Les chiffres sont alarmants. Selon une étude réalisée par le cabinet Asteres, en 2022, les entreprises françaises ont subi pour 2 milliards d’euros de dommages liés à la cybercriminalité. Pour faire face à cette menace grandissante, il est essentiel de sensibiliser les employés aux risques et aux bonnes pratiques en matière de sécurité informatique.
Les pièges les plus courants pour les entreprises
Le coût de 2 milliards d’euros associé aux menaces numériques englobe les rançons, les dépenses pour la restauration des systèmes, mais également les pertes en termes de productivité et de chiffre d’affaires. Ce montant peut avoir des conséquences dramatiques, notamment pour les PME, plus fragiles sur le plan financier. Or, elles ont été la cible d’environ 330 000 actes de piratage numériques sur la seule année de 2022.
Il est pourtant possible de s’en prémunir, en sensibilisant les employés aux habitudes vertueuses à prendre.
En effet, selon Mailinblack, 9 cyberattaques sur 10 sont dues à des erreurs humaines.
Les pirates informatiques misent ainsi sur l’envoi d’informations personnelles après avoir ouvert un lien de phishing, le téléchargement d’une pièce jointe infectée…
Le hameçonnage, en particulier, reste un fléau pour les entreprises. En témoignent les chiffres relevés par la même étude pour l’année dernière : 77 % des 143 millions d’attaques ciblées bloquées par Mailinblack étaient des tentatives de phishing.
Les principaux mécanismes des cyberattaques
De plus en plus abouties, ces actions exploitent la crédulité des utilisateurs en usurpant l’identité de services en ligne très populaires comme ceux de Google, Amazon ou encore WeTransfer. L’objectif : leur soutirer des informations sensibles.
Quelques thématiques sont privilégiées pour piéger les collaborateurs des PME, dont le système IT est souvent moins bien protégé :
- les faux emails annonçant des promotions alléchantes, des cadeaux ;
- des factures impayées urgentes ;
- des solutions pour le bien-être au travail ;
- des colis à récupérer ;
- des problèmes de sécurité nécessitant une action immédiate.
Pour maximiser l’efficacité des manipulations, le choix de ces sujets est combiné à des techniques psychologiques exploitant les émotions humaines :
- Le stress et la curiosité sont les principaux leviers utilisés par les cybercriminels. Les emails générant de l’anxiété ou de la peur incitent les destinataires à ouvrir des liens malveillants sans prendre le temps de réfléchir. Le taux de clics de telles opérations atteint ainsi 12,4 %.
- La promesse d’informations exclusives, comme des documents confidentiels, suscite la curiosité et augmente le risque d’infection par un rançongiciel caché dans un fichier joint à l’email.
- L’appât du gain expose les utilisateurs aux dangers du spearphishing. Cette méthode s’appuie sur l’usurpation de l’identité d’une relation personnelle.
Selon les simulations effectuées par Mailinblack, les taux de clic et d’hameçonnage avoisinent respectivement 21,8 % et 12,9 %.
La sensibilisation des employés aux enjeux de la cybersécurité
Pour protéger l’organisation de tous les types de menaces numériques, chaque collaborateur doit être conscient de l’importance de la sécurité pendant tout le temps qu’il y passe. Cette sensibilisation constante doit faire de la vigilance un réflexe, et favoriser une plus grande réactivité en cas d’attaque.
Les experts en cybersécurité recommandent en outre l’adoption de quelques bonnes pratiques :
- la première étape consiste à vulgariser les différentes menaces (malware, ransomwares, phishing) à travers des exemples concrets ;
- il est ensuite recommandé d’adapter les formations aux profils de chaque employé, en utilisant des méthodes innovantes et ludiques, notamment la gamification ;
- enfin, l’intégration de la sensibilisation à la cybersécurité dès l’onboarding est indispensable pour ancrer les bonnes pratiques dès le début.
Pour accompagner les entreprises, indépendamment de leur activité et de leur taille, les spécialistes du secteur ont développé des outils variés. Analyse, simulation d’attaques, protection de messagerie, gestion de mots de passe, sensibilisation des équipes… sont autant de volets couverts par une diversité de solutions. En les centralisant sur une interface unique en fonction des besoins et contraintes de la structure, l’intégration de la sécurité cyber au cœur de la culture de l’entreprise se fait sans difficulté.
