L'une des principales préoccupations des entreprises est la protection contre les menaces numériques. Malgré l'adoption de nombreuses mesures, applications et solutions innovantes pour prévenir les intrusions et le vol de données, la sécurité dépend non seulement des technologies de pointe, mais aussi du comportement humain. C'est ce qu'affirme Leonardo Baiardi, expert en cybersécurité chez dataRain, qui souligne que 74 % des cyberattaques sont dues à des facteurs humains. Il insiste sur l'importance cruciale d'une formation adéquate des employés pour une stratégie de sécurité efficace.
Baiardi considère l'être humain comme le maillon faible face aux cyber-risques en entreprise. « Chaque employé doit comprendre sa responsabilité en matière de sécurité des données, ce qui passe nécessairement par la formation, la responsabilisation et la communication interdépartementale. Chacun doit être conscient des risques auxquels il est exposé. »
L'avis de cet expert corrobore les conclusions du rapport 2023 de Proofpoint sur les facteurs humains, qui souligne le rôle prépondérant de ces facteurs dans les failles de sécurité. L'étude révèle une multiplication par douze du volume des attaques d'ingénierie sociale via appareils mobiles, un type d'attaque qui débute par des messages apparemment anodins, créant ainsi des liens de confiance. Selon Baiardi, cela s'explique par la vulnérabilité du comportement humain. « Comme l'a dit le célèbre hacker Kevin Mitnick, l'esprit humain est la ressource la plus facile à pirater. En effet, les êtres humains possèdent une dimension émotionnelle très sensible aux influences extérieures, ce qui peut les conduire à des actes impulsifs comme cliquer sur des liens malveillants ou partager des informations sensibles », explique-t-il.
Les kits de phishing conçus pour contourner l'authentification multifacteurs (MFA) et les attaques basées sur le cloud, qui ciblent environ 94 % des utilisateurs chaque mois, figurent également parmi les menaces les plus fréquemment recensées dans le rapport.
Les erreurs les plus courantes
Parmi les erreurs les plus courantes qui entraînent des failles de sécurité, Baiardi cite : le fait de ne pas vérifier l’authenticité des courriels ; le fait de laisser les ordinateurs déverrouillés ; le fait d’utiliser des réseaux Wi-Fi publics pour accéder aux informations de l’entreprise ; et le retard dans les mises à jour logicielles.
« Ces comportements peuvent ouvrir la porte à des intrusions et à la compromission de données », explique-t-il. Pour éviter de tomber dans le piège des arnaques, l'expert recommande de ne pas cliquer sur les liens suspects. Il suggère donc de vérifier l'expéditeur, le domaine de l'adresse électronique et l'urgence du message. « En cas de doute, une astuce consiste à laisser le curseur de la souris sur le lien sans cliquer, afin de visualiser l'URL complète. Si elle paraît suspecte, il s'agit probablement d'un contenu malveillant », conseille-t-il.
Hameçonnage
L’hameçonnage est l’une des plus grandes cybermenaces, utilisant la messagerie professionnelle comme vecteur d’attaque. Pour s’en prémunir, Baiardi suggère une approche multicouche : sensibilisation et formation des employés, en complément de mesures techniques robustes.
Maintenir les logiciels et les systèmes d'exploitation à jour est essentiel pour réduire les vulnérabilités. « De nouvelles vulnérabilités apparaissent quotidiennement. Le moyen le plus simple de réduire les risques est de maintenir les systèmes à jour. Dans les environnements critiques, où les mises à jour constantes sont impossibles, une stratégie plus robuste est nécessaire. »
Il fournit un exemple concret de la manière dont une formation efficace contribue à prévenir les attaques : « Après la mise en place de simulations et de formations sur le phishing, nous avons constaté une augmentation significative des signalements de tentatives de phishing de la part des employés, ce qui témoigne d’une meilleure capacité de vigilance face aux menaces. »
Pour mesurer l'efficacité de la formation, Baiardi suggère de définir un périmètre clair et de réaliser des simulations périodiques avec des indicateurs prédéfinis. « Il est nécessaire de mesurer la quantité et la qualité des réactions des employés face aux menaces potentielles. »
Le dirigeant cite un rapport de Knowbe4, entreprise spécialisée dans la formation en cybersécurité, qui montre que le Brésil est en retard par rapport à des pays comme la Colombie, le Chili, l'Équateur et le Pérou. L'enquête de 2024 souligne que si les employés comprennent l'importance de la cybersécurité, ils ne saisissent pas réellement le fonctionnement des menaces. Par conséquent, elle insiste sur le rôle crucial de la culture d'entreprise dans la promotion des bonnes pratiques : « Sans un programme de culture de la cybersécurité bien mis en œuvre, il est impossible d'évaluer le niveau de maturité d'une entreprise dans ce domaine. »
Ce spécialiste est également responsable de la mise en œuvre des offres de cybersécurité proposées par dataRain, qui fournit des solutions robustes et rapidement déployables telles que la sécurité du courrier électronique, les audits de conformité et de vulnérabilité, la sécurité des terminaux et la gouvernance du cloud. « La cybersécurité est un défi permanent, et le facteur humain est essentiel pour garantir la protection des informations et l'intégrité des systèmes. Investir dans la formation et la sensibilisation, c'est investir dans la sécurité de toute l'organisation. Toutes nos prestations s'accompagnent d'un transfert de connaissances, ce qui nous permet de mieux appréhender les menaces chez nos clients », conclut-il.
