L'année écoulée n'a pas été facile pour les experts en sécurité informatique, notamment en France. Selon les dernières études disponibles, le préjudice total de la cybercriminalité explose dans l’hexagone et devrait atteindre 119 milliards d’euros (129 milliards de dollars) en 2024, ainsi que 386 milliards d’euros (419 milliards de dollars) d’ici 2028.
Au niveau technique, l’actualité a été marquée par la percée de l'IA générative et des technologies qui en découlent, telles que les deepfakes. Elles facilitent le travail des cybercriminels, par exemple en aidant à rendre les pages de phishing plus crédibles ou en faisant croire aux utilisateurs qu'ils ont affaire à une personne digne de confiance lors d'attaques d'ingénierie sociale, qui se produisent de plus en plus via des outils de collaboration tels que Teams, Slack ou Zoom.
Le facteur humain au cœur des stratégies cyber
Le rôle que peuvent jouer les collaborateurs est de plus en plus important dans les stratégies mises en place par les cybercriminels. Comme les e-mails et les outils de collaboration sont les principales portes d'entrée, les employés constituent la première et la plus importante ligne de défense contre les attaquants et sont susceptibles d'être particulièrement vulnérables en fonction de leur rôle dans l'entreprise. Ainsi, en France, l’email a constitué une porte d’entrée pour le ransomware dans 64 % des cas au cours des 12 derniers mois, et près de deux tiers des entreprises estiment que leur organisation souffrira d’une attaque liée à un outil collaboratif en 2024. Et les entreprises sont près d’un tiers à estimer que le risque posé par les outils de collaboration est élevé.Des efforts sont ainsi à fournir car près de la moitié des entreprises interrogées ont également déclaré que le plus grand enjeu pour 2024 portera sur les erreurs humaines liées à la gestion des employés des cybermenaces par email. Une baisse de vigilance qui s’explique notamment par la fatigue professionnelle.
Le principal défi : sensibiliser les employés aux enjeux de cybersécurité
Comment faire face aux menaces ? Mettre l’accent sur la sensibilisation des employés. Cependant, il semblerait que des progrès doivent encore être faits en France. En effet, l’un des principaux enjeux de cybersécurité en 2024 soulevé par les entreprises est le manque de sensibilisation des employés aux menaces et le manque de formation sur la manière de les combattre. Une minorité d’entreprises propose régulièrement une formation adéquate à leurs employés. Alors que les équipes informatiques sont persuadées que la sensibilisation des employés est au cœur de la défense contre la cybercriminalité, les directions doivent désormais partager leur opinion et investir dans le développement de ces compétences.Cependant, de manière générale, la France se situe dans le milieu du panier en matière de dépenses informatiques : 49,22 % du budget de leur entreprise serait alloué à la cybersécurité. Seule l’Allemagne fait mieux avec 54,81 % alors que le Royaume-Uni arrive en dernière position avec 28,70 %.
Toutefois, la France est en retard dans l'adoption des systèmes de cybersécurité, notamment DMARC (Message Authentication Reporting et Conformance). Seules 27 % des entreprises l’utilisent actuellement, contre 62 % en Allemagne, ce qui reflète la nécessité d'efforts supplémentaires en termes de budget pour les équipes de cybersécurité. Il y a donc un besoin de rattrapage en matière de prise de conscience et de protection
contre les risques.
L'idée d'une gestion des risques humains ciblée et professionnelle commence tout juste à s'imposer en France et en Europe. Cela est également dû au fait qu'elle est souvent mal comprise dans l'Europe, davantage axée sur la protection des données. Il ne s'agit pas d'espionner les employés et de dénoncer les erreurs, mais de les protéger contre les attaques, surtout ceux qui sont particulièrement vulnérables en raison de leur rôle
dans l'entreprise.
Par Sébastien Weber, Vice-Président Régional Europe du Sud chez Mimecast