Par Benjamin Netter, CEO fondateur de Riot.
Chaque cyber attaque spectaculaire relance le même débat : comment mieux préparer les collaborateurs aux menaces numériques ?
Simulations d’attaques, formations en ligne,
newsletters, serious games… la cybersécurité est omniprésente en entreprise. On
peut même évoquer le "cyber mois”, entièrement dédié à la sensibilisation
des employés. Et pourtant, les résultats restent peu encourageants. Près d’un
salarié sur deux est encore incapable de définir le phishing. Une situation
d’autant plus préoccupante que la menace s’intensifie rapidement : depuis
l’arrivée de ChatGPT, les attaques ciblant les employés ont bondi de 1275%.
Il ne s’agit pas de
remettre en cause l’utilité des formations, ni de minimiser les actions déjà
mises en place. Mais il faut faire un constat : la pédagogie a ses limites. Les
cybermenaces évoluent plus vite que notre capacité à former les équipes. De leur
côté, les collaborateurs finissent par saturer. Entre les appels à la
vigilance, les contenus anxiogènes et les formations imposées, la
sensibilisation tourne parfois à la fuite en avant. Et si on se trompait de
priorité ?
La vraie priorité :
renforcer la posture
En janvier 2024,
UnitedHealth est victime d’une cyberattaque d’une ampleur inédite. Coût total :
plus de deux milliards de dollars, sans compter 190 millions de patients
impactés — un Américain sur deux.
L’enquête révèle que
pour s’introduire dans les systèmes de UnitedHealth et déployer le ransomware,
les pirates ont exploité les identifiants personnels d’un employé, exposés dans
une brèche de données. Celui-ci utilisait le même mot de passe pour ses comptes
personnels et professionnels. Les attaquants ont ainsi pu accéder au système
sans aucune interaction avec le collaborateur.
Cette attaque met en
lumière trois failles majeures, souvent négligées. D’abord, l’employé n’a reçu
aucun avertissement indiquant que ses identifiants circulaient dans une fuite.
Ensuite, l’absence d’authentification forte a laissé la porte ouverte aux attaquants.
Enfin, la visibilité publique de l’employé — sur les réseaux sociaux notamment
— a permis aux hackers de faire le lien entre ses deux vies.
Les cyberattaquants ont
exploité plusieurs failles dans la posture numérique de l’employé pour accéder
aux systèmes de l’entreprise. Mieux le former n’y aurait rien changé.
Trois réflexes pour renforcer sa posture cyber
La plupart des attaques
exploitent des erreurs de configuration ou de simples négligences. Tout
commence par des réglages personnels du quotidien numérique.
Premier réflexe : revoir ses paramètres
LinkedIn. Des détails de votre profil sont visibles jusqu’au troisième cercle
de connexions, soit plus de 60 millions de personnes. Parmi elles, des
attaquants, capables de cartographier votre entreprise, repérer les fonctions
sensibles ou cibler les nouveaux arrivants. Limiter la visibilité de votre nom
de famille leur complique la tâche, sans nuire à votre visibilité pour autant.
Deuxième réflexe : sécuriser ses
messageries, en particulier WhatsApp. Par défaut, l’application montre votre
photo, statut et dernière connexion à toute personne ayant votre numéro. Ces
données, anodines en apparence, peuvent servir à des arnaques par usurpation
d’identité. Il suffit de restreindre leur visibilité à « Mes contacts » dans
les paramètres.
Troisième réflexe : utiliser un code de verrouillage robuste. Beaucoup se contentent encore de « 1234 » ou « 0000 ». Une étude montre qu’un quart des téléphones peuvent être déverrouillés avec seulement
20 combinaisons testées. Pourtant, le téléphone est désormais une
porte d’entrée vers les messageries, les applications bancaires et parfois...
les outils professionnels.
L’IA change la donne. Définitivement
Avant une attaque
ciblée, les hackers mènent un travail d’investigation sur leur victime. Cette
phase, souvent longue et minutieuse, leur permet de nourrir le prétexte qu’ils
vont utiliser dans l’attaque.
L’intelligence artificielle change radicalement la donne. Elle automatise cette phase de repérage, en parcourant le web pour collecter et croiser des informations en quelques secondes. Ce qui prenait autrefois des heures devient instantané. L’IA permet ainsi de créer des attaques personnalisées, crédibles, multilingues et adaptées à chaque cible, avec une efficacité redoutable.
Et ce n’est qu’un début. Récemment, le nouveau protocole MCP permet maintenant de piloter directement des applications à partir d’une simple instruction. Les LLM pourront ainsi générer, diffuser et exécuter toute une attaque de manière autonome, sans écrire une seule ligne de code. Ces campagnes passeront par des canaux jusqu’ici peu accessibles, comme WhatsApp ou les réseaux sociaux.
Dans ce nouveau
paysage, les anciennes approches de défense ne suffisent plus. Il ne s’agit
plus seulement de cultiver les employés. Il s’agit aussi de repenser leurs
usages et de réduire leur exposition. Pour affamer les modèles. Et ne pas
devenir leur prochaine cible.