Tout a commencé par un constat, un an et demi après le lancement de notre cybercoach pour les employés.
Aujourd'hui, les formations de sensibilisation à la sécurité sont plus que jamais nécessaires. Les chiffres parlent d'eux-mêmes* :
- 50% des entreprises ont souffert d'une attaque en 2021.
- 6 mois après une cyberattaque réussie sur des PME, entre 40 et 60% d'entre elles font faillite
- 85% de ces attaques sont causées par une erreur humaine
Que vous soyez une PME familiale, une entreprise technologique de grande envergure ou un groupe coté en bourse, la question n'est pas de savoir SI vous subirez une attaque, mais QUAND. Vous devez agir avec vos équipes pour limiter les dégâts.
Faire face au risque
Face à ce risque, quelles solutions avons-nous ?
- La communication interne ? Ignorée la plupart du temps.
- Les modules de formation en e-learning ? Il est difficile d'impliquer les employés, qui les perçoivent comme une perte de temps.
- Les campagnes de phishing ? Pertinentes compte tenu du risque que représente le courrier électronique, mais largement insuffisantes face à la diversité croissante des menaces.
Plus généralement, ces solutions ne parviennent pas à démontrer un ROI clair (notamment pour les membres du conseil d'administration), et sont souvent déconnectées de la réalité des employés. Malgré la propagation de la menace, la sécurité reste contraignante dans l'esprit des employés plutôt que cruciale.
Un coach virtuel offre une première solution, notamment pour les entreprises qui débutent leur parcours de sécurité. L'objectif est d'engager les employés dans la cybersécurité avec un format ludique, interactif et non contraignant. Les échanges sont personnalisés à l'employé, et ses réponses peuvent se transformer en statistiques précises et s'adapter à son niveau de maturité. Vous pouvez suivre régulièrement les progrès des équipes, et ainsi avoir une meilleure visibilité sur les forces et faiblesses de votre organisation au fil du temps.
Pour toutes les entreprises qui veulent aller plus loin, le coach n'est pas la solution miracle. Aussi engageant soit-il, il reste un apport théorique à la cybermaturité des salariés. Une pièce nécessaire du puzzle, mais seulement une pièce et non le tableau complet.
Avant d'aller plus loin, prenons une seconde pour regarder ce tableau avec un peu de recul. Arrêtons-nous pour considérer les deux approches complémentaires qui existent pour réduire le risque humain.
Deux approches opposées
D'un côté du spectre, nous trouvons les outils techniques de sécurité informatique, par exemple les antispam, les pare-feu, les EDR. Tous ces outils visent à bloquer une intrusion (externe) sur votre système, mais aussi à empêcher l'utilisateur d'effectuer une action potentiellement dangereuse en interne. Télécharger une pièce jointe malveillante, accéder à un site web interdit par la charte informatique, partager un document sensible en dehors de l'organisation... Autant de risques qui doivent être prévenus par ces outils. La méthodologie est donc réactive - lorsqu'une action particulière se produit, on intervient pour en limiter les conséquences.
De l'autre côté de la pièce, on trouve la cyber sensibilisation, avec ses avantages et ses limites. L'objectif est le même, à savoir prévenir les comportements dangereux, mais les moyens sont différents. Les formations de sensibilisation permettent aux utilisateurs de mieux connaître les risques, et parfois de les former à la détection des e-mails frauduleux. Ici, l'approche est préventive - nous essayons d'empêcher le comportement avant qu'il ne se produise.
Pour résumer, en termes de risque humain, nous bloquons les "attaques" externes et internes avec la technologie, et nous gérons le risque résiduel avec l'acculturation. Mais qu'y a-t-il au milieu pour combler l'écart entre les deux ?
Entre ces deux approches, il y a... il n'y a pas grand-chose en fait. Nous continuons à traiter les deux aspects de manière fondamentalement différente et séparée. Nous utilisons des outils techniques sans tenir compte du comportement des employés. Nous formons les utilisateurs avec des programmes de sensibilisation comme si cela n'avait aucun impact sur les incidents signalés.
Après avoir entendu les commentaires des professionnels de la sécurité et de la formation, nous avons pensé que ce serait une bonne idée de réunir ces deux mondes. Combiner l'objectivité et les capacités d'automatisation de la technologie, avec la science du comportement et le pouvoir de la psychologie.
Et c'est là qu'un nouveau paradigme entre en jeu. Une nouvelle façon d'envisager le problème et de le résoudre.
Sécurité comportementale
Les formations de sensibilisation ne seraient-elles pas plus efficaces si elles étaient effectuées au moment où l'employé en a le plus besoin ? Et si on les avertissait juste avant qu'ils ne commettent une erreur ? Leur attention serait maximisée, car la notification dépendrait uniquement de leur comportement - et non d'un calendrier de formation arbitraire.
Imaginez que vous puissiez envoyer un message à un employé qui n'a pas verrouillé son ordinateur lorsqu'il revient de déjeuner. Ou lorsqu'il essaie d'accéder à des informations confidentielles. Ou juste avant qu'il ne saisisse son identifiant et son mot de passe sur un site web frauduleux. Cela semble séduisant sur le papier, mais comment obtenir ces informations ?
En fait, vos outils internes disposent déjà de ces informations. Les solutions de sécurité bien sûr, mais aussi toutes les applications que vous utilisez : environnements cloud, outils de communication et de messagerie, CRM, navigateurs... Sans parler des machines elles-mêmes. L'interaction de l'utilisateur avec ces systèmes laisse une trace quasi-systématique, qui finit par être oubliée et non exploitée. Les systèmes d'information sont les mines d'or inexploitées des événements enregistrés à chaque action des collaborateurs.
C'est la proposition de valeur que nous construisons chez Cyrius : La sécurité basée sur le comportement.
D'une part, une plateforme pour centraliser et suivre les comportements et activités dangereuses de vos employés afin de mieux les protéger, eux et votre entreprise. L'avantage ? Un retour sur investissement clairement identifiable sur les vulnérabilités potentielles.
D'autre part, un outil de sensibilisation "à la volée" qui fournit le bon cyberconseil au bon moment. L'avantage ? Une solution entièrement personnalisée à l'usage de l'employé, qui lui enseigne les bonnes pratiques au quotidien.
Le tout avec des scénarios prêts à l'emploi, afin de gagner un maximum de temps pour se concentrer sur des tâches à forte valeur ajoutée.
Bien sûr, cette technologie ne vous dispense pas de toute formation. Il y a une culture générale cybernétique à acquérir, qui doit être entretenue sur le long terme et régulièrement. La version initiale de Cyrius est toujours d'actualité ! Il en va de même pour les campagnes de phishing, qui peuvent réduire dans une certaine mesure la propension à cliquer. Cependant, la contextualisation de l'apprentissage à des comportements spécifiques révolutionne complètement la façon dont nous envisageons aujourd'hui la sécurité des utilisateurs.
De plus, nous sommes conscients du problème majeur de communication que pose l'utilisation d'un tel outil. Il est absolument essentiel d'éviter l'effet de surveillance qui pourrait être ressenti avec une mauvaise gestion des demandes des employés. Nous ne développons pas une plateforme de "flicage", mais plutôt une plateforme qui aide les gens à utiliser les outils numériques en toute sécurité. Tout comme les campagnes de phishing peuvent être considérées avec suspicion au début, puis largement acceptées. Nous allons continuer à construire un coach dont la devise est la convivialité, comme nous le faisons depuis le début. Et nous avons déjà de nombreuses fonctionnalités dans le pipeline pour mettre en œuvre cette vision.
Quelles sont les prochaines étapes ?
Il reste quelques obstacles à franchir pour rendre cette technologie pleinement opérationnelle, comme pour toute solution qui bouleverse son secteur. Elle ne conviendra peut-être pas à toutes les organisations. Mais cela n'a pas d'importance. Nous sommes convaincus que, très bientôt, la sécurité basée sur le comportement sera la prochaine norme dans les organisations de sécurité les plus avancées.
Ce n'est que la prochaine étape pour Cyrius, et notre vision de la sécurité va bien au-delà. Si vous souhaitez rejoindre le mouvement, n'hésitez pas à vous inscrire à notre newsletter pour suivre nos progrès ! N'hésitez pas non plus à nous contacter à l'adresse achille@cyrius.co pour tout commentaire, suggestion ou demande d'informations supplémentaires.
Sources : Hiscox, CESIN