Avec l’aide de l’IA, les attaques de phishing, vishing et smishing augmentent en fréquence et en sophistication. Dans ce contexte, il n’a jamais été aussi important de comprendre et de gérer les cyber-risques humains. C’est ce que conclut le SANS Institute, à l’occasion de la publication du SANS 2023 Security Awareness Report®, intitulé Managing Human Risk.
Le rapport, qui s’appuie sur les expériences de près de 2.000 participants de 80 pays, souligne les enjeux croissants des cyber-risques humains – surtout quand on sait qu’en 2022, 20 % des organisations mondiales ont signalé des incidents de sécurité avec leurs télétravailleurs.
« Le monde digital s’étend à grande vitesse, ce qui accroît l’importance du facteur humain de la cybersécurité, à mesure que celui-ci s’impose comme une cible majeure des cybermenaces mondiales », souligne Lance Spitzner, SANS Security Awareness Director et co-auteur du rapport. « Le rapport doit servir de boussole aux entreprises, pour les aider non seulement à comprendre les cyberrisques humains, mais aussi à gérer ces risques de manière proactive. En rassemblant des données de milliers de participants du monde entier, nous avons mis à jour des schémas et des approches pratiques qui pourront aider les organisations à transformer leur paysage des risques humains. »
Le rapport fournit une analyse approfondie et des mesures concrètes, qui aideront les professionnels de la sécurité à progresser, à affiner leurs programmes de sensibilisation et à assurer le benchmarking mondial de leurs programmes à l’aide du Security Awareness Maturity Model®. Quelles en sont les principales conclusions?
Risques humains majeurs : les principales menaces comprennent les attaques de phishing, vishing et smishing ; les risques d’authentification et ceux liés aux mots de passe (malgré les outils avancés existants) ; le défi d’encourager une culture de sécurité en vue d’une détection/d’un reporting efficace ; et le risque de configurations erronées par les gestionnaires IT, surtout dans des environnements cloud complexes.
Vision de la direction : comme les années précédentes, la sensibilisation à la sécurité reste largement envisagée comme une tâche à temps partiel au sein des organisations. Pas moins de 70 % des experts en sensibilisation à la sécurité déclarent y avoir consacré la moitié ou moins de leur temps de travail en 2023. Ce résultat pointe une fois de plus le défi persistant qui consiste à souligner l’importance d’une sensibilisation continue et quotidienne à la sécurité dans les opérations quotidiennes des organisations.
Rémunération : pour la première fois, nos données révèlent que les professionnels spécialisés en gestion du risque humain gagnent jusqu’à 5 % de plus que leurs collègues employés dans des fonctions de sécurité plus larges. Il en ressort que ces compétences sont de plus en plus demandées et valorisées par le secteur.
Actions importantes pour favoriser la réussite du programme
Nommer le risque humain : souvent, les dirigeants et les équipes de sécurité ne voient pas la sensibilisation à la sécurité comme une composante de la sécurité, mais plutôt comme un effort de conformité sans véritable rapport avec la gestion du risque humain. Mieux vaut donc utiliser le terme de human risk management qui répond davantage aux priorités de sécurité stratégiques de l’entreprise et rencontrera plus d’écho au sein de la direction et de l’équipe de sécurité. Aidez cette dernière à comprendre la nature de l’aide que vous lui apportez et collaborez avec ses membres pour identifier les principaux risques humains, ainsi que les comportements clés pour maîtriser ces risques. Montrez à quel point une communication efficace, des formations et l’implication de chacun peuvent modifier ce comportement et réduire les risques. Collaborez avec le Security Operations Center et les équipes Incident Response et Cyber Threat Intelligence, non seulement pour vous familiariser avec leur travail, mais aussi pour leur montrer que vous pouvez les aider à relever leurs défis en matière de risques humains.
Soutien des dirigeants : consacrez deux à quatre heures par mois à la collecte de données sur l’impact et la valeur de votre programme de sensibilisation à la sécurité, et communiquez-les à la direction. Il peut s’agir d’indicateurs informels, de KPI ordinaires et même de success stories. Grâce à ces éléments, la direction comprendra mieux et constatera régulièrement la valeur de votre programme.
Taille de l’équipe : si la sécurité technique a toujours été une préoccupation majeure des organisations, le côté humain de la sécurité a souvent été négligé. Ce déséquilibre fait du personnel une cible de choix des cyberattaques. Il n’est pas rare de voir une équipe de sécurité de 50 membres, dont 49 se consacrent à la technologie et seulement un aux risques humains. Ce sous-investissement contribue à la prolifération des cyberrisques humains. Pour combler cet écart, nous recommandons de commencer par un rapport de 10:1 entre experts en sécurité technique et experts en sécurité humaine.
« Dans le contexte actuel des cybermenaces, le modèle traditionnel des formations annuelles ciblant la conformité ne tient plus. C’est pourquoi notre rapport regorge de conseils pratiques, immédiatement applicables », poursuit Lance Spitzner. « De la gestion des principaux risques humains, comme le phishing par e-mail, au défi classique consistant à libérer les ressources et le budget nécessaires, notre objectif est double : doter les entreprises des outils nécessaires pour améliorer leurs stratégies de gestion du risque humain et les aider à investir de manière proactive dans du personnel, des ressources et des outils, qui leur permettront de s’attaquer de manière approfondie à la dimension humaine des cybermenaces. »