Article SoSafe
Selon une étude menée par l’ISACA (Information Systems Audit and Control Association), l’année 2022 a été particulièrement difficile : 60 % des sociétés ont affirmé avoir de la peine à retenir des professionnels qualifiés en cybersécurité et que le principal motif de ces démissions était le stress lié au travail.
Cette situation est encore exacerbée par une pénurie de main d’œuvre sans précédent. Selon l’organisme britannique CIISEC (Chartered Institute of Information Security), le secteur de la cybersécurité présente un déficit de 3,5 millions de collaborateurs qui complique encore la tâche d’équipes déjà surmenées.
C’est dire combien la bataille est rude à mener pour les équipes de cybersécurité : alors qu’elles sont en sous-effectif du fait de cette pénurie massive de talents, elles doivent combattre des ennemis de plus en plus puissants. Nous aimerions ici vous faire comprendre toutes les répercussions que peut avoir cette crise dans la cybersécurité et l’accablement qui peut gagner des équipes de sécurité en manque de ressources face à une cybercriminalité coûtant de plus en plus cher.
Une cybercriminalité qui coûte de plus en plus cher : un défi pour des équipes de sécurité surmenées
Les actes de cybercriminalité explosent et se complexifient : on estime qu’ils devraient coûter à l’industrie mondiale 10,5 billions de dollars par an, d’ici 2025, contre 3 billions de dollars en 2015. Pour des équipes de cybersécurité déjà surmenées, organiser la défense dans ces conditions représente un véritable défi. Les récentes violations de données qui ont frappé des sociétés comme la BBC, British Airways, Boots et Aer Lingus sont le triste reflet du paysage actuel des menaces numériques.Les attaques deviennent de plus en plus sophistiquées. Comme l’a montré le piratage du logiciel de transfert de fichiers MOVEit, les hackers s’entendent à exploiter les vulnérabilités d’applications extrêmement répandues. Or, ces menaces ne se limitent pas à un seul secteur ni à une unique localisation géographique. Il faut se rendre à l’évidence : aucune société n’est à l’abri. Et il est de plus en plus difficile pour les entreprises de garder une longueur d’avance sur ces menaces en constante évolution, face à des attaquants qui sont souvent liés à des groupes de crime organisé, comme celui à l’origine du rançongiciel CLOP que l’on suspecte d’être à l’origine de la vague d’attaques évoquée plus haut.
Si les coûts liés à la cybercriminalité augmentent, ce n’est pas uniquement à cause du montant des rançons qui peuvent être versées ou des pertes financières immédiates causées par le vol. Les sociétés doivent en outre faire face aux frais pour le rétablissement des données, pour la mise à niveau du système, pour le conseil juridique, aux éventuelles amendes pour non-conformité aux réglementations en vigueur et à la dégradation de leur image. Cette dernière peut se traduire par la perte d’opportunités commerciales et de la confiance des consommateurs avec de possibles retombées financières à long terme. Or, dans ce contexte où risques et coûts augmentent, les équipes de cybersécurité se retrouvent souvent surmenées et ne disposent ni des ressources ni des compétences requises pour réagir promptement et à bon escient.
Le travail hybride met les stratégies de cybersécurité à rude épreuve
Bien que les employés du monde entier regagnent peu à peu leurs bureaux après les années de télétravail imposées par la pandémie, une forme de travail hybride s’est imposée dans de nombreuses sociétés. Cette approche flexible présente de nombreux avantages : un meilleur équilibre entre la vie professionnelle et la vie privée, moins de temps passé dans les transports et parfois, moins de frais. Cependant, ce nouveau standard augmente aussi la surface de frappe pour les cybercriminels. De fait, 75 % des experts en sécurité interrogés dans le cadre de notre Analyse du risque humain 2023 pensent que le travail hybride augmente les risques de cyberattaques.Comme les employés travaillent aujourd’hui depuis différents endroits et utilisent souvent leurs appareils personnels depuis des réseaux non sécurisés, les vulnérabilités sont plus importantes. Chaque périphérique et chaque réseau extérieur à l’environnement du bureau représente un point d’entrée potentiel pour les attaquants. La frontière entre les données privées et professionnelles se floute et il est, de ce fait, plus difficile pour les entreprises de garder leurs actifs numériques sous contrôle.
D’autant que la nature informelle des réseaux domestiques peut inciter les collaborateurs à être moins rigoureux dans leur respect des protocoles de cybersécurité. Les employés peuvent adopter, par inadvertance, des comportements à risques : cliquer sur des liens de phishing, choisir des mots de passe trop faibles ou partager des informations sensibles sur des canaux non sécurisés, par exemple.
Pour en savoir plus sur les principaux facteurs qui, dans le cadre des formes de travail hybride, contribuent à augmenter les risques cyber, lisez notre Analyse du risque humain 2023.
Les conséquences : le burn-out des professionnels fait le bonheur des attaquants
Ce cocktail explosif de stress, d’équipes en sous-effectif et de formes de travail modernes qui décuplent la surface d’attaque constitue un terreau fertile pour les cybercriminels. Les personnes malintentionnées profitent en effet de l’épuisement et du stress des professionnels de la cybersécurité qui, sous le coup de la pression, pourraient négliger certaines précautions et être moins efficaces dans la résolution des incidents de sécurité. Par ailleurs, outre la protection des autres départements de l’entreprise et la nécessité de réagir rapidement aux attaques, les équipes de cybersécurité elles-mêmes sont, d’après les personnes interrogées dans le cadre de notre enquête, l’un des services les plus susceptibles d’être attaqués.Une étude indépendante, menée auprès de 1 027 membres d’équipes de sécurité aux États-Unis et en Europe, dresse un tableau inquiétant de la situation. Elle montre, en effet, que 66 % de ces personnes subissent une pression importante dans le cadre du travail, que 51 % d’entre elles se sont vu prescrire un traitement médicamenteux pour des problèmes de santé mentale et que 19 % consomment plus de trois verres d’alcool par jour pour surmonter le stress.
Bien conscients des vulnérabilités des équipes de cybersécurité sous pression, les cybercriminels s’engouffrent dans la faille du burn-out pour perpétrer leurs attaques. Ils passent au peigne fin les compositions des effectifs et ciblent les sociétés dont les équipes, vues de l’extérieur, semblent plus vulnérables à d’éventuelles violations. Au vu de ces tendances inquiétantes, il est aujourd’hui impératif que les sociétés investissent en priorité dans le bien-être et la rétention de leurs collaborateurs.
Des mesures urgentes : inverser la tendance au burn-out et renforcer le pouvoir d’agir des futures équipes de cybersécurité
Alors que le paysage des menaces continue d’évoluer, il est urgent de s’attaquer au problème de burn-out qui sévit au sein des équipes de cybersécurité. L’ignorer pourrait avoir des conséquences désastreuses : des employés épuisés et surmenés ne sont pas en état de défendre efficacement l’entreprise et pourraient même involontairement faire le jeu des hackers qui cherchent à tirer parti de leur vulnérabilité.Il est évident que l’on ne peut relever seul ces défis. Ceux-ci requièrent, bien au contraire, une approche plurielle, incluant toute la société, et une aide tangible. Il faut notamment augmenter les budgets dédiés à la cybersécurité pour acquérir des outils et des ressources essentiels, proposer des évolutions de carrière pertinentes pour retenir les talents sur le long terme et veiller à ce que l’effectif des équipes soit toujours suffisant pour prévenir toute surcharge de travail pouvant entraîner des burn-outs.
La réflexion doit cependant être poursuivie au-delà de ces mesures pratiques. À ces difficultés s’ajoute encore, pour les responsables de la cybersécurité, le fardeau d’être souvent perçus comme les « empêcheurs de tourner en rond », en particulier lorsqu’ils interviennent pour renforcer les mesures nécessaires, telles que les restrictions de téléchargement de logiciels sur les ordinateurs du travail afin d’éviter toute pratique informatique clandestine. Ces incompréhensions sont révélatrices d’un manque de sensibilisation, au sein de l’entreprise, sur le rôle central que joue la cybersécurité.
C’est sur ce point que la direction doit intervenir, en inculquant à toute la société une culture qui comprend l’utilité de la cybersécurité et la valorise. Les cadres dirigeants sont responsables de communiquer sur l’intérêt des efforts en matière de cybersécurité, d’insister sur la mission essentielle que remplissent ces équipes pour la bonne santé de l’entreprise et sa protection. Il faut aussi investir dans la formation continue des employés à la cybersécurité. C’est une priorité. Il est nécessaire de fournir à chaque membre du personnel les connaissances et les outils nécessaires pour détecter les éventuelles menaces et contribuer à la sécurité générale de la société. Ainsi équipés, tous les employés formeront une ligne de défense pour protéger l’entreprise et seconderont les équipes de cybersécurité qui pourront alors concentrer leurs efforts sur des initiatives plus stratégiques et des défis plus complexes sans pour autant flirter avec le burn-out.
Des plateformes comme SoSafe sensibilisent à la cybersécurité pour permettre de mieux répartir les responsabilités. SoSafe propose un apprentissage gamifié, s’appuyant sur des simulations phishing inspirées de situations réelles pour ancrer de véritables réflexes de sécurité chez les utilisateurs tout en rassemblant, sur un tableau de bord interactif, des indicateurs concrets à l’intention des décideurs. Notre nouvelle fonctionnalité Rapid Awareness permet en outre de communiquer différemment lorsqu’une réaction rapide est nécessaire. En investissant dans des outils complets comme SoSafe, il est possible de responsabiliser tous les employés en matière de cybersécurité, d’alléger la charge qui pèse sur les épaules des équipes de sécurité et de construire une structure résiliente, équipée pour faire face à l’évolution constante des menaces.
Article SoSafe