Par Yann Bruneau, Chief Solutions Officer – Squad Group, et Sébastien Baron, directeur Technique Europe du Sud chez Mimecast
En matière de cybersécurité, l’émergence de l’IA générative a changé la donne tant d’un point de vue offensif que défensif. Aujourd’hui, les entreprises se retrouvent en première ligne face à des cyberattaques de plus en plus nombreuses et sophistiquées. Néanmoins, la première menace à laquelle elles sont exposées vient de l’intérieur et relève du facteur humain.
Les cyberattaques ne sont désormais plus le seul privilège des cybercriminels professionnels. Des outils comme ChatGPT offrent en effet au plus grand nombre la possibilité de mener facilement des campagnes de phishing. Résultat : +40 % d’atteintes numériques en 5 ans[1] et près d’une entreprise sur deux (47 %) a subi au moins une cyberattaque réussie en 2024[2].
Les messages d’attaque, que ce soit par email ou via les réseaux sociaux, sont de mieux en mieux formulés avec l’IA générative, rendant leur identification plus difficile. La qualité des attaques s’enrichit, en particulier les attaques ciblées, de plus en plus complexes et réalistes
Le facteur humain, premier vecteur de risque cyber
Dans ce contexte, les entreprises font face à un double enjeu : d’une part, elles sont confrontées à des risques inédits, et d’autre part, elles doivent gérer plusieurs types de risques différents simultanément. En 2024, près de neuf organisations sur dix (89 %) ont été confrontées à au moins deux types de risques[3]. Parmi eux, les risques humains représentent une source d’inquiétude pour 77 % des dirigeants.
La raison : 68 % des compromissions ont encore aujourd’hui une origine humaine[4], liées à une erreur ou à une attaque par ingénierie sociale ! Face à ce constat, la technologie seule ne suffit plus à contrer les attaques. La sensibilisation des utilisateurs s’impose désormais comme le nerf de la guerre. Mais cette réalité impose un changement de paradigme. Pourquoi ? Parce que les entreprises peinent à adopter une approche efficace.
Les entreprises doivent avant tout se poser la question de l’utilité de leurs campagnes de sensibilisation et se demander si elles correspondent au paysage des menaces du moment. Elles doivent donner un sens et associer un retour d’investissement à leur formation pour obtenir un impact positif sur leur production.
Comment ? En quantifiant précisément le risque et en définissant des objectifs mesurables pour mettre en œuvre des mesures de protection adaptées et ciblées
Pour une gestion intelligente du risque humain
Déterminer le niveau de risque nécessite l’évaluation d’un certain nombre d’indicateurs : l’utilisateur est-il attaqué ? Reçoit-il beaucoup de menaces ? Si oui, quel est son comportement face à un email frauduleux ? Ses droits d’accès aux systèmes de l’entreprise font-ils de lui une cible privilégiée ?
L’idée est de réaliser une cartographie du risque utilisateur pour envoyer exclusivement aux bonnes personnes les bonnes pratiques vis-à-vis des menaces adaptées auxquelles elles sont confrontées. C’est là que l’intelligence artificielle prend tout son sens avec un rôle double : détecter les menaces en amont et analyser le comportement des utilisateurs afin de personnaliser les stratégies de protection.
- Une analyse comportementale affinée
L’un des atouts majeurs de l’IA réside dans sa capacité à établir des profils de risques individualisés. Toutes les entreprises ne font pas face aux mêmes menaces et tous les utilisateurs n’ont pas la même maturité ni le même niveau d’exposition. L’IA permet d’analyser les actions de chaque employé et de leur attribuer un niveau de risque en fonction de leurs comportements et des menaces auxquelles ils sont confrontés. À la clé : une cybersécurité sur-mesure qui permet de concentrer les efforts sur les collaborateurs les plus exposés et non la totalité de l’entreprise.
- La détection proactive des menaces
L’IA joue également un rôle clé dans l’anticipation des cyberattaques. En analysant les signaux faibles, elle est non seulement capable de détecter des anomalies qui passeraient inaperçues via une surveillance classique, mais aussi d’envoyer un message d’alerte aux équipes de sécurité pour leur indiquer les cas à traiter en priorité. Grâce à l’IA, il est possible de repérer des emails malveillants qui ne contiennent aucun lien suspect ou pièce jointe, mais dont le langage a été modifié pour tromper la vigilance des utilisateurs.
Comment ça marche ? Grâce au traitement du langage naturel (NLP), l’IA est en mesure d’analyser non plus uniquement des mots mais l’intention du message : c’est l’assemblage des mots dans un certain sens qui permet d’établir des notions d’urgence et de prendre la décision de rejeter le message.
- Une réaction graduelle et intelligente
Autre défi inhérent au human risk management : savoir comment réagir face aux comportements à risque sans nuire à la productivité des collaborateurs. Pour cela, il est essentiel d’adopter une approche progressive. Si un employé clique à plusieurs reprises sur des liens douteux, plutôt que de le sanctionner immédiatement, on peut commencer par limiter son accès à certains sites ou services, lui envoyer des rappels personnalisés, voire le diriger vers une formation adaptée. L’idée ici est de former les utilisateurs qui en ont besoin au bon moment pour les accompagner dans leur vie professionnelle et personnelle, en s’appuyant sur la communication avec l’écosystème cyber et non cyber.
Par où commencer ?
Difficile néanmoins de savoir par où commencer. Pour se lancer, il est important de se poser deux questions. La première : le directeur IT ou le RSSI sait-il quelles sont les personnes les plus attaquées ? Et la seconde : quelle est la part d’erreur humaine dans les dernières attaques subies ?
Donner du sens au risque humain commence par un diagnostic pour savoir combien il y a eu d’incidents en production sur ses utilisateurs. La 2e étape consiste à se demander si le risque est uniforme. Enfin, il importe d’analyser l’impact que les formations et campagnes de simulation ont eu sur la production. Pour les entreprises qui ne savent pas répondre à ces trois éléments, leur solution de sensibilisation a besoin d’évoluer. En favorisant une gestion personnalisée du risque humain, l’IA s’impose alors comme un levier incontournable pour renforcer la résilience des entreprises face aux cybermenaces de demain.
[1] Rapport annuel sur la cybercriminalité 2024, ministère de l’Intérieur – 2024
[2] Baromètre de la cybersécurité des entreprises, OpinionWay pour CESIN, janvier 2025
[3] 8e édition du baromètre de la gestion des risques PME – ETI, QBE – OpinionWay – février 2025
[4] Data Breach Investigations Report, Verizon – 2024
