Sensibilisation à la cybersécurité : l’affaire de tous

Télétravail, e-commerce, déclarations en ligne, e-consultations, etc. : avec ces nouvelles pratiques et l’utilisation accrue de l’outil informatique, l’exposition de tous aux risques cyber a augmenté. À la maison comme au travail, et ce, à une vitesse phénoménale. On estime ainsi que le nombre de ransomwares (rançongiciels) a été multiplié par quatre lors des deux dernières années… 
Une raison de paniquer ? Pas nécessairement, nous sommes de plus en plus nombreux à tenter d’aller chercher de l’information par nous-mêmes… À défaut d’être accompagnés par notre employeur, nos managers ou nos collègues. D’où toute l’importance de la sensibilisation.

1. Cybersécurité : de quoi parle-t-on ?

Hacking, phishing, ransomware, cheval de Troie, …etc : nous avons tous entendu, un jour ou l’autre, l’un de ces termes, quand nous ne les utilisons pas régulièrement, au détour d’une conversation entre collègues ou d’une réunion familiale. Pourtant, combien d’entre nous seraient capables d’en donner une définition ? Quant à la cybersécurité, qui peut dire ce qu’elle recouvre vraiment ? Appelée également “sécurité informatique” ou “sécurité des systèmes d’information”, la “cybersécurité” aspire à protéger les données et les ressources informatiques contre toute attaque de pirates informatiques. Pour y parvenir, particuliers et entreprises s’équipent de pare-feu (firewall), de filtrage DNS (systèmes de noms de domaine) et/ou de solutions de protection contre les logiciels malveillants. 

Pour parvenir à leurs fins, les pirates visent différentes cibles : 

• ordinateurs personnels ou professionnels
• serveurs isolés ou en réseau, reliés ou non à Internet
• équipements périphériques comme, par exemple, une imprimante
• appareils communicants comme nos smartphones et autres tablettes

Plus généralement, la cybercriminalité englobe toutes les actions illicites qui visent l’intégrité d’un site informatique ou qui sont menées à l’aide d’un outil informatique. Soit le médium informatique est utilisé comme outil d’un délit ou d’un crime conventionnel (menace, escroquerie, etc.), soit l’ordinateur est la cible-même du criminel (vol, destruction de données, etc.). Pour limiter les risques, entreprises et particuliers ont pris l’habitude de se doter d’antivirus ou de sécuriser leur messagerie électronique. Indispensables, ces dispositifs ne suffisent pas néanmoins à pallier notre manque de prudence ou notre tendance à contourner les règles de sécurité… En effet, si l’on en croit le rapport DBIR 2022 de l’entreprise américaine de télécommunication Verizon, 82% des compromissions impliqueraient le facteur humain. Surprenant ? Pas vraiment quand on sait combien nous interagissons en permanence avec les dispositifs numériques ciblés par les pirates, que ce soit :

• en naviguant sur Internet ou les réseaux sociaux ;
• en cliquant sur un lien contenu dans un email suspect ; 
• en saisissant des informations personnelles sur un site web ;
• en téléchargeant un fichier ou une application ; 
• en acceptant une bannière de cookies ou un contrat de confidentialité sans prendre la peine de la lire ;
• ou en utilisant son ordinateur professionnel à des fins personnelles.

 “82 % des violations de données impliqueraient un facteur humain.”

2. D’où viennent les attaques ?

En constatant la multiplicité des portes dérobées et leur extrême “banalité”, on comprend dès lors pourquoi, en 2022, 90 % des équipements compromis étaient des caméras, des objets connectés ou des équipements réseau. L’enjeu ? Prendre conscience des conséquences de nos négligences quotidiennes. Une urgence bien saisie par les organisations. En 2020, 95 % d’entre elles déclaraient avoir mis en place des campagnes de sensibilisation en interne, selon le rapport the State of the Phish, seules 30 % le faisaient de manière régulière et sur l’ensemble de leur population. Pourtant, ce n’est qu’en sensibilisant les équipes aux modes opératoires des cybercriminels que celles-ci deviendront plus vigilantes, et donc moins enclines à se faire piéger. Ne dit-on pas, en effet, qu’une personne avertie en vaut deux ? 

Parmi les principales attaques auxquelles les entreprises doivent faire face, on distingue notamment :

• l’attaque “Man In The Middle” (de l’homme du milieu) qui consiste à intercepter, via l’installation d’un système malveillant au sein du système informatique, les échanges entre deux personnes dans le but de lire, d’écouter, de voler voire de falsifier leurs communications ;
• l’attaque par déni de service qui vise à surcharger le serveur ou le réseau informatique d’une société pour le mettre hors d’usage ;
• l’hameçonnage, plus connu sous son nom anglais de phishing, qui tente de subtiliser des informations personnelles ou confidentielles comme des coordonnées bancaires ou des codes d’accès en se faisant passer pour un système d’authentification légitime ;
• l’ingénierie sociale qui s’appuie sur les faiblesses humaines pour inciter les salariés à enfreindre les procédures de sécurité informatique ;
• le ransomware qui empêche l’utilisateur d’accéder à ses données tant qu’une rançon n’a pas été payée ;
• et, plus classique, le vol de mot de passe grâce à des logiciels destinés à tenter un maximum de combinaisons pour trouver la bonne (attaque par Bruteforce).

En 2021, les recherches d’assistance des particuliers sur la plateforme cybermalveillance.gouv.fr se sont portées sur l’hameçonnage (31 %), le piratage de compte (19 %) et le faux support technique (13 %). Quant aux professionnels ? Ils ont été principalement préoccupés par les ransomware dont 54 % des attaques provenaient, déjà en 2020, du spam/phishing (Statista). Des chiffres inquiétants qui concernent autant les grands groupes que les collectivités et les administrations. Mais qui n’épargnent ni les associations ni les TPE-PME. En 2020, 28 % des fuites de données impliquaient ainsi une petite entreprise (Verizon)…

3. Minimiser le risque humain

Ces chiffres ne doivent pas pour autant nous effrayer, voire nous paralyser. Au contraire, ils doivent nous encourager à agir. Comment ? En adoptant d’ores et déjà une bonne hygiène informatique au travail, mais aussi à la maison. Employer des mots de passe robustes, maintenir leur confidentialité et les mettre à jour régulièrement, ne pas diffuser d’informations personnelles sur les réseaux sociaux, faire preuve de prudence en ouvrant des courriels, etc. : autant de règles élémentaires connues de tous, qu’il convient pourtant de rappeler. Car traquer ses mauvaises pratiques et celles de son entourage, c’est aussi faire partie de la solution.

Premier axe d’action ? Prendre soin de son hygiène informatique

Si elles nous protègent des risques cyber, les bonnes pratiques participent aussi de la sécurité collective des entreprises et des organisations. Raison de plus pour celles-ci d’assortir les solutions techniques et technologiques de cyberdéfense d’actions de formation et de sensibilisation. Ces dernières ne sauraient cependant se limiter à des campagnes de communication ponctuelles ou à des présentations powerpoint assommantes. L’objectif ? Apporter aux équipes le savoir et les compétences nécessaires pour leur permettre d’identifier les attaques et se prémunir contre elles. Pourquoi, dès lors, ne pas exposer les équipes aux techniques utilisées par les hackers ? Pour sensibiliser efficacement, il s’agit de faire preuve de pédagogie, d’associer à chaque action des collaborateurs les réponses à la disposition des pirates. Ce n’est qu’ensuite que les organisations pourront prévoir des tests d’hameçonnage ou tout autre exercice pratique pour stimuler et évaluer en permanence l’assimilation des connaissances. Des tests en conditions réelles qu’il s’agira d’espacer dans le temps pour s’assurer de leur efficacité… et maintenir la performance de l’entreprise.

Top 5 des raisons de sensibiliser ses équipes à la cybercriminalité :

1)    Cultiver une culture de la sécurité de l’information

2)    Transformer les collaborateurs en acteurs de la solution

3)    Renforcer la confiance des clients et des partenaires

4)    Améliorer l’image de l’entreprise

5)    Se différencier de la concurrence

Car, si la cybercriminalité est susceptible de mettre en péril la survie des organisations, cultiver d’une culture de la sécurité de l’information peut se transformer en véritable opportunité. La cyber-sensibilisation constitue, en effet, un formidable levier d’empowerment. En donnant aux collaborateurs les moyens et les outils de se protéger contre les risques cyber, elle les responsabilise et les place au cœur du système de défense de l’organisation, faisant d’eux des acteurs à part entière de la solution et non plus la source de problèmes récurrents. Autre atout d’une telle maturité numérique ? Renforcer la confiance des clients et partenaires tout en se différenciant de ses concurrents. Preuve s’il en fallait encore une que les démarches de cybersensibilisation doivent être considérées non plus comme une contrainte mais comme l’affaire de tous.

En résumé :