Secu

SPECIAL FIC : 6 actions pour résister aux cybermenaces de 2030

Par La rédaction, publié le 28 mars 2023

Former les utilisateurs pour forger une première ligne de défense

Bien formés, les utilisateurs peuvent devenir un maillon fort de la sécurité, capable de détecter des comportements anormaux et d’alerter le RSSI en cas de doute, ou suite à une manipulation ayant pu avoir un impact sur le bon fonctionnement du SI.

Neuf fois sur dix, les attaques passent par le vecteur du courrier électronique, avec la complicité involontaire d’un acteur, souvent un collaborateur cliquant sur un lien présent dans un e-mail. Parmi d’autres, Mailinblack propose un service permettant de lancer de fausses campagnes de phishing et de diffusion de malwares : l’utilisateur est invité à transmettre une information, cliquer sur un lien, récupérer une pièce jointe, etc. S’il tombe dans le piège, il est redirigé sur une page de sensibilisation qui lui expliquera comment repérer à l’avenir ce type d’attaque. La société entraîne actuellement 200 000 personnes avec cet outil. « Rapidement, nous nous sommes retrouvés avec une masse de données que nous avons souhaité analyser avec l’aide d’un spécialiste en sciences cognitives, Bruno Teboul, afin d’en comprendre les mécanismes », explique Cassie Leroux, directrice produit chez Mailinblack.

Un entraînement régulier pour diminuer le risque

Quatre principaux traits poussent les utilisateurs à tomber dans les pièges des pirates : le stress, la curiosité, l’appât du gain et l’altruisme. Avec un ressort commun : le sentiment d’urgence ou d’opportunité, mis à profit par les attaquants pour favoriser un clic compulsif, non réfléchi. Les résultats de cette étude ont permis d’adapter les campagnes de Mailinblack, afin de cibler les profils et comportements à risques. « Lors d’une première opération, environ 25 % des collaborateurs d’une entreprise tombent dans le piège que nous leur tendons. Ce taux est divisé par deux après six campagnes. » Notons au passage que ce taux de 25 % concerne toutes les catégories de salariés, les digital natives comme les plus anciens. Un entraînement régulier peut réduire ce taux, mais les entreprises sont souvent réticentes à l’idée de mener des campagnes de test plus fréquentes. « Elles craignent de générer un sentiment de surveillance permanente, alors qu’il s’agit d’une opportunité de maintenir ses réflexes en éveil, tout en se tenant au courant des derniers scénarios d’attaques. Le bon rythme serait d’une campagne toutes les trois semaines. » « Toutes les entreprises devraient avoir un programme de formation aux risques numériques portant sur le courrier électronique, mais aussi sur la navigation internet et l’utilisation de médias amovibles comme les clés USB, poursuit Cassie Leroux. Faire monter un collaborateur en compétences sur la cybersécurité, c’est lui donner une chance d’être un rempart contre les attaques qui menacent son entreprise, et donc son emploi. » Et de se prémunir, ainsi que ses proches, dans l’univers non-professionnel : un ressort qui pourrait faciliter leur engagement.

Favoriser la libération de la parole

Reste que le risque zéro n’existe pas. « Un seul mail et un seul clic peuvent mener à la réussite d’une cyberattaque », résume Cassie Leroux. Les campagnes de sensibilisation sont-elles donc inutiles ? « Non, car elles participent à réduire le risque, mais aussi à libérer la parole des utilisateurs. » Et c’est peut-être là le point le plus important. Mieux informés, les utilisateurs sont plus aptes à détecter une attaque. Et si, par malheur, ils cliquent sur un lien malveillant, l’expertise acquise leur permettra de comprendre leur erreur et d’avoir les bons réflexes, dont celui de faire remonter l’information pour permettre une levée de doute par leur DSI ou RSSI. Ceux-ci devront inciter à cette remontée d’information en adoptant une attitude bienveillante et indulgente vis-à-vis des collaborateurs de l’entreprise. DAVID FEUGEY