Par Yann Bruneau, Chief Solutions
Officer - Squad Group, et Sébastien Baron, directeur Technique Europe du Sud
chez Mimecast
En matière de
cybersécurité, l’émergence de l’IA générative a changé la donne tant d’un point
de vue offensif que défensif. Aujourd’hui, les entreprises se retrouvent en
première ligne face à des cyberattaques de plus en plus nombreuses et
sophistiquées. Néanmoins, la première menace à laquelle elles sont exposées
vient de l’intérieur et relève du facteur humain.
Les cyberattaques ne
sont désormais plus le seul privilège des cybercriminels professionnels. Des
outils comme ChatGPT offrent en effet au plus grand nombre la possibilité de
mener facilement des campagnes de phishing. Résultat : +40% d’atteintes
numériques en 5 ans et près d’une entreprise sur deux (47%) a subi au moins une
cyberattaque réussie en 2024.
Les messages d’attaque,
que ce soit par email ou via les réseaux sociaux, sont de mieux en mieux
formulés avec l’IA générative, rendant leur identification plus difficile. La
qualité des attaques s’enrichit, en particulier les attaques ciblées, de plus en
plus complexes et réalistes
Le facteur humain,
premier vecteur de risque cyber
Dans ce contexte, les
entreprises font face à un double enjeu : d’une part, elles sont confrontées à
des risques inédits, et d’autre part, elles doivent gérer plusieurs types de
risques différents simultanément. En 2024, près de neuf organisations sur dix
(89%) ont été confrontées à au moins deux types de risques. Parmi eux, les
risques humains représentent une source d’inquiétude pour 77% des dirigeants.
La raison : 68% des compromissions
ont encore aujourd’hui une origine humaine, liées à une erreur ou à une attaque
par ingénierie sociale ! Face à ce constat, la technologie seule ne suffit plus
à contrer les attaques. La sensibilisation des utilisateurs s’impose désormais
comme le nerf de la guerre. Mais cette réalité impose un changement de
paradigme. Pourquoi ? Parce que les entreprises peinent à adopter une approche
efficace.
Les entreprises doivent
avant tout se poser la question de l’utilité de leurs campagnes de
sensibilisation et se demander si elles correspondent au paysage des menaces du
moment. Elles doivent donner un sens et associer un retour d’investissement à
leur formation pour obtenir un impact positif sur leur production.
Comment ? En quantifiant
précisément le risque et en définissant des objectifs mesurables pour mettre en
œuvre des mesures de protection adaptées et ciblées
Pour une gestion
intelligente du risque humain
Déterminer le niveau de risque nécessite l’évaluation d’un certain nombre d’indicateurs :
- L’utilisateur est-il attaqué ?
- Reçoit-il beaucoup de menaces ?
- Si oui, quel est son comportement face à un email frauduleux ?
- Ses droits d’accès aux systèmes de
l’entreprise font-ils de lui une cible privilégiée ?
L’idée est de réaliser
une cartographie du risque utilisateur pour envoyer exclusivement aux bonnes
personnes les bonnes pratiques vis-à-vis des menaces adaptées auxquelles elles
sont confrontées. C’est là que l’intelligence artificielle prend tout son sens
avec un rôle double : détecter les menaces en amont et analyser le comportement
des utilisateurs afin de personnaliser les stratégies de protection.
1. Une analyse
comportementale affinée
L’un des atouts majeurs
de l’IA réside dans sa capacité à établir des profils de risques
individualisés. Toutes les entreprises ne font pas face aux mêmes menaces et
tous les utilisateurs n’ont pas la même maturité ni le même niveau
d’exposition. L’IA permet d’analyser les actions de chaque employé et de leur
attribuer un niveau de risque en fonction de leurs comportements et des menaces
auxquelles ils sont confrontés. À la clé : une cybersécurité sur-mesure qui
permet de concentrer les efforts sur les collaborateurs les plus exposés et non
la totalité de l’entreprise.
2. La détection
proactive des menaces
L’IA joue également un
rôle clé dans l’anticipation des cyberattaques. En analysant les signaux
faibles, elle est non seulement capable de détecter des anomalies qui
passeraient inaperçues via une surveillance classique, mais aussi d’envoyer un
message d’alerte aux équipes de sécurité pour leur indiquer les cas à traiter
en priorité. Grâce à l’IA, il est possible de repérer des emails malveillants
qui ne contiennent aucun lien suspect ou pièce jointe, mais dont le langage a
été modifié pour tromper la vigilance des utilisateurs.
Comment ça marche ?
Grâce au traitement du langage naturel (NLP), l’IA est en mesure d’analyser non
plus uniquement des mots mais l’intention du message : c’est l'assemblage des
mots dans un certain sens qui permet d’établir des notions d'urgence et de prendre
la décision de rejeter le message.
3. Une réaction
graduelle et intelligente
Autre défi inhérent au
human risk management : savoir comment réagir face aux comportements à risque
sans nuire à la productivité des collaborateurs. Pour cela, il est essentiel
d’adopter une approche progressive. Si un employé clique à plusieurs reprises
sur des liens douteux, plutôt que de le sanctionner immédiatement, on peut
commencer par limiter son accès à certains sites ou services, lui envoyer des
rappels personnalisés, voire le diriger vers une formation adaptée. L’idée ici
est de former les utilisateurs qui en ont besoin au bon moment pour les
accompagner dans leur vie professionnelle et personnelle, en s’appuyant sur la
communication avec l’écosystème cyber et non cyber.
Par où commencer ?
Difficile néanmoins de
savoir par où commencer. Pour se lancer, il est important de se poser deux
questions.
- La première : le directeur IT ou le
RSSI sait-il quelles sont les personnes les plus attaquées ?
- Et la seconde : quelle est la part
d’erreur humaine dans les dernières attaques subies ?
Donner du sens au risque humain commence par un diagnostic pour savoir combien il y a eu d'incidents en production sur ses utilisateurs. La 2e étape consiste à se demander si le risque est uniforme. Enfin, il importe d’analyser l’impact que les formations et campagnes de simulation ont eu sur la production. Pour les entreprises qui ne savent pas répondre à ces trois éléments, leur solution de sensibilisation a besoin d'évoluer. En favorisant une gestion personnalisée du risque humain, l’IA s’impose alors comme un levier incontournable pour renforcer la résilience des entreprises face aux cybermenaces de demain.