Le sujet fait peur et on découvre de nouvelles victimes jour après jour. Non, le sujet n’est pas la Covid-19, mais les cyberattaques. Les hackers ont profité du contexte inédit instauré en 2020 pour s’attaquer à de plus en plus d’entreprises, d’organisations et de personnes.
Les entreprises et organismes publics l’ont compris : il ne suffit pas d’avoir une technologie rodée, il faut également que chacun joue son rôle dans la lutte contre le cybercrime.
Puisque les actifs de la France entière ont besoin d’être mieux sensibilisés, plus outillés et plus conscients des risques, le secteur de la formation trouve sa place tout naturellement.
Observez ce qui se passe dans le pays, comprenez les mécanismes et regardez où vous pouvez vous positionner.
À quoi ressemble le cyber risque en 2022 ?
De plus en plus répandue, la cyber-malveillance attaque tout le monde : les administrations publiques, les PME, les grandes entreprises et même les individus. Le risque ne fait que s’accroître : en un trimestre, l’année 2022 affiche autant d’attaques par rançongiciel que toute l’année 2021. 2021 marquait déjà un record avec 1 082 intrusions avérées contre 786 en 2020.
“2021 a été une année très dense sur le plan opérationnel. Les incidents ont été nombreux – certains atteignant une ampleur et une sophistication encore jamais vues – et les vulnérabilités critiques dans des composants essentiels de nos systèmes numériques se sont enchaînées. Nul n’est à l’abri d’une crise d’origine cyber […]” Agence nationale de la sécurité des systèmes d’information
À la première place des attaques se trouvent :
- Dans les entreprises, le rançongiciel qui bloque l’accès au système informatique et le débloque en cas de paiement de rançon ;
- Pour tous, le phishing (ou hameçonnage). Le phishing consiste à usurper l’identité d’une personne ou d’une structure (La Poste, les impôts, l’Assurance Maladie) pour recevoir des informations personnelles ou sensibles.
Le rançongiciel est assez pointu et traité uniquement par les Directions des Systèmes d’Information (DSI). Le phishing lui est l’affaire de tous : c’est parce qu’une personne a cliqué sur un email ou un SMS frauduleux que le hackeur obtient des données ou pénètre un système.
Comment s’explique une telle explosion des attaques ?
Depuis les confinements successifs, le télétravail a explosé en France : un salarié sur cinq a travaillé hors de son entreprise en 2021. Au sein de l’entreprise, à l’aide de la DSI, le réseau et les appareils sont protégés. Les connexions et données sont cryptées, les authentifications sont fortes et les connexions aux sites risqués sont assez limitées. Dans un cadre familial, les efforts ne sont pas aussi aboutis. Les fournisseurs internet assurent un niveau de sécurité certain, mais pas aussi performant que les entreprises. De ce fait, les télétravailleurs exposent plus leurs outils de travail aux cyberattaques lorsqu’ils travaillent de chez eux, ou pire, sur des réseaux publics.
Par ailleurs, le principe du Bring Your Own Device, où l’usage des appareils personnels dans un cadre professionnel, a fait un bond en avant pendant les confinements. Bien obligés de travailler, les actifs ont dû utiliser leurs appareils personnels lorsque les appareils professionnels devenaient hors d’usage. La question de la sécurité apparaissait une nouvelle fois. Avec des smartphones qui ne présentent pas de systèmes d’authentification forte, les connexions au site mobile plutôt qu’à l’intranet ou les données qui s’exposent au risque, les cas de cyberattaques se sont multipliés.
Face à une population et des technologies plus vulnérables, la communauté des hackeurs a grandi en masse ces dernières années. Les groupes se structurent, les hackeurs recrutent et les rançons à plusieurs millions de dollars nourrissent l’appât du gain.
Dans la course effrénée de l’attaque et de la défense, les hackeurs ont souvent une longueur d’avance. Les innovations dans le cybercrime se multiplient aussi vite que les défenses.
L’importance de la formation
Puisque le phishing est populaire et vise directement les personnes, il représente le cas où la prévention est la plus importante. Les formateurs experts ont donc tout intérêt à transmettre les bonnes informations et les bonnes pratiques aux salariés.
Par exemple, les individus sont plus enclins à tomber dans le piège du phishing pour 4 raisons :
- Le stress, provoqué entre autres par la multiplicité des tâches dans la journée de travail ;
- La curiosité ;
- L’altruisme, lorsque le mail touche une corde sensible ;
- L’appât du gain quand la communication promet monts et merveilles.
Il faudra donc travailler sur les mécanismes individuels. Mais également sur la détection d’emails frauduleux, sur la réaction à avoir, connaître les habitudes des expéditeurs les plus connus…
Puisque le phishing ne représente pas la seule menace, d’autres compétences sont à faire évoluer, notamment les compétences d’usage : les usages des logiciels et outils, la gestion des données, les pratiques informatiques sécurisées…
Enfin, dans un registre plus technique, les formateurs sont invités à consacrer un temps de formation à la prise en main cyber intelligente des outils sur lesquels travaillent les salariés.
Par exemple, une formation pratique à Microsoft 365 ne suffit pas, il faut également envisager l’aspect sécurité.
Ce registre de la formation demande souvent de créer un binôme avec un profil tech performant. En attendant, de nombreuses ressources de l’Agence nationale de sécurité des systèmes informatiques sont exploitables.
Une formation aussi technique trouve-t-elle facilement preneur ? Oui, surtout vu les temps qui courent. Les entreprises prennent petit à petit conscience de l’importance d’une bonne sécurité et d’une bonne formation de leurs employés. Ce qui vous demandera le plus d’effort sera plutôt du côté du contenu que de la promotion.