CTO des risques humains

L’avenir de la cybersécurité sera défini par les personnes, et pas seulement par la technologie. À mesure que les menaces évoluent, le risque humain – les choix, les habitudes et la culture au sein des organisations – déterminera plus que jamais la résilience.

Dans ces questions-réponses, Andy Fielder se penche sur la manière dont les dirigeants peuvent anticiper les défis de demain et créer un état d’esprit durable en matière de sécurité.

Quelles sont, selon vous, les principales cybermenaces auxquelles les organisations sont confrontées aujourd’hui ?

Les menaces les plus importantes n’ont pas nécessairement changé, mais elles ont évolué pour devenir plus sophistiquées et plus difficiles à défendre. Les rançongiciels restent une préoccupation majeure aujourd’hui, mais ce qui est frappant, c’est leur professionnalisation. Ces groupes fonctionnent désormais comme des entreprises SaaS légitimes, avec des équipes techniques, des services d’assistance et des opérations structurées. Ce niveau d’organisation a facilité l’implication d’un plus grand nombre de personnes, et l’incitation financière est énorme. Selon certaines estimations, les revenus de la cybercriminalité, tous types confondus, rivalisent avec la taille de l’économie russe. Avec un tel rendement, il n’est pas surprenant que le crime organisé continue d’investir massivement dans cet espace.

Le vol d’informations d’identification constitue une autre menace majeure. La plupart des organisations ont mis en place des contrôles techniques raisonnables pour se protéger contre les attaques courantes, mais les pirates ciblent de plus en plus les informations d’identification des utilisateurs. En compromettant des plateformes non professionnelles où les utilisateurs réutilisent leurs mots de passe, ils peuvent collecter des informations de connexion et utiliser des robots pour valider celles qui fonctionnent. Ces identifiants sont souvent stockés et utilisés ultérieurement dans le cadre d’attaques ciblées. Il s’agit d’une approche méthodique qui contourne les défenses traditionnelles et qui est très efficace.

Le troisième sujet de préoccupation est la compromission des fournisseurs. Les entreprises ne peuvent plus se considérer comme des entités isolées. Les attaquants savent que les fournisseurs ont souvent des mesures de sécurité plus faibles, et ils exploitent ce manque de confiance. Nous avons vu des cas très médiatisés dans les secteurs de la vente au détail et de l’automobile où les violations se sont produites par l’intermédiaire d’un fournisseur, et non de l’entreprise. Une fois à l’intérieur, les attaquants se tournent vers la cible principale. Cela nous rappelle clairement que la cybersécurité doit s’étendre au-delà de l’organisation, à l’ensemble de son écosystème.

Comment ces menaces ont-elles évolué au cours des dernières années – et quels sont les moteurs de ce changement ?

Le changement le plus important a été la professionnalisation de la cybercriminalité. Auparavant, c’était quelque chose que les gens faisaient pour s’amuser – un adolescent dans sa chambre essayant de prouver qu’il pouvait entrer par effraction. Cela arrive encore, mais ce qui a vraiment changé, c’est la montée en puissance d’opérations structurées et organisées. Ces groupes fonctionnent désormais comme de véritables entreprises, avec des équipes, des infrastructures et des objectifs. Ce niveau d’organisation a rendu les attaques plus évolutives, plus ciblées et beaucoup plus dangereuses.

Les activités menées par les États se sont également intensifiées de manière significative. La cyberguerre est devenue un outil reconnu de perturbation économique et géopolitique – un moyen pour les nations d’influencer ou de causer des dommages sans conflit physique. La menace qu’elle représente est aujourd’hui très différente. Elle est stratégique, bien financée et vise souvent à saper les infrastructures nationales ou les grandes entreprises.

Dans le même temps, l’amélioration des contrôles techniques a contraint les attaquants à modifier leurs tactiques. Il est plus difficile de franchir les pare-feu et les protections des points d’accès, de sorte que l’accent a été mis sur le comportement humain. L’ingénierie sociale est devenue l’un des moyens les plus faciles et les plus efficaces d’entrer. Si un pirate parvient à convaincre quelqu’un de lui fournir des informations d’identification ou à recueillir suffisamment d’informations personnelles pour se faire passer pour lui, il peut contourner les mesures de protection techniques. Une fois qu’il est entré, il se présente comme un utilisateur légitime, et la détection n’intervient qu’en cas d’activité suspecte. Ce passage des systèmes aux personnes est l’une des évolutions les plus importantes que nous ayons connues.

À la lumière de ces changements, comment les organisations ont-elles dû repenser leur approche de la cyberdéfense ?

L’accent est désormais mis sur la chaîne d’approvisionnement. Les entreprises reconnaissent que leur sécurité dépend de celle des fournisseurs et des partenaires sur lesquels elles s’appuient. Cela signifie qu’elles doivent comprendre qui sont ces fournisseurs, comment ils gèrent leur propre sécurité et les tenir pour responsables. La compromission d’un fournisseur est l’un des points d’entrée les plus probables pour une attaque aujourd’hui, et ce changement a forcé les entreprises à élargir leur objectif défensif au-delà de leurs propres murs.

Dans le même temps, un changement d’état d’esprit s’est opéré en ce qui concerne les contrôles techniques. Auparavant, si vous disposiez de pare-feu solides, d’un bon centre d’opérations de sécurité (SOC) et des bons outils en place, vous étiez raisonnablement confiant. Mais les attaquants se sont adaptés. Ils cherchent à obtenir des informations d’identification, ce qui signifie qu’ils peuvent contourner toutes ces couches de protection. La plupart des brèches proviennent désormais d’une erreur humaine – quelqu’un qui clique sur un mauvais lien, partage un mauvais détail ou réutilise un mot de passe.

Contrairement aux contrôles techniques, qui se comportent de manière cohérente, les personnes sont imprévisibles. Nous avons tous un goût du risque et des habitudes différents, et cette variabilité est difficile à gérer. Cela a conduit à une reconnaissance plus large du fait que la cybersécurité n’est plus seulement une question technique – c’est une question humaine. La sécurité n’est plus la responsabilité exclusive de l’informatique, c’est le travail de chacun. Ce passage de la priorité technologique à la priorité humaine est l’un des changements les plus importants que nous ayons observés.

Dans les 3 à 5 ans à venir, quelles sont les menaces émergentes qui, selon vous, poseront le plus grand défi ?

L’IA change déjà la donne des deux côtés. Sur le plan défensif, nous pouvons utiliser l’IA pour identifier des schémas, détecter des comportements anormaux et éliminer le bruit pour mettre en évidence les véritables menaces. Mais les criminels utilisent la même technologie pour rendre leurs attaques plus convaincantes et plus efficaces.

Prenons l’exemple du phishing. Auparavant, il était facile à repérer en raison d’une orthographe et d’une grammaire déficientes. Aujourd’hui, l’IA peut créer des messages d’apparence tout à fait légitime, ce qui les rend beaucoup plus difficiles à identifier. Ce type d’escroquerie ne cessera de se perfectionner. Il est de plus en plus important que les gens comprennent comment ces menaces apparaissent afin de ne pas se faire prendre.

À plus long terme (5 à 15 ans), l’informatique quantique changera la donne. Elle brisera les méthodes de cryptage qui protègent actuellement les banques, les crypto-monnaies et bien d’autres choses encore. C’est une perspective décourageante, car une grande partie de ce sur quoi nous comptons pour la confiance numérique pourrait être compromise. Même si nous en sommes encore loin, c’est une menace à laquelle nous devrons un jour faire face.

Les normes PQC (Post-Quantum Cryptography) émergent et contribueront à la protection dans un monde quantique. Les entreprises doivent commencer à comprendre leur empreinte cryptographique et à planifier leur transition vers la PQC pour être prêtes.

Quelles mesures pratiques les organisations peuvent-elles prendre pour se prémunir contre l’évolution des risques ?

La clé est la résilience – supposer qu’un incident se produira et se préparer en conséquence. Cela signifie qu’il faut disposer d’outils de détection robustes, comme les plateformes SIEM qui regroupent les journaux de tous les systèmes et utilisent l’IA et l’analyse humaine pour détecter les menaces à un stade précoce.

Il s’agit également de tester les plans de reprise après sinistre et de réponse aux incidents afin que chacun connaisse son rôle. Comment allez-vous isoler les systèmes touchés ? Qui communique avec les parties prenantes ? Disposez-vous de spécialistes en criminalistique ?

Une organisation bien préparée peut détecter, contenir et récupérer rapidement – et communiquer de manière transparente. Cela permet d’instaurer la confiance, car les clients comprennent que personne n’est à l’abri des cyberattaques.

Un autre principe clé est le « shift left », qui consiste à intégrer la sécurité dès le début de la conception d’un produit ou du développement d’un système, plutôt que de l’ajouter par la suite. Il est beaucoup plus efficace de concevoir des produits sécurisés dès le départ.

Existe-t-il des réglementations récentes ou à venir qui pourraient modifier la façon dont les organisations gèrent les risques liés à la cybersécurité ?

Oui, en particulier de la part de l’UE. La loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act – DORA) a un impact significatif. Elle met fortement l’accent sur la gestion des risques liés aux fournisseurs, en responsabilisant les tiers et en veillant à ce que les organisations comprennent l’ensemble de leur position en matière de sécurité de la chaîne d’approvisionnement.

La loi de l’UE sur la cyber-résilience (CRA) se concentre sur les logiciels et les dispositifs IoT, en veillant à ce que les produits numériques soient sécurisés dès leur conception tout au long de leur cycle de vie. Elle prévoit des sanctions importantes en cas de non-conformité – 15 millions d’euros ou 2,5 % du chiffre d’affaires mondial. Cette loi devrait s’appliquer à partir de 2027, les fournisseurs de SaaS doivent donc commencer à se préparer dès maintenant.

De quelle manière l’intelligence artificielle transforme-t-elle le paysage de la gestion des risques ?

L’IA transforme la gestion des risques, tant sur le plan défensif qu’offensif.

Sur le plan défensif, il analyse l’énorme quantité de données générées par nos systèmes – en détectant les anomalies, en mettant en évidence les risques et en automatisant le triage afin que les analystes humains puissent se concentrer sur l’endiguement.

Du côté offensif, les criminels utilisent l’IA pour tester les systèmes, générer des deepfakes et mener des campagnes sophistiquées d’hameçonnage, de smishing et d’ingénierie sociale. C’est pourquoi l’éducation est essentielle. Les gens doivent apprendre à quel point ces menaces peuvent être réalistes, faire l’expérience de simulations et vérifier les sources plutôt que de faire confiance à ce qu’ils voient en ligne. La sensibilisation et la validation sont cruciales.

L’automatisation pourra-t-elle un jour remplacer totalement le jugement humain dans la réponse aux cyberincidents ?

L’automatisation accélère la détection et permet de disposer des bonnes informations, mais le jugement humain est essentiel.

Chaque organisation a une appétence pour le risque et un contexte différents. Ce qui est essentiel pour une banque peut ne pas l’être pour un détaillant. L’automatisation facilite la prise de décision, mais elle ne peut pas reproduire la compréhension nuancée qu’apportent les humains.

La meilleure approche combine l’automatisation et la connaissance humaine – l’une ne peut pas remplacer l’autre.

Comment les organisations peuvent-elles mieux responsabiliser leur personnel pour qu’il devienne la première ligne de défense ?

Cela commence par la culture. La sécurité doit être la responsabilité de tous, et pas seulement celle d’une équipe spécifique. Lorsque les employés se sentent impliqués dans la protection de l’organisation et d’eux-mêmes, l’ensemble de la posture s’améliore.

L’éducation et les bons outils sont essentiels, mais c’est la culture qui détermine le comportement. Il est beaucoup plus efficace de s’éloigner des approches punitives et de récompenser les bonnes habitudes en matière de sécurité. Vous ne voulez pas d’une culture de la peur, mais d’un partage des responsabilités et d’une prise de conscience.

En fin de compte, en donnant aux gens les moyens de protéger l’organisation, on leur donne aussi les moyens de se protéger eux-mêmes dans leur vie personnelle.

Les cyber-risques ne restent pas inactifs. Vous non plus. Pour en savoir plus, consultez le blog de MetaCompliance.