Les modèles de cybersécurité traditionnels ont été élaborés pour d’anciens temps, lorsqu’il s’agissait uniquement de verrouiller un périmètre donné et de gérer les menaces a posteriori. Non seulement cette approche peinait à fonctionner déjà à l’époque mais elle est aujourd’hui irrémédiablement vouée à disparaître.

En effet ce sont désormais les individus et non plus la technologie qui représentent la principale cible des cybercriminels. Cette évolution exige un changement de mentalité et une nouvelle stratégie axée sur la protection des individus.

Plus des deux tiers des professionnels de la sécurité informatique interrogés dans une récente étude de Ponemon s’attendent à ce que les cyberattaques « réduisent sérieusement la valeur actionnariale de leur société ». Pourtant, plus de la moitié estime que leur situation en matière de cybersécurité stagne, voire se dégrade.

Dans l’économie actuelle basée sur la mobilité et le Cloud, on ne peut plus vraiment parler de périmètre à défendre. Le travail s’effectue sur des appareils que les entreprises ne prennent pas en charge, sur des infrastructures qu’elles ne gèrent pas et sur des canaux qu’elles ne possèdent pas. Comme l’indique Gartner, le département IT « ne contrôle tout simplement pas le périmètre des informations et de la technologie d’une entreprise de la même manière que par le passé ».

Les cybercriminels ciblent les individus et non les infrastructures

L'infrastructure Cloud d’une entreprise peut être très sécurisée, mais les individus qui l’utilisent sont souvent vulnérables. C’est la raison pour laquelle les attaques exploitent aujourd’hui la nature humaine plutôt que les vulnérabilités techniques. Aujourd'hui, plus de 99 % des cyberattaques sont activées par un individu.

Ces attaques reposent sur un individu situé au bout de la chaîne qui va ouvrir un document transformé en logiciel malveillant, cliquer sur un lien non sécurisé, saisir ses identifiants de connexion ou même exécuter directement les commandes du cybercriminel (par exemple, un virement de fonds ou un envoi de fichiers confidentiels).

Le vol des identifiants de connexion par Phishing, qui incite les utilisateurs à saisir les identifiants de leur compte dans un faux formulaire de connexion, est l'une des attaques les plus dangereuses. À l'ère du Cloud, ces identifiants représentent une clé qui ouvre la porte à une multitude de données sensibles tels que les courriers électroniques et les rendez-vous privés.

La vulnérabilité des utilisateurs commence par leur comportement numérique : la façon dont ils travaillent et les liens sur lesquels ils cliquent. Il est important de connaître les rôles de chacun, identifier les personnes ayant accès à des données confidentielles et leur exposition potentielle : au dernier trimestre, près de 30 % des attaques les plus ciblées de Phishing, de logiciels malveillants et d'authentification ont été dirigées à des comptes d’email génériques généralement partagés par deux employés ou plus au sein d'une même entreprise.

Évaluer les vulnérabilités liées au mode de travail des individus est généralement simple. La première étape consiste à connaître les outils, les plateformes et les applications qu’ils utilisent. La deuxième consiste à déterminer dans quelle mesure vos utilisateurs sont vulnérables face au Phishing et à d’autres cyberattaques.

Les simulations de Phishing constituent le meilleur moyen d'évaluer cet aspect de la vulnérabilité. Un individu qui consulte un courrier électronique avec simulation de Phishing et ouvre la pièce jointe sera probablement le plus vulnérable. Un utilisateur qui l'ignore sera jugé moins vulnérable. Et les utilisateurs qui signalent le courrier électronique à l'équipe de sécurité ou à l'administrateur de la messagerie seront considérés comme les moins vulnérables.

L’accès privilégié aux données

Les privilèges représentent tous les éléments potentiellement précieux auxquels les individus ont accès, notamment les données, les autorités financières, les relations clés, etc. Il est primordial de mesurer cet aspect du risque, car il reflète les avantages potentiels pour les cyberpirates et les dommages pour les sociétés si ces éléments sont compromis.

Par exemple, les utilisateurs ayant accès à des systèmes critiques ou à des droits de propriété intellectuelle exclusifs peuvent avoir besoin d’une protection supplémentaire, même s’ils ne sont pas particulièrement vulnérables ou s’ils ne sont pas encore dans la ligne de mire des pirates. La position de l’utilisateur dans l’organigramme joue naturellement un rôle dans l’évaluation des privilèges, mais ce n’est pas le seul critère. Pour les cyberpirates, tout individu leur permettant d’arriver à leurs fins peut constituer une cible de choix. Selon notre étude, les contributeurs individuels et les responsables de niveau inférieur représentent plus des deux tiers des menaces hautement ciblées.

Atténuer les risques liés à l'utilisateur final : un plan de protection centré sur les individus

La protection contre tous les facteurs de risques liés à l'utilisateur nécessite une approche pluridimensionnelle.

Cela signifie réduire la vulnérabilité de vos utilisateurs en les sensibilisant davantage aux risques grâce à une formation pratique et efficace sur la cybersécurité, basée sur des techniques d’attaque actives et réelles. Il est nécessaire de stopper tout l’éventail des menaces, idéalement avant qu’elles n’atteignent la boîte de réception. Enfin, il faut surveiller et gérer les accès privilégiés au réseau afin d'empêcher tout accès non autorisé à des informations sensibles.

De nos jours, les cyberattaques sont permanentes. Elles se présentent sous de nombreuses formes et évoluent constamment. Il est essentiel que les entreprises adoptent une approche véritablement centrée sur les individus en matière de cybersécurité afin de réduire leurs risques d'attaque. Dans l’environnement de travail actuel, transformé par le numérique, le Cloud est régi par la mobilité, les anciennes cyberdéfenses ne fonctionnent tout simplement plus.

Par Gérard Beraud-Sudreau, Vice-Président Europe du Sud chez Proofpoint