Sécurité des équipes : les organisations à la peine

Augmentation de 90 % des incidents liés au facteur humain

Selon le rapport The State of Human Risk 2025: The New Paradigm of Securing People in the AI Era de KnowBe4, les responsables de la sécurité subissent une forte pression pour gérer les risques comportementaux en cybersécurité.

Ces incidents résultent d’attaques par ingénierie sociale (phishing, compromission d’email professionnel, BEC), de comportements risqués ou malveillants, ou d’erreurs humaines.

Des menaces complexes

Il faut réagir rapidement contre ces vecteurs d’attaque connus et émergents. Selon 93 % des responsables, les incidents exploitent pleinement les collaborateurs. De plus, les incidents liés aux emails ont augmenté de 57 % et 64 % des organisations ont été victimes d’attaques externes ayant exploité des collaborateurs (via des emails). L’email restera le plus à risque pendant plusieurs années.

L’erreur humaine est une vulnérabilité critique, selon 90 % des organisations, les incidents sont causés par des fautes des salariés. Selon 97 % des RSSI, le budget doit être augmenté pour renforcer la sécurité autour du facteur humain.

Qui sanctionne les collaborateurs ?

Selon les pays, les conséquences disciplinaires envers les collaborateurs varient.

En Afrique du Sud, 70 % des responsables de la cybersécurité ont sanctionné des personnes ayant été victimes d’attaques par hameçonnage. D’autres pays ont des taux supérieurs à la moyenne mondiale de 44 %, le Mexique (60 %), les Etats-Unis (54 %) et le Japon (51 %).

Les pays les moins enclins à sanctionner les collaborateurs sont :

• le Danemark (24 % pour le phishing et pour les incidents accidentels)
• la Suède (30 % pour le phishing ; 27 % pour les accidents)
• le Royaume-Uni et l’Irlande (30 % pour le phishing ; 42 % pour les accidents)
• la France (33 % pour le phishing ; 34 % pour les accidents)

Leviers de productivité & vecteurs de risques

L’IA s’intègre dans les processus de travail et les outils deviennent des leviers de productivité et des vecteurs de risques. Les incidents liés aux applications d’IA ont augmenté de 43 % au cours des 12 derniers mois. « Les gains de productivité apportés par l’IA sont trop importants pour être ignorés. L’avenir du travail nécessitera une collaboration fluide entre les humains et l’IA », explique Javvad Malik, conseiller principal CISO chez KnowBe4.

Si 98% des organisations prennent des mesures contre les risques liés à l’IA, les menaces pilotées par l’IA sont le défi N°1 des RSSI, 45 % évoquant l’évolution des menaces comme « le plus grand obstacle dans la gestion des risques comportementaux ». Les organisations signalent aussi une augmentation des incidents liés aux deepfakes et 56 % sont insatisfaits de la manière dont l’entreprise gère les outils.

Les attaques multi-canaux via des applications de messagerie ou des appels vocaux frauduleux (vishing), combiné à l’IA oblige à s’adapter rapidement. « Les collaborateurs et les agents d’IA devront fonctionner en synergie, appuyés par un programme de sécurité capable de gérer proactivement les risques liés aux deux. La gestion du risque humain doit évoluer pour intégrer la couche IA, avant que les activités critiques ne migrent vers des plateformes non surveillées et à haut risque. »

Source : Etude KnowBe4 menée par Arlington Research – 700 responsables en cybersécurité et 3 500 collaborateurs n’ayant pas de responsabilité directe en cybersécurité – Argentine, Australie, Brésil, région DACH, Danemark, France, Inde, Japon, Mexique, Nouvelle-Zélande, Afrique du Sud, Suède, Royaume-Uni, Irlande et États-Unis