Le facteur humain : la faiblesse préférée des fraudeurs en cybersécurité

Lorsqu’il s’agit de cyberattaques, nous pensons souvent aux hackers, comme ceux d’Anonymous, des prodiges de l’informatique. Pourtant, la plupart des cyberattaques et des fraudes reposent sur un élément central : le facteur humain. C’est grâce aux humains que les cybercriminels parviennent à pénétrer les systèmes d’entreprise. Des rapports tels que “Managing the impact of increasing interconnectivity: Trends in cyber risk” d’Allianz Global Corporate & Security (AGCS) et « The Psychology of Human Error » de Tessian, publiés en juillet 2020, reviennent sur l’impact significatif que les employés ont sur la cybersécurité de leur entreprise.

Les cyberattaques sont monnaie courante pour les entreprises de toutes tailles. Elles se manifestent sous différentes formes : phishing, ransomware, malware, et fraudes au faux fournisseur. Selon le baromètre de la fraude 2020 d’Euler Hermès et de la DFCG, 70 % des entreprises françaises ont subi au moins une tentative de fraude en 2019. Pour 10 % d’entre elles, le préjudice a dépassé 10 000 euros.

Malgré une prise de conscience croissante des dangers, de nombreuses entreprises restent insuffisamment préparées et protégées face à ces cybermenaces. Des failles sont béantes, surtout visibles par les cyberattaquants dans les différents processus internes et les systèmes informatiques. Pour faire face à cette réalité, l’accent doit être mis sur la sensibilisation et la formation des humains, des collaborateurs. En effet, les erreurs faites par des humains constituent des ouvertures idéales qui permettent aux cybercriminels de s’engouffrer plus facilement dans les systèmes.

D’après le rapport d’AGCS, 85 % des pertes en entreprises sont causées par des événements externes comme les cyberattaques. De plus, le rapport de Tessian souligne que 88 % des failles de sécurité proviennent d’une erreur humaine, ce qui positionne l’humain comme le « maillon faible » de la sécurité. Les cyberattaquants peuvent ainsi infiltrer un système informatique en exploitant une faille causée par une erreur d’un collaborateur.

Le rapport va encore plus loin en indiquant que 43 % des répondants ont commis une erreur au travail qui a compromis la cybersécurité de leur entreprise. La cybersécurité n’est pourtant pas souvent au cœur des préoccupations des employés, qui, bien que experts dans leur domaine, ne le sont pas nécessairement en matière de sécurité. Il est impératif d’instaurer une culture de la cybersécurité qui engendre des changements de comportements et de processus.

Pour la majorité des travailleurs ayant reconnu avoir causé une faille de sécurité, 93 % indiquent que ces erreurs étaient dues au stress et à la fatigue. Dans un environnement de travail difficile et imprévisible, le stress est omniprésent. De plus, le télétravail, devenu la norme depuis la pandémie de Covid-19, a contraint de nombreuses entreprises à s’adapter rapidement, avec des postes de travail improvisés et des connexions Internet domestiques souvent non sécurisées.

Cette période a considérablement accru l’exposition des entreprises face aux cyberattaques. Les vulnérabilités se multiplient, et les collaborateurs, concentrés sur la continuité de leur activité, ont souvent moins de temps pour se préoccuper de la cybersécurité. Les cybercriminels exploitent cette situation à leur avantage. Selon Le Monde Informatique et le dernier rapport Checkpoint, les attaques par ransomware ont augmenté de 50 % au troisième trimestre 2020, en grande partie en raison de l’environnement de travail peu propice.

Pour combattre cette vulnérabilité, il est essentiel d’investir dans des formations continues sur la cybersécurité. Les entreprises doivent établir des programmes éducatifs visant à sensibiliser les employés aux risques et aux meilleures pratiques en matière de sécurité. Cela peut inclure des études de cas, des analyses de comportements passés, et des simulations d’attaques pour aider les collaborateurs à mieux comprendre les menaces potentielles.

En parallèle, il est crucial d’intégrer des techniques de management et de gestion des risques dans le quotidien des équipes. Les entreprises doivent promouvoir une culture organisationnelle où chaque membre se sent responsable de la sécurité de l’information. Des outils de suivi et d’analyse peuvent également aider à évaluer les résultats des formations et à adapter les pratiques en fonction des retours d’expérience.

Il est important de reconnaître que les erreurs humaines, bien que problématiques, peuvent également servir d’opportunité pour apprendre et s’améliorer. Chaque incident constitue un rapport d’apprentissage qui permet de mettre en place des méthodes et des pratiques visant à réduire les risques futurs. En étudiant les erreurs passées, les organisations peuvent ajuster leurs exigences en matière de cybersécurité et renforcer leurs processus internes.

En conclusion, face à la fraude, le facteur humain demeure la première faille dans la sécurité des entreprises. Les cybercriminels se consacrent à développer de nouvelles techniques d’attaque, tandis que les travailleurs doivent se concentrer sur leurs tâches. La mise en place d’un cadre solide de formation, de sensibilisation et de gestion des risques est essentielle pour renforcer la cybersécurité dans un monde de plus en plus connecté.