Pourquoi le risque humain est-il encore sous-estimé alors qu’il est impliqué dans 75 % des cyberattaques ? Entre précipitation, commodité et méconnaissance, les employés facilitent malgré eux l’accès aux systèmes sensibles. Il est temps d’armer les organisations en transformant chaque utilisateur en acteur de la cybersécurité.

L’industrie met en lumière le rôle crucial que jouent les individus dans la réussite des cyberattaques, les plaçant ainsi au centre d’une cyberdéfense efficace. Cette focalisation accrue sur le risque humain est une évolution positive. Cependant, une question demeure : pourquoi ce constat apparaît il si clairement, maintenant ?

Les chiffres sont sans équivoque : près de 75 % des violations de données impliquent un facteur humain. Et il ne faut pas chercher bien loin pour en comprendre les raisons. Dans son rapport « Leadership Vision: Security and Risk Management », Gartner indique que 67% des individus utilisent les mêmes mots de passe pour plusieurs comptes, 65% ouvrent des emails provenant de sources inconnues sur des appareils professionnels et 61% envoient des informations sensibles par email non chiffré. Pire encore, 93% reconnaissent que ces actions augmentent les risques pour l’entreprise.

L’étude State of the Phish 2024 révèle quant à elle que 75 % des salariés français jouent sciemment avec la sécurité de leur entreprise, avec des motivations variées : commodité (43 %), désir de gagner du temps (36 %) ou encore sentiment d’urgence (29 %).  Ces données prouvent que, dans le contexte actuel, la sécurité centrée sur l’humain n’est plus un choix stratégique, mais une nécessité.

La notion de risque humain est désormais largement comprise comme le risque que les collaborateurs font peser sur leur organisation. Le phishing est souvent la première chose qui vient à l’esprit, et à juste titre : Plus de deux organisations françaises sur trois ont subi au moins une attaque de phishing réussie en 2023 ! C’est depuis longtemps une technique privilégiée par les cybercriminels pour s’infiltrer dans les organisations. Mais bien qu’il reste populaire et efficace, le phishing est loin d’être le seul problème lié au facteur humain.

Les risques liés aux individus sont omniprésents : utilisation d’identifiants volés, abus de privilèges, logiciels malveillants, rançongiciels, compromission de la messagerie professionnelle et bien d’autres cybermenaces courantes.

Résoudre le facteur humain

Le terme « résoudre » est utilisé ici délibérément. Bien qu’omniprésent et potentiellement dévastateur, le problème du risque humain peut être résolu. Mais compte tenu de la prévalence du risque humain dans la plupart des cybermenaces, son atténuation et sa défense nécessitent un ensemble large et diversifié de capacités.

L’email restant le principal point d’entrée dans les organisations, toute défense efficace doit inclure le blocage des messages malveillants et le désarmement de ces attaques, ainsi qu’une protection contre l’usurpation d’identité afin d’analyser le contenu des emails et les données des fournisseurs. Environ un tiers des utilisateurs envoyant des emails mal acheminés, toute solution devrait également permettre de signaler et de bloquer ces incidents.

L’escalade des privilèges faisant désormais partie intégrante des rançongiciels et de la plupart des attaques avancées, toute défense efficace doit également inclure une composante de protection contre les menaces liées à l’identité, afin de détecter et stopper les mouvements latéraux. En outre avec des dispositifs de formation adaptés, les organisations peuvent transformer leurs employés en véritables atouts de sécurité.

Comme le souligne Gartner, adopter une stratégie de cybersécurité centrée sur l’humain n’est plus une simple recommandation, mais une étape essentielle pour maintenir l’intégrité de l’organisation face à un environnement de plus en plus menacé.
____________________________

Par Xavier Daspre, Directeur Technique France chez Proofpoint

À lire également :

L’erreur 404 est humaine …

Pour assurer la sécurité dans le cloud, les entreprises doivent miser tant sur l’humain que sur les outils

Pourquoi l’humain ne peut pas être le maillon faible de la cybersécurité

Anne Vendange (In_Cognita) : «La crise cyber, avant tout une crise humaine!»

Des solutions concrètes, pour éviter que l’humain soit le maillon faible des cyber attaques