L'IA, clé de voûte de la gestion du risque humain.

AVIS D’EXPERT

En matière de cybersécurité, l’émergence de l’IA générative a changé la donne tant d’un point de vue offensif que défensif. Aujourd’hui, les entreprises se retrouvent en première ligne face à des cyberattaques de plus en plus nombreuses et sophistiquées. Néanmoins, la première menace à laquelle elles sont exposées vient de l’intérieur et relève du facteur humain. Les cyberattaques ne sont désormais plus le seul privilège des cybercriminels professionnels. Des outils comme ChatGPT offrent en effet au plus grand nombre la possibilité de mener facilement des campagnes de phishing. Résultat : +40 % d’atteintes numériques en 5 ans et près d’une entreprise sur deux (47 %) a subi au moins une cyberattaque réussie en 2024.  

Les messages d’attaque, que ce soit par email ou via les réseaux sociaux, sont de mieux en mieux formulés avec l’IA générative, rendant leur identification plus difficile. La qualité des attaques s’enrichit, en particulier les attaques ciblées, de plus en plus complexes et réalistes. Dans ce contexte, les entreprises font face à un double enjeu : d’une part, elles sont confrontées à des risques inédits, et d’autre part, elles doivent gérer plusieurs types de risques différents simultanément. En 2024, près de neuf organisations sur dix (89 %) ont été confrontées à au moins deux types de risques. Parmi eux, les risques humains représentent une source d’inquiétude pour 77 % des dirigeants.  

La raison : 68 % des compromissions ont encore aujourd’hui une origine humaine, liées à une erreur ou à une attaque par ingénierie sociale ! Face à ce constat, la technologie seule ne suffit plus à contrer les attaques. La sensibilisation des utilisateurs s’impose désormais comme le nerf de la guerre. Mais cette réalité impose un changement de paradigme. Pourquoi ? Parce que les entreprises peinent à adopter une approche efficace. 

Les entreprises doivent avant tout se poser la question de l’utilité de leurs campagnes de sensibilisation et se demander si elles correspondent au paysage des menaces du moment. Elles doivent donner un sens et associer un retour d’investissement à leur formation pour obtenir un impact positif sur leur production. Comment ? En quantifiant précisément le risque et en définissant des objectifs mesurables pour mettre en œuvre des mesures de protection adaptées et ciblées  

Déterminer le niveau de risque nécessite l’évaluation d’un certain nombre d’indicateurs : l’utilisateur est-il attaqué ? Reçoit-il beaucoup de menaces ? Si oui, quel est son comportement face à un email frauduleux ? Ses droits d’accès aux systèmes de l’entreprise font-ils de lui une cible privilégiée ?  

L’idée est de réaliser une cartographie du risque utilisateur pour envoyer exclusivement aux bonnes personnes les bonnes pratiques vis-à-vis des menaces adaptées auxquelles elles sont confrontées. C’est là que l’intelligence artificielle prend tout son sens avec un rôle double : détecter les menaces en amont et analyser le comportement des utilisateurs afin de personnaliser les stratégies de protection.