L’erreur humaine : le talon d’Achille de la cybersécurité

Pandémie, transition massive vers le télétravail, grande démission… Après plusieurs années tumultueuses, on aurait pu penser que les RSSI bénéficieraient enfin d’un répit bien mérité. Car en apparence, ces derniers mois semblent marquer le retour à une certaine normalité, une sorte de calme après la tempête.

Mais la réalité est bien moins réjouissante : avec une dépendance accrue au cloud, des employés de plus en plus mobiles et des cybercriminels s’étant emparés de l’IA, la tempête a finalement atteint son apogée cette année.

Selon le rapport Voice of the CISO 2024, plus de trois quarts (80 %) des RSSI français craindraient une cyberattaque dans les prochains mois. Cette tendance maintient les RSSI en état d’alerte, bien que leur confiance augmente : alors qu’en 2023, ils étaient 76 % à se déclarer mal préparés à faire face à une cyberattaque ciblée, ils ne sont plus que 54 % aujourd’hui.

Les RSSI font davantage confiance aux employés (mais ne baissent pas la garde !)

Lorsqu’on leur demande leur point de vue sur leur plus grande vulnérabilité en matière de cybersécurité, un consensus clair se dégage : l’humain.

L’erreur humaine est une fois de plus en tête des menaces, 82 % des RSSI français s’accordant sur ce point, contre 75 % l’année dernière. Les employés travaillant encore souvent en dehors des protections des environnements de bureau traditionnels, sur plusieurs plateformes cloud, cette préoccupation est bel et bien fondée.

Les cybercriminels disposent désormais d’une surface d’attaque beaucoup plus large et tout ce dont ils ont besoin pour réussir est un clic distrait ou un téléchargement erroné.

La rotation du personnel reste également une préoccupation majeure. Bien que 91 % des RSSI estiment disposer de contrôles adéquats pour protéger leurs données, 56 % admettent avoir perdu des données sensibles au cours des 12 derniers mois. Plus des trois quarts (81 %) affirment que le départ des employés de leur organisation a contribué à cette perte.

Malgré cela, la plupart des RSSI (83 %) estiment que les employés comprennent leur rôle dans la protection de l’organisation contre les cyberattaques, témoignage d’un niveau de confiance assez élevé dans les programmes de sensibilisation et la formation à la cybersécurité. Cependant, les employés étant toujours cités comme la plus grande vulnérabilité, il semble que la sensibilisation ne soit pas une garantie totale d’être bien armé face aux attaques…

L’IA se généralise, pour le meilleur et pour le pire

Lorsqu’on leur demande d’évaluer les plus grandes cybermenaces à l’horizon, les suspects habituels dominent la liste. Plus de la moitié des RSSI français citent ainsi les ransomwares (51 %) comme principale préoccupation, devant l’usurpation d’identité (42 %) et la fraude par email (35 %). Mais un autre sujet les préoccupe de plus en plus…

Près de la moitié (44 %) des RSSI français estiment que l’IA générative représente aujourd’hui un risque de sécurité pour leur organisation. Compte tenu de l’augmentation des fonctionnalités de ChatGPT au cours des 12 derniers mois, cette constatation n’est en aucun cas une surprise.

Les LLM, autres outils d’IA générative, sont considérés par les RSSI comme les plus susceptibles (44 %) d’introduire des risques pour leurs organisations. De nombreux programmes plus traditionnels – Microsoft 365 (39 %) et Slack/Teams/Zoom (31 %) – ne sont pas loin derrière.

Cependant, il n’y a pas que des mauvaises nouvelles en ce qui concerne l’IA. Si les RSSI ont raison de la voir comme une menace entre les mains des cybercriminels, d’autres l’utilisent pour défendre les personnes et protéger les données. Environ 87 % des répondants cherchent à déployer des capacités alimentées par l’IA pour aider à se protéger contre l’erreur humaine et les cybermenaces avancées centrées sur l’humain.

Les RSSI se sentent plus écoutés mais subissent une pression accrue

Avec la tournure des événements ces dernières années, la relation entre les RSSI et leur conseil d’administration a beaucoup évolué. Pressées de maintenir leurs activités habituelles tout en déployant massivement le travail à distance, les organisations ont donné aux RSSI une voix sans précédent dans les prises de décisions…

Bien que certains craignaient que cette influence ne s’estompe en même temps que les pires répercussions de la pandémie, cela ne semble pas être le cas. Les RSSI ont toujours une place de choix dans les discussions stratégiques et les relations semblent même s’améliorer. 83 % des RSSI français s’accordent désormais à dire que les membres de leur conseil d’administration partagent leur vision de la cybersécurité (contre 67 % en 2023 et 51 % en 2022). La présence continue du RSSI semble influencer à la fois la stratégie de l’entreprise et la sensibilisation à la sécurité.

Malheureusement, l’absence de répit en matière de cybersécurité a un prix : plus d’un RSSI sur deux (54 %) des RSSI souffre d’épuisement professionnel, tandis que 70 % se sentent confrontés à des attentes excessives.

Les ralentissements économiques et les coupes budgétaires sont également un point de discorde majeur. Près de la moitié des RSSI (54 %) ont été contraints de réduire leurs effectifs ou de retarder les remplacements de personnel, et 68 % se sentent entravés dans leur capacité à faire des investissements essentiels pour l’entreprise.

Avec un agenda bien rempli pour les mois à venir, les RSSI restent sur le qui-vive, entre les nouvelles attaques alimentées par l’IA et les attaques plus « traditionnelles » comme les ransomwares et les compromissions d’identité. Mais la résolution de la question des risques liés aux personnes doit continuer à figurer en tête des priorités pour s’assurer qu’ils peuvent continuer à défendre leurs organisations sur des bases solides.

Par Xavier Daspre, Directeur Technique France chez Proofpoint