L’humain étant le maillon faible de la cybersécurité, les entreprises doivent investir dans la formation et la sensibilisation. Un processus continu qu’elles peuvent désormais mettre en œuvre grâce à des systèmes d’entraînement basés sur l’IA et la cognitique pour exercer leurs salariés.
La généralisation des attaques ciblées ad hominem, les récentes attaques sur le tribunal de Paris en sont une illustration, montrent bien que les cybermalfaiteurs visent d’abord les faiblesses humaines pour arriver à leurs fins. Une de ces faiblesses étant l’ignorance, qui découle d’un manque de formation, les entreprises doivent trouver une parade pour que la formation de leurs employés et leur sensibilisation soient continues et solides. Continue pour évoluer en même temps que les techniques utilisées par les cybermalfaiteurs, et solide, c’est-à-dire qui ne consiste pas seulement en un ensemble de recommandations de prudence, mais en une véritable formation pratique, qui aiguise les sens et permet aux employés de déceler le moindre signe d’embuscade.
C’est le genre de formation qui ne peut pas être faite une fois pour toutes, mais un véritable processus qui se répète à intervalles réguliers, comme des manœuvres militaires, avec des exercices pratiques d’attaques en temps réel pour entraîner les apprenants. On imagine aisément la difficulté d’organiser de telles sessions dans les entreprises. C’est justement là que peut intervenir l’IA et plus généralement les neurosciences. Il ne fait plus aucun doute que les prochaines décennies seront placées sous le signe de la cognitique, cette branche de l’ingénierie et des sciences et technologies de l’information (algorithmie et automatique en tête) qui ouvre des perspectives dans tous les domaines, allant de l’apprentissage à la cybersécurité en passant par la robotique.
Un coach d’apprentissage par l’échec
C’est justement dans le domaine de l’apprentissage que Mailinblack, le spécialiste de la sécurisation des courriels, a décidé de mettre à contribution l’IA et les neurosciences. Partis du constat qu’il fallait absolument réduire la vulnérabilité du facteur humain de la cybersécurité, les experts de l’éditeur ont développé un système intelligent d’apprentissage par l’échec : Mailinblack Phishing Coach. Il permet de simuler des campagnes de phishing afin d’éduquer chacun des utilisateurs « de façon ludique, individuelle et pertinente », explique le communiqué.
« Au-delà des couches de cybersécurité machine et deep learning visuelles, textuelles, auditives, les progrès massifs en neurosciences et compréhension des mécanismes émotionnels, cognitifs et comportementaux des utilisateurs permettent enfin de réinventer la cyberéducation, détaille le communiqué. La sensibilisation s’appuyant sur l’IA et les neurosciences est indispensable pour réduire la vulnérabilité humaine en cybersécurité. Campagnes fictives d’entraînement basées sur IA, adaptative learning, emotion tracking sont aujourd’hui les innovations clefs à suivre en cybersécurité, celles qui vont enfin apporter la vulnérabilité zéro, avec la dimension humaine, enfin vraiment au centre ».
Acquisition d’une cybersagesse
Le système teste les « réflexes sécuritaires » du collaborateur à des fréquences variables. Celui-ci reçoit un message vraisemblablement venant d’un service ou une entité connue, lui demandant des informations confidentielles ou personnelles. Il est ensuite redirigé vers une page de sensibilisation qui récapitule la nature du test et sensibilise l’utilisateur aux bonnes pratiques, en dévoilant que le dispositif n’était qu’une « fausse campagne de phishing », en précisant de ne pas révéler la démarche à ses collègues pour qu’ils puissent y participer, et en faisant un point sur les bonnes pratiques pour contrer de façon simple et efficace les cyberattaques.
L’interface dédiée à l’administrateur permet d’avoir une vue globale des statistiques de Mailinblack Phishing Coach, des campagnes en cours et des utilisateurs « testeurs ». « Les bénéfices sont doubles : pour l’entreprise (formation et suivi des progrès des équipes pour une meilleure sécurisation des données sensibles), mais aussi pour le salarié (acquisition d’une cybersagesse à exploiter dans son quotidien) », conclut le communiqué.