J'adore voir les spécialistes du marketing des fournisseurs de sécurité profiter du Mois de la sensibilisation à la cybersécurité pour sensibiliser les professionnels de la cybersécurité. Je trouve cela à la fois drôle et frustrant, car le but du Mois de la sensibilisation à la cybersécurité n'est-il pas de sensibiliser les utilisateurs finaux à la cybersécurité et à la cybersûreté ? Les dernières personnes qui ont besoin d'être sensibilisées à la cybersécurité sont les défenseurs qui vivent et respirent la cybersécurité tous les jours. Connaissez votre public, s'il vous plaît.
Les deux faces de la médaille de la cyberconscience de l'utilisateur final
Dans le blog d'introduction à cette série, j'ai présenté notre point de vue sur les deux côtés de la médaille de la sensibilisation à la cybernétique de l'utilisateur final. D'une part, la sensibilisation de l'utilisateur final à l'adoption de cyberpratiques sûres et, d'autre part, la sensibilisation de l'utilisateur final aux conséquences humaines directes de l'inaction. Chaque erreur innocente, erreur de jugement ou écart de politique de l'utilisateur final est liée à un autre être humain - le défenseur - chargé de protéger l'organisation dans son ensemble contre les cyberattaques, et les utilisateurs finaux doivent savoir que ce qu'ils font (ou ne font pas) a un impact direct sur le bien-être de cette personne.
C'est ce que nous appelons le "dilemme du défenseur"
Dans notre étude State of Threat Detection 2023, nous avons quantifié ce que nous appelons la "spirale de la sécurité" et ce que les utilisateurs finaux ne savent peut-être pas, c'est comment leurs actions déclenchent et alimentent souvent cette spirale.
Plus de surface d'attaque, plus d'exposition
Les attaquants sont intelligents. Ils savent que l'un des meilleurs moyens d'infiltrer une organisation consiste à exploiter la nature humaine. Qu'il s'agisse d'ingénierie sociale, de phishing ou de vishing, même l'utilisateur final le mieux intentionné et le plus sensibilisé à la sécurité peut être victime des charmes d'un attaquant. Scattered Spider s'est avéré efficace pour tromper les administrateurs informatiques afin d'obtenir un accès, et avec des technologies telles que l'IA générative et les grands modèles de langage (LLM), la capacité des attaquants à convaincre les utilisateurs finaux de s'engager, de cliquer et/ou de divulguer des informations d'identification ne fera que s'améliorer. Le fait d'être victime de l'ingéniosité des attaquants déclenche la spirale. Ils sont là, et vous les avez invités.
Plus de trous de visibilité, d'angles morts
Aujourd'hui, certains utilisateurs finaux pourraient dire "oups" et croire que l'équipe de sécurité verra que l'attaquant est entré et l'arrêtera. Après tout, "c'est leur travail". Je suis sûr que vos collègues (les défenseurs) apprécient cette confiance, mais ce n'est pas toujours le cas. Ce que les utilisateurs finaux doivent savoir, c'est que les attaquants sont très doués pour vous ressembler, faire ce que vous faites, se faire passer pour vous afin de se déplacer dans l'organisation. Ils sont très doués pour prendre le rôle de personnes ayant des privilèges plus élevés que les vôtres, et c'est là que les choses s'aggravent. Vous les avez invités à entrer, et maintenant ils se sont servis de vous pour obtenir un accès illimité.
Plus d'alertes, plus de faux positifs
Cette fois-ci, certains utilisateurs finaux pourraient se dire "ce n'est pas grave, je suis sûr que la sécurité recevra une sorte d'alerte ou d'avertissement - j'ai vu des films à ce sujet". Les utilisateurs finaux sont loin de se rendre compte que leurs collègues - les défenseurs - reçoivent en moyenne 4 484 alertes par jour. 4 484 choses à examiner. Imaginez que votre liste de tâches soit longue de 4 484 éléments chaque jour. Il est humainement impossible d'examiner 4 484 alertes, même pour le défenseur le plus avisé, alors votre équipe de sécurité fait de son mieux pour en examiner environ un tiers, et devinez quoi - 83 % de ce tiers d'alertes sont de fausses alertes, ne sont pas prioritaires, sont une perte de temps. Imaginez la frustration. Nous sommes tous passés par là : travailler sur un projet jugé prioritaire par quelqu'un d'autre pour constater qu'il n'a donné aucun résultat. Imaginez maintenant que vous fassiez cela tous les jours, toute la journée, en vous concentrant sur la protection de l'organisation, et que vous vous rendiez compte que 17 % de votre travail n'a aucun sens.
Des attaques hybrides plus méconnues
Je sais que certains utilisateurs finaux se disent : "Ce n'est pas si grave. Si mes actions étaient si mauvaises, ne serions-nous pas victimes de violations et ne ferions-nous pas constamment la une des journaux ? Pas si vite. Ce que les utilisateurs finaux ne réalisent peut-être pas, c'est ce que les défenseurs font en coulisses pour éviter que l'entreprise ne fasse la une des journaux. La tâche n'est pas facile. Les attaquants sont habiles à s'infiltrer, à se faire passer pour des employés et à se cacher dans une file d'attente de milliers d'alertes. En fait, 97 % des défenseurs craignent de manquer un événement de sécurité important parce qu'il est noyé dans les alertes. De plus, 71 % d'entre eux pensent que l'organisation a probablement été compromise et qu'ils ne le savent pas encore. Ce qui rend le travail des défenseurs si difficile, c'est qu'ils ont souvent affaire à des inconnues - jusqu'à ce qu'elles deviennent connues, et c'est alors que le vrai travail commence. Les utilisateurs finaux sont loin de se rendre compte qu'en coulisses, les défenseurs travaillent sans relâche pour relier les points. Ils rassemblent, agrègent et analysent des ensembles de données disparates pour diagnostiquer le problème en question, afin de pouvoir prendre des mesures en toute confiance pour empêcher que ne se produise une attaque de grande envergure.
Davantage d'attaquants hybrides émergents et avancés
"La faille a été évitée, la réputation, les opérations et les revenus sont intacts, donc tout va bien. Félicitations à l'équipe de sécurité pour avoir fait son travail", pourrait dire un utilisateur final à l'opinion plus tranchée. Moi, je dis qu'il faut faire preuve d'un peu d'empathie. Pour chaque fin de soirée, chaque week-end dans la salle de crise, chaque temps familial sacrifié, il y a une autre attaque qui se prépare, une autre attaque à défendre. Les cyber-attaquants essaient toujours d'avoir une longueur d'avance. Ils font des recherches sur vous - en utilisant votre profil LinkedIn, votre activité sur les médias sociaux, les informations accessibles au public, tout ce qu'ils peuvent trouver pour vous tromper et vous amener à les laisser entrer, et lorsque vous le faites, cette spirale vicieuse se poursuit, s'amplifie et s'accélère.
Plus de charge de travail, de stress, d'anxiété, d'épuisement professionnel
Je sais ce que pensent les utilisateurs finaux : "nous sommes tous confrontés à un certain niveau d'augmentation de la charge de travail, de stress, d'anxiété, d'épuisement professionnel", et je comprends et approuve - raison de plus pour faire preuve d'empathie à l'égard des défenseurs. Lorsque les enjeux sont aussi élevés que pour les défenseurs, il est utile de prendre au sérieux la sensibilisation à la cybersécurité et d'adopter des cyberpratiques sûres. "Mais je ne suis qu'une personne". Il suffit d'une erreur innocente, d'une erreur de jugement ou d'un écart de politique pour alimenter la spirale et faire des ravages parmi vos collègues, alors faites votre part car, en fin de compte, la protection de l'organisation contre les attaquants est un sport d'équipe.