L’humain, première faille de cybersécurité pour les entreprises

Face à l’explosion de cyberattaques toujours plus sophistiquées, une certitude demeure : le maillon le plus fragile reste humain. Décryptage avec Onepoint.

Temps de lecture : 3 minutes

L’erreur humaine est responsable de 90 % des cyberincidents, selon l’Indice de veille stratégique d’IBM. Hameçonnage, mots de passe faibles, mauvaises configurations... Les causes sont nombreuses et les conséquences, parfois dramatiques pour l’entreprise.

Deepfake, deepvoice : des attaques de plus en plus sophistiquées

Parmi les erreurs humaines les plus communes pouvant mener à une cyberattaque, on pense bien sûr immédiatement aux liens frauduleux, ou à l’utilisation de clés USB.

Comme le souligne Jean Mouchotte, ingénieur et doctorant spécialisé en cybersécurité chez Onepoint, on oublie aussi trop souvent le manque de mises à jour d’un site, des erreurs de configuration ou de mauvaises gestions d’accès.

Il faut enfin se méfier de nouveaux types d’attaques, en hausse ces derniers mois et années, comme l’attaque via des deepfakes vocaux ou vidéos, générés par des intelligences artificielles et particulièrement réalistes. Si vous pensiez que personne ne se fait avoir par de telles supercheries : détrompez-vous. Avec un simple masque et de faux emails, des escrocs - depuis condamnés - avaient réussi à se faire passer pour l’ancien ministre de la justice et escroquer plus de 50 millions d’euros.

Si ce cas est un peu extrême, les deepfakes peuvent servir à imiter des personnalités moins incongrues, comme un patron d’entreprise, son ou sa chargé de ressources humaines, extorquant des données ou de l’argent en misant sur la confiance des employés. “Une entreprise britannique s’est fait extorquer 25 millions d’euros avec un salarié pensant être à une réunion avec ses dirigeants”, alerte Jean Mouchotte.

Un risque pour la réputation d’une entreprise à long terme

Ces cyberattaques visant des entreprises ont plusieurs effets. La perte de données est l’un d’entre eux. A ceci s’ajoute, “une atteinte à la réputation” et “un manque de confiance par la suite”, constate Jean Mouchotte, soulignant des effets à plus long terme néfastes pour le business.

Le coût d’une cyberattaque n’est pas à négliger non plus. “On estime qu’elles peuvent coûter plusieurs millions d’euros à l’entreprise ciblée”, poursuit l’expert Onepoint. Rien qu’en France, en 2024, le coût total représentait pas moins de 129 milliards d’euros, estime-t-il.

Mettre à jour ses systèmes informatiques… et ses équipes aussi

Pour y remédier, peut-on encore compter sur une simple combinaison d’outils comme un firewall, des VPNs ou des services de détection précoce de menaces ? “Aujourd’hui, remarque Jean Mouchotte, si on arrive à passer le facteur humain en se connectant à un système d’information, c’est toujours beaucoup plus simple de hacker et d’exfiltrer des données.” La clé serait donc aussi la prévention. Une véritable “culture de la cybersécurité” à intégrer dans son entreprise via des formations, “dès les phases de développement d’une application, puis en continuant à former ses collaborateurs.”

Comme le soulignait le Baromètre France Num 2024, si 79% des TPE et PME disposent d’une solution antivirus, seules 34% d’entre elles ont mené des actions de sensibilisation ou de formation à la cybersécurité en leur sein.

“C’est un peu le jeu du chat et de la souris”, explique finalement Jean Mouchotte. Si le facteur humain n’existait pas, alors les cyberattaquants s’intéresseraient sans doute plus aux failles présentes dans les systèmes. Rester attentif aux deux facteurs, humain et informatique, reste donc essentiel.

Et si vous souhaitez vous inscrire à la newsletter de l'institut, c'est par ici