ou de compréhension, il est grand temps de faire changer les mentalités.
Lorsque les collaborateurs sont attaqués, ils deviennent la première ligne de défense il est donc crucial de s’assurer au préalable qu’ils sont dotés des outils et des connaissances ad hoc pour incarner cette ligne de défense. Cela implique donc qu’il faille les sensibiliser aux attaques les plus courantes et, surtout, leur inculquer une compréhension aiguë du rôle de l’utilisateur final.
Sensibiliser et former, les clefs d’une défense réussie
Les entreprises doivent veiller à ce que leurs employés soient suffisamment formés en matière de cybersécurité afin qu’ils puissent se défendre efficacement contre tous types de menaces.
Pourtant, à l’heure où 77% des entreprises françaises exigent ou demandent à la plupart de leurs collaborateurs de travailler depuis leur domicile, seulement 17% d’entre elles forment leurs employés forment leurs collaborateurs plus de trois fois par an. C’est mettant en œuvre un programme de formation continue que les entreprises pourront faire face aux menaces émergentes. Preuve à l’appui, lors d’une récente étude sur l’attaque de phishing 80% des entreprises interrogées ont indiqué que la formation et la sensibilisation à la sécurité a réduit leur vulnérabilité aux attaques de phishing.
L’une des meilleures façons d’atteindre cet objectif stratégique est de passer par des programmes de formation et de sensibilisation à l’échelle globale de l’entreprise. La formation doit être continue, complète et doit s’adapter aux dernières menaces émergentes. Une défense efficace doit rester continue.
En plus de couvrir le BA-ba de la cybersécurité tels que l’hygiène des mots de passe ou la détection du phishing, la formation doit mettre en évidence le lien avéré entre les comportements dangereux des utilisateurs et les conséquences parfois dramatiques pour l’entreprise.