Les dernières conclusions du rapport de l’IBM X-Force® Threat Intelligence Index mettent en lumière un changement dans les tactiques des attaquants. Au lieu de recourir aux méthodes de piratage traditionnelles, on a constaté une augmentation significative de 71 % des attaques, où les criminels exploitent des informations d’identification valides pour infiltrer les systèmes. Les voleurs d’informations ont constaté une augmentation considérable de 266 % de leur utilisation, mettant en avant leur rôle dans l’acquisition de ces identifiants. Leur objectif est simple : exploiter le chemin de moindre résistance, souvent par l'intermédiaire d'employés peu méfiants, pour obtenir des identifiants valides.
Les Entreprises ont dépensé des millions pour développer et mettre en œuvre des technologies de pointe afin de renforcer leurs défenses contre de telles menaces, et beaucoup ont déjà mené des campagnes de sensibilisation à la sécurité, alors pourquoi échouons-nous à stopper ces attaques ?
La plupart des programmes de sensibilisation à la sécurité fournissent aujourd'hui aux employés les informations dont ils ont besoin sur le traitement des données, les règles du GDPR et les menaces courantes, telles que le phishing.
Cette approche présente néanmoins une faiblesse majeure : les programmes ne tiennent pas compte du comportement humain. Ils suivent généralement une approche unique, les employés suivant une formation générique annuelle sur ordinateur avec des animations et un court quiz.
Bien que cela fournisse les informations nécessaires, la nature précipitée de la formation et le manque de pertinence personnelle résulte souvent en que les employés oublient les informations en seulement 4 à 6 mois. Cela peut être expliqué par la théorie de Daniel Kahneman sur la cognition humaine. Selon la théorie, chaque individu possède un processus de pensée rapide, automatique et intuitif, appelé Système 1. Les gens ont également un processus de pensée lent, délibéré et analytique, appelé Système 2.
Les programmes traditionnels de sensibilisation à la sécurité ciblent principalement le Système 2, car les informations doivent être traitées de manière rationnelle. Toutefois, sans motivation suffisante, sans répétition et sans signification personnelle, l'information entre généralement dans une oreille et sort par l'autre.
Près de 95 % de la pensée et de la prise de décision humaines sont contrôlées par le Système 1, qui correspond à notre mode de pensée habituel. Les humains sont confrontés à des milliers de tâches et de stimuli par jour, et une grande partie de nos traitements est effectué automatiquement et inconsciemment par le biais de préjugés et d’heuristique. L'employé travaille en mode pilote automatique, et pour intégrer les problèmes et les risques liés à la cybersécurité dans ses décisions quotidiennes, nous devons concevoir et mettre en place des programmes qui comprennent réellement son mode de travail intuitif.
Pour comprendre le comportement humain et savoir comment le modifier, nous devons évaluer et mesurer certains facteurs, en nous appuyant sur la roue COM-B du changement de comportement.
Une fois que nous aurons compris et évalué ces trois domaines, nous pourrons identifier les domaines nécessitant un changement de comportement et concevoir des interventions ciblant les comportements intuitifs des employés. En fin de compte, cette approche aide les entreprises à mettre en place une première ligne de défense en développant un personnel plus sensibilisé à la cybernétique.
Une fois les causes profondes des problèmes de comportement identifiées, l'attention se porte naturellement sur la création d'une culture de sécurité. Le principal défi de la culture de cybersécurité aujourd'hui est qu'elle repose sur la peur des erreurs et des actes répréhensibles. Cette mentalité favorise souvent une perception négative de la cybersécurité, entraînant de faibles taux de réussite en formation et une responsabilité minimale. Cette approche nécessite un changement, mais comment y parvenir ?
Avant tout, nous devons reconsidérer notre approche des initiatives, en nous éloignant d’un modèle uniquement axé sur la sensibilisation et la conformité. Si la formation de sensibilisation à la sécurité reste vitale et ne doit pas être négligée, nous devons diversifier nos méthodes de formation pour favoriser une culture plus positive. Parallèlement à une formation organisationnelle large, nous devrions adopter des programmes spécifiques à chaque rôle qui intègrent l’apprentissage expérientiel et la gamification, tels que les cyber ranges engageantes facilitées par IBM X-Force. De plus, des campagnes menées à l'échelle de l'Entreprise peuvent renforcer la notion de culture positive, notamment par la mise en place d'un réseau de champions de la cybersécurité ou l'organisation de mois de sensibilisation comprenant diverses manifestations.
Une fois ces initiatives sélectionnées et mises en œuvre pour cultiver une culture de cybersécurité positive et robuste, il est impératif qu’elles reçoivent un soutien de tous les niveaux de l’organisation, des cadres supérieurs aux professionnels débutants. Ce n'est que lorsqu'il y aura un message unifié et affirmatif que nous pourrons réellement transformer la culture au sein des organisations.
Maintenant que nous avons identifié les défis comportementaux et mis en place un programme visant à favoriser une culture positive, l’étape suivante consiste à établir des indicateurs et des paramètres de réussite. Pour évaluer l'efficacité de notre programme, nous devons répondre à une question fondamentale : dans quelle mesure avons-nous atténué le risque d'un incident de cybersécurité résultant d'une erreur humaine ? Il est crucial d’établir un ensemble complet d’indicateurs capables de mesurer la réduction des risques et le succès global du programme.
Traditionnellement, les entreprises ont eu recours à des méthodes telles que les campagnes d’hameçonnage et les tests de maîtrise, avec des Résultats mitigés. Une approche moderne est la quantification des risques, une méthode qui attribue une valeur financière au risque humain associé à un scénario spécifique. Intégrer de tels indicateurs dans notre programme de culture de la sécurité nous permet d'évaluer son succès et de l'améliorer continuellement au fil du temps.
L'environnement changeant de la cybersécurité exige une approche globale qui répond au facteur humain critique. Les entreprises ont besoin de cultiver une culture positive de cybersécurité, soutenue par l'engagement des dirigeants et des initiatives innovantes. Cette démarche doit être associée à des indicateurs efficaces pour mesurer les progrès accomplis et démontrer la valeur de l'initiative.
IBM propose une gamme de services pour aider ses clients à faire évoluer leurs programmes de la sensibilisation au comportement humain. Nous pouvons vous aider à évaluer et à adapter les interventions de votre organisation aux motivations et aux habitudes de vos employés, et à promouvoir une première ligne de défense Resilient® contre les menaces émergentes en donnant à chaque individu les moyens de devenir un gardien proactif de la cybersécurité.
Comprenez les dernières menaces et renforcez vos défenses cloud avec le rapport X-Force sur le paysage des menaces dans le cloud.
Apprenez à relever les défis et à exploiter la résilience de l’IA générative en matière de cybersécurité.
Protégez votre organisation contre les menaces mondiales grâce à l’équipe de pirates informatiques, d’intervenants, de chercheurs et d’analystes spécialisés dans les menaces d’IBM X-Force.
Utilisez les solutions de détection et de réponse aux menaces d’IBM pour renforcer votre sécurité et accélérer la détection des menaces.
Protégez votre environnement mobile avec les solutions complètes de défense contre les menaces mobiles d’IBM MaaS360.
Bénéficiez de solutions complètes de gestion des menaces, afin de protéger votre entreprise avec compétence contre les cyberattaques.