Le facteur humain, le maillon fort de la cybersécurité

Les vulnérabilités humaines sont la principale porte d’entrée pour les pirates informatiques. Du point de vue d’un attaquant, la manne d’informations présentes sur le web et le darkweb est une véritable mine d'or pour en apprendre davantage sur leurs cibles. Pourtant, l'humain peut inverser cette dynamique : en adoptant de bonnes pratiques et en réduisant son empreinte numérique, chacun peut devenir un acteur clé de sa propre protection, rendant ainsi la tâche des pirates bien plus ardue.

Selon le baromètre annuel CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) – Opinionway, 49% des entreprises françaises reconnaissent avoir subi en 2023 au moins une cyberattaque avec un impact significatif. Or dans 90 % des cas (France Num), ces attaques impliquent le facteur humain, lequel constitue le principal terreau des attaques par ingénierie sociale (phishing, usurpation d’identité, compromission de compte, etc…). Il est donc indispensable de disposer de solutions spécifiques pour limiter le risque cyber humain et mettre les organisations à l’abri d’attaques cyber toujours plus sournoises et dévastatrices.

Cybersécurité : qu’est-ce que le “risque cyber humain” ?

Le risque cyber humain désigne l’ensemble des comportements ou erreurs des utilisateurs susceptibles de porter atteinte à la sécurité informatique d’une entreprise. Ce risque peut survenir intentionnellement ou accidentellement.

Typologie des comportements à risque

Le plus souvent, les comportements à risque sont involontaires : le collaborateur est abusé et tombe malgré lui dans le piège tendu par les hackers. C’est le cas notamment des attaques par ingénierie sociale : phishing, usurpation d’identité, etc. Dans le cas d’une attaque par phishing par exemple, entre le moment où le mail est ouvert et celui où on clique sur le lien frauduleux, 60 secondes sont nécessaires en moyenne pour mordre à l’hameçon envoyé par les cybercriminels. Or dans 80 % des cas, les attaques par phishing ne sont pas signalées par les collaborateurs. À cela s’ajoute le risque accru induit par la montée en puissance des deepfakes et l’augmentation considérable des techniques de manipulation qui l’accompagne.

Il arrive aussi que le risque humain soit plus ou moins volontaire. Plusieurs comportements sont liés en effet à un manque de vigilance de la part des utilisateurs :

• Le collaborateur ne respecte pas suffisamment les règles de sécurité mises en place par l’entreprise.
• Le matériel informatique mis à disposition par l’employeur est également utilisé pour un usage personnel (et vice-versa).
• Les mots de passe ne sont pas assez robustes et reproduits à l’identique sur plusieurs comptes.
• Des informations susceptibles d’être utilisées par les pirates sont diffusées publiquement sur les réseaux sociaux (informations personnelles, photos, liste d’amis/famille, etc.).

Augmentation du risque cyber humain

De manière générale, le risque cyber humain tend à augmenter sous l’effet de plusieurs facteurs. 

• Augmentation de la masse de données personnelles susceptibles d’être utilisées par des pirates liés à l’usage massif et de plus en plus répandu des réseaux sociaux.
• Perfectionnement des techniques d’OSINT (Open Source intelligence) utilisées par les attaquants.
• Essor du télétravail et de la confusion pro/perso du matériel informatique.
• Montée en puissance des technologies Deepfake.
• Attaques massives d’organismes publics ou privés dans le but de récolter les données personnelles des utilisateurs dans la perspective de campagnes de phishing ciblé.

Les attaques par ingénierie sociale

Dans leur ensemble, les attaques par ingénierie sociale reposent sur le facteur humain. Voilà précisément ce qui les rend particulièrement sournoises et efficaces. L’objectif est d’abuser de l’utilisateur, ou de contourner sa vigilance, pour voler par exemple des données stratégiques de l’entreprise, détourner des fonds ou générer des attaques par ingénierie sociale. 

Les différents types d’attaque par ingénierie sociale

Les attaques par ingénierie sociale reposent sur l’usage abusif des données personnelles de vos collaborateurs récoltées par les pirates. Grâce aux technologies OSINT et les nombreuses fuites de données sur le darkweb, il suffit souvent aux pirates d’une adresse mail (pro ou perso) pour remonter la piste d’un individu. 70 % des données volées dans le monde sont personnelles. Elles permettent ensuite de générer des attaques selon les modalités suivantes :

• Le phishing
  L’attaquant falsifie un mail pour faire croire à son destinataire qu’il est envoyé par une source de confiance. L’objectif est d’inciter le destinataire à ouvrir une pièce-jointe corrompue ou à livrer des informations (données bancaires, nom de contact, etc.) via un formulaire. Mode opératoire privilégié des pirates, le phishing a affecté 60% des entreprises françaises en 2023.
  
  
• Le spear-phishing
  C’est une version ciblée du phishing. L’attaquant personnalise son message pour une victime spécifique à partir des informations trouvées sur le web ou darkweb.
  
  
• Le smishing/vishing
  Ces attaques sont des dérivées du phishing. Le smishing utilise un canal différent : il s’agit du sms. Le vishing est un phishing vocal : lors d’un appel, l’attaquant se fait passer pour un technicien, un agent de support ou autre.
  
  
• L’usurpation d’identité
  L’usurpation d’identité est le pendant du phishing. Un pirate peut compromettre une boite mail et adresser des mails à la place de l’expéditeur et se faire passer pour lui. Il devient alors très difficile pour le destinataire de ne pas se faire abuser. D’autres arnaques, toujours plus perfectionnées, font appel aux technologies deepfake, audio et vidéo. Parmi elles, l’arnaque au président est particulièrement insidieuse. Le cybercriminel profite par exemple d’une visioconférence ou d’une conversation téléphonique pour se faire passer pour un cadre dirigeant d’une entreprise et demander à ses collaborateurs d’effectuer des virements frauduleux.
  
  
• Le chantage à la donnée
  Les cybercriminels peuvent tirer parti d’informations compromettantes ou menacer de diffuser de fausses informations susceptibles de nuire à la réputation d’une entreprise, de ses dirigeants ou d’un collaborateur pour exercer toute forme de chantage. L’objectif est de recueillir des informations sensibles ou d'infiltrer le réseau de l'entreprise. Ce mode opératoire a été utilisé avec succès contre 10% des entreprises ayant subi une cyberattaque réussie.

Les techniques courantes utilisées dans l’ingénierie sociale

• Urgence : Forcer la victime à agir rapidement sans réfléchir, comme prétendre qu'une opportunité ou une menace est imminente.
• Autorité : Utiliser une fausse identité d'autorité (dirigeant, police, service client) pour rendre la demande plus crédible.
• Empathie : Susciter de la compassion en se faisant passer pour une personne en détresse ou un collègue dans le besoin.
• Curiosité : Exploiter la curiosité naturelle avec des messages intrigants ou mystérieux.
• Flatterie : Utiliser des compliments ou un langage engageant pour réduire la méfiance.

Les mesures de protection indispensables pour diminuer le risque cyber humain

La formation des collaborateurs

La formation des collaborateurs est un élément primordial du dispositif de prévention que doivent mettre en place les organisations pour se préserver de la cybermenace et limiter les risques de piratage. Lorsqu’on est bien informé et conscient du risque, on devient naturellement plus vigilant.

Pour autant, les attaquants demeurent déterminés et particulièrement agiles. Leurs modes opératoires évoluent avec la technologie et de nouvelles modalités d’attaque apparaissent en permanence. Il est donc essentiel d’inscrire vos équipes dans une logique de veille continue, de manière à les inciter à ne jamais relâcher leur vigilance. Faites de vos collaborateurs des maillons forts pour qu’ils deviennent des cibles plus complexes à atteindre. En se protégeant eux-mêmes, ils assurent également la sécurité de leur entreprise. « Un homme averti en vaut deux » dit l’adage populaire : cette mesure de bon sens est particulièrement vraie dans le domaine de la cybersécurité. 

La détection en amont de la menace liée à l’empreinte numérique

L’activité en ligne de chacun d’entre nous laisse des traces. C’est ce qu’on appelle l’empreinte numérique. Pour un pirate, cette empreinte numérique est appréhendée comme la surface d’attaque humaine propre à chacune de ses cibles. Autrement dit, il va tirer parti des données personnelles disponibles en ligne pour fomenter des attaques centrées sur les individus. Pour se prémunir contre ce risque, il est indispensable de se doter d’outils capables de détecter l’ensemble des informations à risque (mots de passe, adresses email, numéros de téléphone, photos, etc.) susceptibles d’être mises à profit par un attaquant potentiel.

La prévention des comportements à risque

Il existe aussi des comportements à risque qu’il est important de détecter et de modifier. C’est le cas notamment du Shadow IT, cette pratique qui consiste à installer des applications non-autorisées sur les appareils de l’entreprise. Malgré toutes les précautions prises, le Shadow IT reste à l’origine de 35% des incidents de sécurité informatique.

De manière générale, il est important de ne pas sous-estimer la menace interne, volontaire ou involontaire. Certes, il arrive que des collaborateurs malhonnêtes ou en conflit avec leurs employeurs mènent des actes malveillants. Heureusement, ces cas restent isolés. Dans la majorité des cas, la menace interne repose essentiellement sur un manque de connaissance qui reprend l’ensemble des risques humains évoqués.

Maîtriser le risque cyber humain avec ANOZR WAY 

Chez ANOZR WAY, nous considérons le facteur humain comme le maillon fort de votre organisation en donnant à chaque collaborateur le pouvoir de maîtriser son empreinte numérique et la réduire. Par ricochet, cela contribue ainsi à diminuer la surface d'attaque humaine de votre organisation.

La suite logicielle complète permet de :

• Protéger les cadres stratégiques grâce à des mesures de protection sur mesure.
• Améliorer la sensibilisation des collaborateurs grâce à des programmes de sensibilisation personnalisés et contextualisés.
• Gérer et réduire les risques cyber humains grâce à des actions de remédiation
• Évaluer et prévenir efficacement les risques humains émanant de tiers.