La culture de l’analyse de risque s’étend tout autant aux sujets les plus techniques qu’aux questions humaines.
Aujourd’hui, 80 % des cyberattaques exploitent les vulnérabilités humaines. Pour répondre à cet enjeu incontournable, la difficulté majeure des RSSI et leurs équipes est de quantifier et d’évaluer les risques cyber de leurs collaborateurs. Cet enjeu va au-delà du rôle de l’équipe SI/SSI, car le scoring de risque influence la gouvernance sécurité de l’entreprise au niveau exécutif.
Les méthodes de mesure souvent employées passent par les résultats aux tests de faux phishing, ou par les quiz de formations. Là où ces méthodes font défaut, c’est qu’elles évaluent un comportement, une montée en connaissance. Elles ne permettent pas une mesure du risque réel encouru par les dirigeants et collaborateurs, en prenant en compte le point de vue des attaquants. Surtout, elles ne permettent pas d’évaluer le risque humain avec tout son panel de menaces : phishing ciblé, usurpation d’ identité, compromission de comptes (ATO), contournement de l’authentification multi-facteur (MFA by passing), etc.
L’autre défi pour les équipes SSI pour gérer les risques cyber liés aux collaborateurs est la zone aveugle que représentent leurs usages personnels : réseaux sociaux, shadow IT, BYOD… Cette sphère personnelle échappe au périmètre de protection de l’entreprise, alors même qu’elle est le vecteur d’attaque privilégié par les hackers et amplificateur de risques. Il est ainsi nécessaire de pouvoir considérer un collaborateur dans son ensemble, en intégrant cette dimension personnelle dans l’évaluation des risques cyber humains et le déploiement des actions de remédiation.
Enfin, le diagnostic et l’évaluation des risques cyber humains ont l’avantage d’être un terrain de discussion plus concret et appréciable de la cybersécurité pour les dirigeants, un réel levier facilitateur pour les DSI-RSSI. Parler à ses VIP de leur propre protection en étant en capacité de mesurer leur niveau de risque réel est un moyen éprouvé de les impliquer, à la fois dans la remédiation de leur propre exposition et, plus largement, dans les sujets de gouvernance de la cybersécurité.
Généralement, une personne est définie comme à risque au sein de son organisation par son statut – membre de COMEX, CODIR –, par ses droits d’accès et ses mandats. Par ailleurs, même si les membres de COMEX, CODIR, doivent a priori être de facto tous protégés – selon notre dernière étude, 70 % des dirigeants et hauts cadres ont un niveau de risque cyber à haut risque –, il est fort utile de pouvoir se baser sur un niveau d’exposition cyber réel afin de prioriser le déploiement d’une protection.
Une façon d’évaluer la surface d’attaque humaine réelle de l’entreprise est de détecter et d’analyser l’ensemble des indicateurs de compromission humains (IoC-H ANOZR WAY) exposés sur le web, dont les réseaux sociaux, et fuités sur le darkweb. Nous avons défini environ 40 types de données professionnelles et personnelles (credentials, données d’identité, financières, de santé, centres d’intérêts, réseau de relations, etc.) à prendre en compte dans la gestion des risques cyber humains. Ces IoC-H correspondent aux données récoltées et exploitées par les hackers dans leurs scénarios d’attaques contre les dirigeants et collaborateurs. C’est ce qui alimente notre algorithme de scoring des cyber-risques humains.
Ce scoring évalue à la fois les risques cyber à l’échelle de l’entité, mais également à l’échelle individuelle, permettant d’identifier les dirigeants et collaborateurs les plus exposés dans les yeux de l’attaquant. Ce diagnostic de risque prend en compte les méthodologies d’ingénierie sociale pratiquées par les cybercriminels et le panel des menaces à la prévalence la plus élevée : phishing ciblé, usurpation d’identité, compromission de comptes (ATO), contournement de l’authentification multi-facteur (MFA by passing), etc.
Comme cette approche se base sur des vulnérabilités réelles exploitées par les hackers, elle permet, au-delà de la simple évaluation du risque cyber humain, de pouvoir définir un plan de remédiation concret. En effet, nous constatons une diminution de la surface d’attaque humaine et des risques associés de 68 % en moyenne pour nos clients.