Formation : la meilleure protection contre le risque cyber ?

Par Jérôme Cail, fondateur de Diginsight

Tout d’abord, de quoi parle-t-on ?

Le mot cyber, pourtant apparu pour la première fois en 1948 lorsque le mathématicien Norbert Wiener créa la cybernétique (nouvelle discipline scientifique s’intéressant à la maîtrise des machines)n’échappe pas aux effets de mode, on le trouve partout. Seul ou sous forme de préfixe, il décrit notre environnement informatisé tantôt avec une part de mystère mais le plus souvent son côté anxiogène prend le dessus : cybercafé, cyberespace, cybersécurité, cybercrime, cyberdéfense, cyberattaques, cyber espionnage, etc.

Dans le contexte des entreprises et de leur environnement économique, nous considérerons que le cyber décrit l’ensemble des appareils informatiques (ordinateurs, tablettes, imprimantes, scanners, robots de production, etc.) qu’une organisation, publique ou privée, utilise dans le cadre de son activité. Qu’ils soient reliés, directement, indirectement ou pas du tout à internet.

Le risque cyber est communément associé à une intention malveillante, un acte volontaire destiné à nuire. C’est d’ailleurs comme cela que le gouvernement le définit lui-même [1]. Mais si on le regarde dans son ensemble, le risque cyber pèse en réalité sur les données des organisations. Pour bien l’appréhender, il faut donc intégrer les risques humains, physiques, informatiques et réglementaires auxquels les données sont soumises.

Ainsi, se protéger du risque cyber, c’est protéger les actifs immatériels de l’entreprise, aussi bien les données produites par l’entreprise (brevets, marques, plans, business plans, documentation, CRM, comptabilité, etc.) que les données confiées à l’entreprise (par exemple les données personnelles). Peu importe que la menace soit issue d’une intention malveillante ou simplement le résultat d’un incident involontaire, ce qui compte c’est de se protéger.

Quelles sont les conséquences pour les victimes du risque cyber ?

La première conséquence est financière. Son coût, à l’échelle de la planète, était de $1,000 milliards en 2020, $6,000 milliards en 2021 et on l’estime à $10,500 milliards en 2025 [2]. Entre arrêt de l’activité impactée, le paiement des collaborateurs inoccupés ou la perte de chiffre d’affaire, les chiffres s’affolent très vite !

Mais il y a une multitude d’effets collatéraux, moins visibles, et tout aussi impactants tels l’augmentation des primes d’assurance, l’augmentation du coût de la dette, l’impact sur la réputation, la perte de confiance des clients. Sans oublier le risque réglementaire, notamment lié à la protection des données personnelles, et dont l’effet peut être dévastateur tant d’un point de vue financier (amendes administratives) que réputationnel (mise en demeure publique) et opérationnel (suppression complète d’une base de données non conforme).

Quelles sont les principales menaces ?

Comme le disent parfois les geeks des hotlines en bon français : « PEBKAC – Problem Exists Between Keyboard And Chair ! ». Cet adage vaut aussi pour le risque cyber car en effet, une des principales menaces est celle qui se trouve entre la chaise et le clavier… c’est-à-dire l’humain ! Dans le langage cybersécurité, on appelle cela « ingénierie sociale ». Cela consiste à exploiter les failles humaines (ignorance, crédulité, curiosité, etc.) comme vecteur de diffusion d’une attaque.

Les techniques utilisées sont multiples et vont de l’exploitation d’éléments physiques (nul besoin d’être un espion de haut vol pour cela)tels que l’accès au post-il collé sous le clavier, l’accès aux ordinateurs avec sessions non verrouillées lors de l’absence de leur propriétaire, le repérage des traces de doigts sur un écran ou des touches usées d’un digicode, la visualisation d’un mot de passe lors d’un partage d’écran, le coup d’œil discret au voisin dans le train qui travaille sur un document confidentiel, etc. ; mais aussi des techniques plus élaborées telles que le phishing, le search poisoning, les clés USB infectées, les keyloggers, les ransomwares (rançongiciels), les adwares (publiciels), etc.

Des menaces actuelles et futures

Les pirates, telle une industrie florissante, s’organisent et mettent à la portée de tout flibustier en herbe les technologies dont ils ont besoin pour attaquer leurs victimes. Après le SaaS de l’industrie logicielle, voici donc venue l’ère du RaaS : Ransomware as a Service. Nul besoin d’être un expert informatique, ces plateformes offrent aux escrocs la technologie nécessaire à une attaque en règle ainsi qu’une plateforme de pilotage pour mesurer le nombre de cibles touchées et les revenus… mesure de la performance et des conversions… le webmarketing appliqué au ransomware !

Et si l’on regarde un peu plus loin (mais pas tant que cela), les objets connectés ou encore les Métavers sont de formidables terrains de jeux pour les pirates. Accéder au jumeau numérique d’un individu, se faire passer pour lui, dérober son argent virtuel, nuire à sa notoriété, subtiliser les données issues des objets connectés (montres, balances, fourchettes, brosses à dents, outil de mesure glycémique, caméras de surveillance, drones, etc.) seront autant de challenges palpitants et perspectives de rançons rémunératrices pour ceux qui ont décidé d’être du côté sombre de la force…

 La formation, un moyen de réagir

Le bon sens est la première mesure à prendre immédiatement. Et avec elle, la formation de vos équipes. En sensibilisant le personnel, vous augmenterez significativement la protection de vos actifs pour un budget minime. De nombreuses attaques seront évitées par la formation, en expliquant à vos collaborateurs les bons réflexes à adopter qui reposent essentiellement sur le bon sens.

Bien entendu, il existe une multitude de dispositifs techniques, certains étant indispensables, qui viendront compléter utilement vos protections pour obtenir une surface d’attaque la plus réduite possible (antivirus, sauvegardes, firewalls, filtres de confidentialité, etc.). Mais l’investissement sur l’humain par la formation est sans aucun doute celui qui offrira les meilleurs résultats.

C’est pour cela que le dirigeant de Dixer, Frank Michel, s’est rapproché de Jérôme Cail, DPO et dirigeant de Diginsight, pour mettre au point la formation « Risques Cyber : sensibilisation aux menaces sur vos données stratégiques ». En une demi-journée vos collaborateurs découvrent la diversité des menaces et acquièrent les réflexes pour les écarter.

Sources :

McAfee –  The Hidden Costs of Cybercrime The Hidden Costs of Cybercrime (mybroadband.co.za) – Décembre 2020

Cybersecurity Ventures: Cybercrime To Cost The World $10.5 Trillion Annually By 2025 (cybersecurityventures.com) – 13 novembre 2020

[1] – https://www.gouvernement.fr/risques/risques-cyber
[2] – McAfee –  The Hidden Costs of Cybercrime The Hidden Costs of Cybercrime (mybroadband.co.za) – Décembre 2020