Cybersécurité : la sensibilisation, première solution de protection des données

Article paru le 4 octobre 2019 | Partager sur les réseaux sociaux

Classé dans : Cybersécurité Innovation RGPD

Un an après la mise en application du RGPD, la question de la cybersécurité prend toujours plus d’importance au sein des entreprises. Le Règlement Général sur la Protection des Données a fait prendre conscience à l’ensemble des acteurs des enjeux autour de l’imperméabilisation des systèmes d’information.

L’heure est à la recherche permanente des meilleures solutions pour faire face aux menaces et se mettre en conformité. Les cyberattaques sont ainsi classées quatrième menace à laquelle l’économie mondiale doit faire face en 2019, d’après le Global Risk Report du Forum Economique Mondial. Selon Cisco, 53% de celles-ci ont coûté plus de 400 000€ aux entreprises ciblées dans le monde en 2017.

L’humain, nouveau point d’attaque ?

La majorité des investissements en cybersécurité est concentrée sur les menaces externes. Pourtant, 80% des attaques réussies utilisent l’ingénierie sociale : 8 piratages sur 10 sont liés à une action incorrecte (volontaire ou non) de l’utilisateur. Le danger ne réside pas seulement au niveau des infrastructures, mais aussi dans les actions effectuées par tout un chacun.

Si la prise de conscience du danger des cyberattaques est actée, la sensibilisation n’est pas à la hauteur. Nombreux sont les éditeurs et les intégrateurs, rares sont les évangélistes. En amont de l’installation nécessaire d’outils de protection, il est essentiel de présenter à tous les individus les pratiques et les gestes inhérents à la cybersécurité. A ce titre, les acteurs du numérique, représentants de la transformation digitale des entreprises, se doivent de connaître et répandre ces bons réflexes.

Des attaques qui se perfectionnent

Lors d’une étude réalisée par Wombat Security, entreprise spécialisée en sensibilisation utilisateur, 76% des entreprises sondées ont confirmé avoir été touchées par une attaque de phishing en 2017. Globalement, les attaques basées sur l’ingénierie sociale sont en hausse, à l’instar des attaques de type BEC (Business Email Compromise, ou arnaque au président : infiltrer une société avec une adresse mail semblable à celle d’un dirigeant pour extorquer des fonds à des cibles préalablement identifiées) qui ont augmenté de 28% en 2018.

Si ces attaques restent moins fréquentes que celles basées sur le phishing, dont les détections ont flambé de 269% en 2018, elles sont plus sophistiquées et exigent une planification plus soignée de la part des cybercriminels, avec un gain moyen de 132 000 $ par attaque. Ces attaques ne contenant pas de malwares et n’étant pas détectées par les dispositifs de sécurité classiques, les entreprises doivent renforcer leur niveau de protection à l’aide de solutions intelligentes, capables d’analyser le style d’écriture humain pour mieux détecter les e-mails potentiellement frauduleux.

La détection de ces mails factices est donc très difficile, notamment en vertu du fait que les hackers sont capables de modifier certaines empreintes clé de leur mail afin de le faire passer sous les radars de nombreuses solutions de protection ou de filtrage. Il nous appartient donc en premier lieu de contrôler les mails reçus, en vérifiant simplement l’adresse de provenance. Si vous avez encore un doute, il vous est possible de contrôler l’URL reçue en la faisant analyser sur le site http://isitphishing.org spécialement conçu pour repérer toute tentative frauduleuse.

De nouveaux remèdes ?

A l’heure d’une bataille entre hackers et éditeurs s’appuyant de plus en plus sur l’intelligence artificielle, le collaborateur doit impérativement être conscient des menaces. La cybersécurité n’est pas qu’une affaire de spécialistes. L’exemple de Manzalab, start-up « créatrice d’expériences digitales », est ici évocateur. En alliant neurosciences et développement technologique, elle intervient sur différents domaines dans lesquels le point de vue humain est au cœur du sujet, par l’exploitation de la réalité augmentée ou de la réalité virtuelle notamment. La cybersécurité n’est qu’une des thématiques qu’elle propose, au travers de serious games de sensibilisation.

Autre acteur français, Olfeo est un expert de la sécurité web et du filtrage de contenus. Cependant, son approche est clairement pédagogique : les sites bloqués le sont selon des critères juridiques, culturels, politiques ou encore corporates. Dès qu’une page est bloquée, un message de blocage adapté et personnalisé s’affiche, afin de clarifier la raison du blocage et d’éduquer l’utilisateur sur la nature exacte de son erreur, et des risques liés. La sensibilisation est érigée au rang d’axe fondamental par Olfeo, dont le leitmotiv est résumé en deux mots : la « sécurité positive ».

Aborder la cybersécurité ne requiert pas d’être nécessairement identifié comme expert en la matière. Au contraire, c’est un sujet qui doit être à la portée de tous. Il est essentiel d’insister sur cet aspect pour que la prise de conscience soit réelle et accessible à l’ensemble des acteurs de l’entreprise, pas seulement la DSI, et renforcer la vigilance des collaborateurs dans leurs actions quotidiennes à leur poste.

Partagez cet article sur les réseaux sociaux