Les RSSI considèrent l'erreur humaine comme leur principal risque lié à la cybersécurité
En matière de cybersécurité, l'accent est souvent mis sur la Technologie, en particulier sur la manière dont les cybercriminels l'utilisent pour mener leurs attaques et sur les outils que les Entreprises peuvent utiliser pour assurer la sécurité de leurs systèmes et de leurs données. Toutefois, cette approche ne tient pas compte de l'élément le plus important du risque lié à la cybersécurité : l'erreur humaine.
Newsletter sectorielle
Les dernières actualités technologiques, étayées par des avis d’expert
Restez au fait des tendances les plus étonnantes du secteur dans le domaine de l’IA, de l’automatisation, des données et bien d’autres avec la newsletter Think. Consultez la déclaration de confidentialité d’IBM.
Lire la Déclaration de confidentialité d’IBM.
Vous recevrez votre abonnement en anglais. Vous trouverez un lien de désabonnement dans chaque newsletter. Vous pouvez gérer vos abonnements ou vous désabonner ici. Consultez la Déclaration de confidentialité d’IBM pour plus d’informations.
Le rapport 2024 de Proofpoint sur la voix du CISO a révélé que trois responsables de la sécurité des systèmes d'information (RSSI) sur quatre (74 %) ont déclaré que l'erreur humaine était leur principal risque en matière de cybersécurité . Cela témoigne d'une croissance significative par rapport aux 60 % de RSSI qui ont exprimé ce sentiment l'année dernière. L'étude a également mis en évidence un fossé important entre les RSSI et le conseil d'administration. Les membres du conseil d'administration étaient moins enclins (63 %) à évoquer l'erreur humaine que les RSSI, ce qui montre que ces derniers devraient se concentrer sur la formation des dirigeants et des employés.
Plusieurs des principales causes de perte de données sondées dans l'enquête sont directement liées aux employés. La réponse la plus fréquente (42 %) était la négligence d'un employé ou d'un initié, telle que l'utilisation abusive de données par un employé. Parmi les autres raisons, citons un initié malveillant ou criminel (36 %), le vol des identifiants d'un employé (33 %) et la perte ou le vol d'un appareil (28 %).
L’indice de menace IBM 2024 confirme cette conclusion, indiquant que 30 % des attaques commencent par du phishing. Toutefois, les attaques par hameçonnage sont en baisse par rapport à 2022, tant en volume qu'en tant que vecteur d'attaque initial. Le rapport souligne que l'adoption continue et la réévaluation des techniques et stratégies d'atténuation du phishing sont l'une des raisons de cette réduction.
Même si l'erreur à l'origine de la violation peut avoir été commise par un être humain, ce n'est pas nécessairement la faute de l'individu - sauf dans le cas d'un initié criminel. Les Entreprises doivent adopter une approche proactive de la cybersécurité, ce qui inclut la formation pour que les employés puissent apprendre des pratiques de sécurité tout en mettant en place des processus qui réduisent les risques.
Réduire les risques liés aux activités humaines dans le domaine de la cybersécurité n'est pas une tâche simple. Il n'est pas possible de mettre en place un seul programme ou une seule formation pour résoudre ce problème. Les organisations doivent plutôt adopter une approche globale qui favorise une culture de la cybersécurité et encourage chaque employé à considérer la cybersécurité comme une partie intégrante de son travail.
1. Utiliser des outils d’IA pour surmonter l’erreur humaine
Étant donné que les outils d'IA peuvent prédire les actions probables d'un être humain, ils peuvent être particulièrement efficaces pour protéger contre les risques humains en matière de cybersécurité. Le rapport de Proofpoint a révélé que 87 % des RSSI mondiaux cherchaient à déployer des capacités alimentées par l'IA pour aider à protéger contre l'erreur humaine et les cybermenaces avancées centrées sur l'homme.
2. Fournir une formation complète et continue des employés
Bien que de nombreuses entreprises proposent des formations, il s'agit souvent de formations à cocher qui ne modifient pas vraiment les comportements et ne font pas de la cybersécurité une priorité. Lorsque vous concevez un programme de formation, adoptez une approche globale et déterminez quels employés ont besoin de quel type de formation.
Commencez par avis les incidents antérieurs pour déterminer les sujets les plus importants, tels que les employés qui cliquent à plusieurs reprises sur des tentatives d’hameçonnage dans un passé récent. Au lieu de suivre une formation annuelle, les entreprises devraient envisager des mini-modules mensuels réguliers pour garder les sujets au premier plan. En outre, incluez une formation à la cybersécurité lors de l'intégration des nouveaux employés afin que tous les employés commencent leur carrière dans votre entreprise avec les mêmes informations.
3. Créer une culture de cybersécurité
Les employés ont facilement l'impression que la cybersécurité est l'affaire de quelqu'un d'autre. Mais réduire le risque humain commence par changer cette impression et faire en sorte que chaque employé se sente responsable de la cybersécurité. Bien que la formation soit un élément clé de ce changement, elle implique également de maintenir la cybersécurité au cœur des préoccupations dans l'ensemble de l'entreprise. Une culture de la cybersécurité commence au sommet, chaque dirigeant parlant de cybersécurité et soulignant son importance.
La cybersécurité commence et se termine avec les humains : les humains qui créent les attaques et les humains capables de les arrêter. En se concentrant sur l'élément humain de la cybersécurité, votre Entreprise peut réduire considérablement les risques. Cependant, le changement ne se produit pas en une seule séance de formation, ni même en quelques mois. Les Entreprises doivent considérer cette Stratégie comme une approche à long terme dont l'objectif est de faire prendre conscience à chaque employé qu'il a le pouvoir d'influer sur la cybersécurité de l'Entreprise.