L’humain face aux attaques cyber, maillon fort ou maillon faible ?

Est-il possible de se protéger contre l’inconnu ?

L’interface chaise-clavier : très souvent employée dans de nombreux domaines, cette expression pointe du doigt directement l’humain qui est souvent mis à défaut lors de problématiques variées, notamment d’attaques malveillantes réussies.

Mais faut-il pour autant blâmer l’humain ? D’après Statista, le marché de la cybersécurité, aujourd’hui valorisé autour de 230 Milliards $, devrait atteindre 345 Milliards $ d‘ici 2026, soit une progression de 50% en 4 ans. Cette hausse des investissements devrait notamment être celle des PME qui sont la cible de 77% des cyberattaques, selon le Syntec Numérique.

Les entreprises ont donc d’ores et déjà majoritairement investi dans des boucliers et protections technologiques, rendant difficile la tâche des hackers qui doivent s’orienter vers de nouvelles faiblesses : l’humain.

A quelles menaces doit faire face l’humain hyper connecté d’aujourd’hui ?

Les attaques auxquelles sont soumises l’humain sont majoritairement liées à l’Ingénierie Sociale. Aujourd’hui fortement associé à une attaque cyber, la définition du social engineering est avant tout une approche de la psychologie de persuasion.

Cherchant à gagner la confiance d’une future victime, l’attaquant va chercher à se faire passer pour une personne inspirant une certaine autorité et sécurité. Une fois cette confiance établie, il ne reste plus qu’à exiger de la part de la victime, la réalisation d’une série d’actions au bénéfice de la personne mal intentionnée.
La dangerosité de ces attaques vient notamment de la facilité d’entrer dans le système d’une entreprise : une seule victime peut mettre à mal toute une entreprise. Et également de la professionnalisation des attaques sur tous les plans : fini les fautes de forme, les fautes de fond, les attaques sont de plus en plus compliquées à déceler, même pour un public averti. 

Pour assurer une protection de base, il faut à minima avoir conscience et connaissance des façons de faire et des failles exploitées par les hackers :

• Phishing : la plus connue des attaques, et pourtant la plus dévastatrice et répandue aujourd’hui. Qui n’a jamais été invité à cliquer sur un lien pour y renseigner ses coordonnées bancaires, ou voir s’il avait gagné le dernier smartphone du moment ? Derrière ces emails très bien faits se cachent des malwares, des logiciels intrusifs pour récupérer et dévoiler des informations sensibles, des logiciels demandeurs de rançons ou entraînant l’arrêt total d’un système.
• Attaque par point d'eau : n’est-il pas plus efficace de contaminer le point d’eau où chaque individu vient s’abreuver plutôt que chacune des personnes individuellement ? C’est dans cette optique que ces attaques ciblées, cherchant à compromettre des sites Web, sont nées. En deux temps, les hackers trouvent un moyen de rediriger les utilisateurs vers des sites corrompus, eux-mêmes infectés de programmes malveillants.
• Compromission d’emails professionnels : l’attaquant se fait passer pour le responsable hiérarchique de la victime/du destinataire, afin de l’amener à exécuter un ensemble d’actions dans un but illégitime.
• Clé USB perdue : profitant de la curiosité de certains, les hackers n’hésitent pas à laisser traîner des clés USB remplies de logiciels malveillants qui n’attendent qu’à être connectées à un ordinateur d’entreprise pour infecter le réseau ou ouvrir des portes d’accès depuis l'extérieur.
• Social Engineering physique : moins accessible avec le développement du télétravail notamment, certains postes (comme les réceptionnistes, voyageurs fréquents) restent tout de même très exposés à ce type d’attaques. Par exemple : le maintien de porte à une personne portant un café dans chaque main, ou lorsque cette dernière s’insère au sein d’un groupe de personne pour passer les contrôles sans présenter le moindre document d’identité, ou encore de jouer l’empathie pour se voir attribuer un badge d’accès sans justification d'identité.
   

Faut-il être naïf pour être une victime ? La réponse est non.
Les attaques exploitent des catalyseurs qui rendent moins efficaces à déceler les actions malveillantes : environnement professionnel stressant (échéances, pression hiérarchique), crises parasites (covid, guerres, etc.). De plus, +50% des employés évaluent mal la criticité de leur travail les conduisant à ne pas respecter les règles établies et à avoir de pas avoir conscience des impacts. 
Enfin, les attaques se concentrent sur la vitesse d'exécution pour laisser peu de place à la réflexion de la part des victimes. Justifiant ainsi l’importance de développer des automatismes qui se créent à travers une préparation complète.

Faire de l’humain la première ligne de défense

Si l’utilisateur que nous côtoyons au quotidien ne fait pas l’action de cliquer sur le lien qu’il vient de recevoir par email, ou d’ouvrir la porte à la personne qui le précède, alors le risque diminue drastiquement comme nous venons de le voir. L’humain est donc bien le premier rempart à toute forme d’attaque cyber.

L’objectif de toute entreprise est de faire de ses collaborateurs des personnes prêtes à faire face à ces actes de malveillance. Et cela passe par de la sensibilisation et de la formation. Aujourd’hui 39% des PME n’ont pas encore de programme de sensibilisation (source : IFOP 2021). Pourtant un employé de PME a 350% plus de risques de subir des attaques d’ingénierie sociale qu’un employé de grand groupe.

La sensibilisation commence dans un premier temps par un mail envoyé à tous les collaborateurs, facile à faire, rapide à diffuser, et probablement sans vrai intérêt pour la personne qui le reçoit. Pourtant cela reste le canal le plus utilisé aujourd’hui, suivi de près par les campagnes de simulation de phishing, les réunions de sensibilisation, les articles sur l’intranet ou les affiches placardées dans les locaux. Néanmoins ces méthodes deviennent de moins en moins efficaces avec la concurrence qu’amènent les différents flux d’information qui assaillent aujourd’hui notre environnement hyper-connecté.

N’existent-ils donc pas des solutions plus efficaces venant tirer profit de la curiosité naturelle de toute personne ?

• L’escape game : le jeu et son côté ludique ont toujours été des clés de l’apprentissage. Il allie mise en pratique et esprit de compétition positif.
• Courtes et fréquentes vidéos : un format court sous format de mini-série permet à l'utilisateur d’être tenu en haleine sans la lassitude d’un mauvais épisode trop long.
• Quizz : qu’il soit réalisé en physique ou sur internet, le quizz apporte un apprentissage par le jeu et flatte l’égo de l’utilisateur ou l’équipe qui visera le podium.
• Démonstration : plus que des mots, une approche très concrète peut permettre de déclencher une prise de conscience des collaborateurs à la protection contre les risques cyber. Par exemple, réaliser une session live de hack des passwords des collaborateurs pour leur démontrer la faiblesse d’éléments qu’ils jugent bien souvent sécurisés.

Au-delà du fond, l’apprentissage à retenir ici est la variation de la forme, pour capter son attention et susciter de la curiosité, afin de limiter la lourdeur de l’information partagée.

En résumé, premier rempart et maillon fort lorsqu’il est prêt, l’humain est la clé pour contrer les menaces qui pèsent sur les entreprises aujourd’hui. C’est en le sensibilisant et en s’assurant de sa bonne compréhension des risques et des enjeux de l’entreprise que la cyber sécurité de votre entreprise sera au niveau pour lutter contre la malveillance environnante. Prêt ? Sensibilisez !