Le constat est connu, mais il est bon de le rappeler : l’erreur humaine reste la principale vulnérabilité d’une politique cybersécurité. C’est ce que pensent 66 % des RSSI interrogés à l’occasion du dernier rapport Voice of the CISO de Proofpoint. Conscients que l’homme est depuis toujours le maillon faible, les cyberattaquants exploitent en priorité les fragilités psychologiques plutôt que les failles techniques. Face à cette situation, la formation des collaborateurs aux règles d’hygiène informatique devrait constituer la première ligne de défense des organisations.

Les avancées récentes de l’IA générative ne font que renforcer cet enjeu de sensibilisation. Utilisés à des fins malveillantes, les grands modèles de langage (LLM) permettent aux cybercriminels de concevoir des attaques toujours plus sophistiquées et personnalisées. Fini les messages frauduleux à l’orthographe et à la charte graphique approximative, les récentes campagnes de spear phishing sont à même de tromper les utilisateurs les plus aguerris.

Une autre étude, française cette fois, menée par Ipsos pour le compte de l’éditeur spécialisé Riot, montre malheureusement un désengagement des salariés sur le sujet. Plus d’un tiers d’entre eux disent se sentir peu ou pas concernés par la cybersécurité évoquant, par ailleurs, un manque de temps. Si 72 % des collaborateurs bénéficient d’une à cinq heures de formation par an, celle-ci se résume le plus souvent à des ateliers en présentiel ou à des actions ponctuelles comme l’envoi de newsletters ou de guides.

Plus gênant encore, le taux de mauvaises pratiques, comme le recours au même mot de passe pour différents services, est similaire entre les salariés formés et non formés. « Ce qui interroge l’efficacité réelle des approches actuelles de sensibilisation », soulève l’étude. Qu’elles soient dispensées en salle ou en ligne, les formations traditionnelles ont, de fait, montré leurs limites par leur manque d’interactivité et de récurrence. Elles se tiennent généralement une fois par an alors qu’un programme de sensibilisation doit multiplier les piqûres de rappel et s’inscrire dans la durée.

Micro-learning et campagnes de simulation

« Comme pour les enfants, il faut répéter le message », avance Olivier Arous, CEO d’OGO Security. En lieu et place de ces formations statistiques, ne tenant pas toujours compte de l’état de la menace ni de la population visée, il conseille de mettre en place des campagnes de micro-learning, avec des capsules de formation de quelques minutes chacune. Vidéos, quiz, jeux, chatbots interactifs… il est possible de varier, chaque mois, les formats afin de maintenir l’attention des apprenants. Ces contenus de courte durée ont aussi pour avantage de s’insérer plus facilement dans des agendas déjà surchargés.

Pour susciter l’intérêt du formé, Olivier Arous conseille, par ailleurs, de recourir aux ressorts de la gamification. « Selon les principes du jeu, il s’agit de créer un sentiment d’émulation par un système de récompenses et de badges, de classements individuels ou par équipes ». Ces actions de sensibilisation seront couplées à des mises en situation afin de s’assurer que le message ait bien été retenu. Des campagnes de simulation de phishing permettent ainsi d’évaluer régulièrement la cyber maturité d’une organisation. 

Un employé qui aura cliqué sur un lien compromis ou renseigné en ligne des informations confidentielles sera invité à suivre le module de formation correspondant à ce comportement à risque. Un nombre croissant de prestataires, comme Mailinblack, Riot, Kamaé, Olfeo ou Conscio Technologies, propose ce type de plateformes associant des bibliothèques de contenus à des campagnes de simulation. 

Les experts interrogés insistent sur l’importance de personnaliser le programme de sensibilisation par secteur d’activité et/ou profession. Au-delà du tronc commun, des modules spécifiques adresseront différemment une infirmière dans un hôpital ou un comptable dans une entreprise de services. De même, les voyageurs d’affaires et les commerciaux itinérants devront être sensibilisés aux menaces propres à leur situation de mobilité comme le détournement d’un accès Wi-Fi public ou le vol de leur ordinateur portable. 

« L’adoption réelle des bons réflexes repose sur la capacité à parler le langage de chaque métier », juge Xavier Paquin, CEO de Kamaé, dans un communiqué. La mémorisation de ces réflexes passant par l’expérience, les différents publics visés seront exposés à des scénarios les concernant en premier chef comme de faux mails RH ou des demandes de virement. Une fois formés, les collaborateurs peuvent devenir, sur la base de volontariat, des référents cyber et relayer la bonne parole dans leurs services respectifs. 

Instaurer un droit à l’erreur

Quel que soit le public visé, Xavier Paquin prône une culture de la vigilance et de la bienveillance. « Beaucoup d’incidents ne sont pas signalés par crainte de sanction ou de jugement. Or, dans le cas d’attaques générées par IA, la vitesse de propagation est un facteur critique. Une culture interne ouverte, qui valorise le doute, le droit à l’erreur et la remontée d’incident, s’avère plus efficace qu’une approche strictement descendante. »

Compte tenu de la porosité des usages numériques entre la vie personnelle et la vie professionnelle, Olivier Arous conseille, pour sa part, de mettre en avant les menaces touchant à la sphère privée, plus impactantes car concernant tout un chacun. « La fraude au président et la fraude au faux conseiller bancaire reposent sur les mêmes ressorts psychologiques en créant un faux sentiment d’urgence. »

Pour éviter les erreurs commises en situation de stress, il convient, selon lui, de développer l’esprit critique. « Le collaborateur doit avoir la prise de recul suffisante pour s’interroger : « est-ce que mon PDG m’enverrait un mail pour me demander de passer un ordre de virement ? » » Dans le doute, il doit pouvoir frapper à la porte du dirigeant pour s’assurer de la véracité de l’information. Ce qui suppose là encore une culture d’entreprise basée sur l’ouverture et le dialogue.

« Dans le modèle anglo-saxon, certaines organisations ont mis en place une sanction financière en cas de mauvaises résultats aux tests cyber, avec, par exemple, une part du bonus supprimée, observe Stéphane Pironon, responsable du pôle Conseil Forfait chez Intrinsec. Ce n’est pas envisageable en France. » Pour partir du bon pied, il conseille de capitaliser sur le parcours d’intégration, une période propice pour présenter aux recrues les règles élémentaires de la cybersécurité et les procédures d’alerte en cas de suspicion de compromission de leur poste de travail. 

Par la suite, il convient, selon lui, d’adapter les actions de sensibilisation au statut des populations visées. Les dirigeants et VIP sont, par exemple, confrontés à des risques spécifiques. L’expert préconise de les réunir en comité restreint dans des ateliers de 20 à 45 minutes. Ces formations peuvent être suivies d’un échange individuel avec un focus particulier sur la communication parfois sensible de ces décideurs sur les réseaux sociaux, en particulier LinkedIn. « Notre service de threat intelligence mène l’enquête et nous faisons à cette occasion une restitution en one-to-one », détaille Stéphane Pironon.

Immersion et gamification

Le comité de direction peut être également soumis à une simulation de crise. Réunis autour de la table, ses membres vont devoir réagir à un scénario de cyberattaque. Pour lui donner plus de réalisme, des stimuli externes peuvent être générés comme la demande d’interview d’un journaliste qui a eu connaissance de la fuite de données ou bien l’appel d’un représentant de la Cnil. Pour une audience plus large, il est aussi possible de proposer un atelier de type « Dans la peau d’un hacker » où un intervenant, en l’occurrence un pentester, démontre, par l’exemple, combien il peut être facile de s’introduire dans un ordinateur portable, un smartphone ou une tablette.

Comme pour les plateformes de micro-learning, il est possible de conjuguer ludification et immersion dans le monde physique. Des prestataires comme Sec-Cure, Hello Escape ou Bluesecure surfent sur l’engouement autour des escapes games pour adapter le concept à la sensibilisation à la cybersécurité. Confinés dans un espace clos, de 4 à 8 participants par équipe doivent pour en sortir résoudre, en moins d’une heure, des énigmes basées sur des menaces réelles. Ce format a pour mérite de renforcer la cohésion d’équipe.

En revanche, les environnements virtuels ont moins la cote. Les serious games au design daté semblent être passés de mode après le soufflé retombé des métavers. Les simulations en réalité virtuelle ou en réalité augmentée présentent l’avantage de placer l’apprenant dans un univers immersif en 3D d’un réalisme saisissant. Le coût et la complexité du dispositif le réservent toutefois à des usages ponctuels.

Jeux de cartes et de plateaux

Les jeux de cartes et de société sont, eux, beaucoup plus accessibles tout en suscitant un réel enthousiasme notamment auprès des actifs des générations Y et Z. Intrinsec propose ainsi un jeu de cartes pour deux personnes. « L’une se met dans la posture de l’attaquant, l’autre de défenseur, explique Stéphane Pironon. À la partie suivante, les rôles sont inversés. Les deux joueurs apprennent ainsi les différents types d’attaques et de défense. »

De son côté, Conscio Technologies a sorti récemment une carte interactive. « L’apprenant est placé sur un plateau de jeu virtuel et doit finir le parcours en un temps donné, explique Audrey Boussicaud, responsable pédagogique e-Learning. Le plateau peut être personnalisé aux couleurs de l’entreprise. L’éditeur propose aussi une enquête sous forme de plateau de jeu. « Dans la peau d’un détective, l’utilisateur interroge des suspects pour découvrir le responsable de la fuite de données », poursuit Audrey Boussicaud.

Enfin, les experts interrogés rappellent qu’une politique de cybersécurité ne peut reposer que sur la prévention humaine. Celle-ci doit être, bien sûr, associée à des dispositifs technologiques à même d’analyser les comportements en temps réel et de bloquer les actions suspectes. « Quelle que soient les actions de sensibilisation, il y aura toujours des comportements à risques », conclut fataliste Stéphane Pironon. L’expert établit un parallèle avec le code de la route. « Tous les conducteurs apprennent les mêmes règles puis, avec le temps, certains prennent des libertés voire sortent du cadre. »

The post Comment (réellement) sensibiliser les collaborateurs aux risques cyber appeared first on INCYBER NEWS.

Alors que le cybermois à pour objectif de sensibiliser aux cybermenaces et aux bons réflexes pour s’en protéger, il est utile de se demander à qui s’adresser quand une cyberattaque survient. Lorsqu’une organisation est confrontée à une cyberattaque, elle peut s’adresser à plusieurs structures publiques selon la nature de l’incident et le niveau d’urgence : 17Cyber.gouv.fr / Cybermalveillance.gouv.fr pour les victimes non régulées (TPE, PME, collectivités, particuliers), les CSIRT régionaux, l’ANSSI pour les opérateurs régulés, la Gendarmerie nationale et la Police nationale pour l’aspect judiciaire.

17Cyber, la porte d’entrée grand public et professionnelle

Depuis décembre 2024, le réflexe prioritaire pour les victimes de cyberattaques s’appelle 17Cyber.gouv.fr. Accessible en continu, ce portail est le fruit d’une collaboration entre la Police nationale, la Gendarmerie nationale et le site Cybermalveillance.gouv.fr. Il fournit un questionnaire de diagnostic, propose des mesures de confinement adaptées et, au besoin, oriente vers un prestataire référencé.

« Le 17Cyber s’adresse aux particuliers et aux organisations (collectivités et entreprises) non régulées. Sa mission première est d’assister les victimes d’actes de cybermalveillance. Sa deuxième mission est la prévention : production de contenus dédiés, campagnes de sensibilisation… Enfin, son troisième but est d’observer la menace, ce qui alimente les deux premiers », déclare Jérôme Notin, Directeur général de Cybermalveillance.gouv.fr, à l’occasion du forum INCYBER des territoires qui a eu lieu en mai dernier au Creusot.

Historiquement (avant le 17 décembre 2024), le 17Cyber se contentait d’accueillir les victimes, de qualifier la menace via un questionnaire, de leur prodiguer des conseils adaptés et, dans certains cas, de les mettre en relation avec un des 1 200 prestataires de proximité référencés (dont 200 sont labellisés). « Plus de 86 % des entreprises, 24 heures sur 24 et 7 jours sur 7, trouvaient un prestataire en capacité de les accompagner en moins d’une heure », précise Jérôme Notin.

Depuis le 17 décembre 2024, grâce au ministère de l’Intérieur, la victime se voit proposer, dans les cas qui le nécessitent, d’échanger avec un policier ou un gendarme sur l’aide à la judiciarisation. « Il est fondamental que les victimes puissent déposer plainte pour, potentiellement, identifier les auteurs et faire cesser l’infraction. Cela permet aussi à la puissance publique d’avoir connaissance de l’impact de ces faits de cybermalveillance », note Jérôme Notin.

Les CSIRT territoriaux, des relais de proximité

Issus de la volonté de l’ANSSI en 2021 de développer un maillage territorial et financés par le plan France Relance, 15 CSIRT territoriaux (Computer Security Incident Response Team) couvrent désormais l’ensemble des territoires métropolitain et d’outre-mer. Ils traitent les demandes d’assistance des acteurs de taille intermédiaire (PME, ETI, collectivités territoriales et associations) et les mettent en relation avec des partenaires de proximité : prestataires de réponse à incident et partenaires étatiques. L’émergence de ces CSIRT territoriaux doit permettre de fournir localement un service de réponse à incident de premier niveau gratuit, complémentaire de celui proposé par les prestataires, la plateforme Cybermalveillance.gouv.fr et les services du CERT-FR (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques) qui dépendent de l’ANSSI.

« Au sein de la région Bourgogne Franche-Comté, notre rôle principal est l’aide à la remédiation et la gestion d’incident. Quand une victime nous appelle, nous déroulons avec elle une fiche réflexe en fonction de la typologie de l’incident (messagerie compromise, déni de service, etc.). Par la suite, la région a souhaité que nous étendions nos actions à travers de l’alerting. Cela consiste à repérer des vulnérabilités sur des sites de collectivités ou d’entreprises et à les prévenir. Nous menons aussi beaucoup d’actions de sensibilisation et animons la filière cyber régionale », explique Sébastien Morey, Responsable du CSIRT Bourgogne Franche-Comté.

Organismes régulés : l’ANSSI comme interlocuteur

Quant aux opérateurs d’importance vitale (OIV) et opérateurs de services essentiels (OSE), ils dépendent de l’ANSSI en cas de cyber incident. « Mais l’entrée en vigueur de NIS2 élargit considérablement le périmètre des entreprises régulées, avec les entités essentielles (EE) et importantes (EI)​​. Nous passons d’environ 500 entreprises à près de 15 000. Nous allons donc travailler très étroitement avec Cybermalveillance.gouv.fr et le 17Cyber », précise Véronique Brunet, Déléguée de l’ANSSI pour la région Bourgogne Franche-Comté.

« Au quotidien, je travaille énormément avec la gendarmerie et le CSIRT Bourgogne Franche-Comté. Nous échangeons beaucoup d’informations sur les incidents. Nous veillons aussi à ce que chacun d’entre nous puisse aider les victimes à porter plainte et à faire leur déclaration au CSIRT ou au CERT-FR. Parfois, même si l’entité n’est pas un OIV ou un OSE, nous estimons que ses missions sont stratégiques pour la défense de la nation et faisons une déclaration au CERT-FR. Cela permet de lui apporter une aide complémentaire à celle des autres organismes », note Véronique Brunet.

Quant aux établissements de santé, organismes et services exerçant des activités de prévention, de diagnostic ou de soins, ainsi que les établissements et services médico-sociaux, ils disposent d’un relais dédié : le CERT Santé. Joignable par téléphone et via le portail de signalement du ministère, le centre assure une astreinte permanente et publie des fiches réflexes opérationnelles. Un établissement de santé doit déclarer tout incident susceptible d’affecter la disponibilité, l’intégrité ou la confidentialité d’un système d’information critique, même si le service est assuré par un sous-traitant.

Notification CNIL : un impératif réglementaire

Enfin, dès qu’une violation implique des données à caractère personnel, la CNIL doit être notifiée dans les 72 heures après détection, même si toutes les informations ne sont pas encore consolidées. La télé-procédure « Notifier une violation » gère la déclaration initiale puis, au besoin, les compléments. En présence d’un risque élevé pour les personnes concernées (données de santé, identifiants bancaires, mineurs), l’entreprise doit également les informer individuellement sans délai excessif. Les retards non justifiés exposent à des amendes administratives pouvant atteindre 2 % du chiffre d’affaires mondial.

The post En cas de cybercrise : à qui s’adresser ? appeared first on INCYBER NEWS.