Pourquoi les personnes autonomes sont la véritable cyber-superpuissance – et non un passif

Et c'est pourquoi se fier excessivement aux seuls contrôles techniques tourne mal. Tout comme traiter les utilisateurs comme des passifs à contrôler, plutôt que comme des atouts à responsabiliser.

L'un des principes fondamentaux de la gestion du risque humain (GRH) n'est pas de rejeter la faute, mais de permettre de meilleures décisions à tous les niveaux. Il s'agit d'une stratégie pragmatique et à plusieurs niveaux qui combine la technologie, la culture et la conception comportementale pour réduire le risque cybernétique humain de manière durable. Et elle reconnaît cette vérité essentielle : vos employés peuvent être votre meilleure défense – si vous les équipez bien.

L'essence de la GRH est de donner aux individus les moyens de prendre de meilleures décisions en matière de risques, mais c'est encore plus que cela. "Avec la bonne combinaison d'outils, de culture et de pratiques de sécurité, les employés deviennent une extension de votre programme de sécurité, plutôt qu'une simple surface d'attaque accrue", affirme Anna Collard, SVP Content Strategy & Evangelist chez KnowBe4 Afrique.

Une étude récente d'IBM (https://apo-opa.co/3GGeSBF) a révélé que plus de 90 % de toutes les violations de cybersécurité peuvent être attribuées à une erreur humaine due au fait que les employés sont exploités avec succès par le biais d'escroqueries par hameçonnage, de leur utilisation de mots de passe faibles ou d'une gestion non optimale des données sensibles. Les entreprises ont longtemps constaté la tendance à la hausse de cette menace, grâce à de nombreuses études, et par conséquent, les employés sont souvent considérés comme le plus grand risque que les entreprises doivent gérer. Cette perspective, cependant, prive les entreprises de l'opportunité de développer la meilleure défense qu'elles pourraient avoir : des employés autonomes et proactifs en première ligne, et non derrière elle.

Protégez les utilisateurs – mais formez-les aussi par l'exposition

Bien sûr, la première chose que les entreprises devraient faire est de protéger et de mettre à l'abri les employés contre les menaces réelles. Les technologies de prévention et de détection – filtres de passerelle de messagerie, protection des points d'extrémité, analyse basée sur l'IA – sont essentielles pour empêcher le contenu malveillant d'atteindre les boîtes de réception ou les appareils des utilisateurs. Mais voici le hic : si les utilisateurs ne sont jamais exposés aux menaces, ils ne développent pas le muscle nécessaire pour les reconnaître quand elles passent.

Entrez l'effet de prévalence – un biais cognitif qui montre que moins quelqu'un voit fréquemment une menace (comme un e-mail d'hameçonnage), moins il est susceptible de la repérer quand elle apparaît enfin. C'est une observation fascinante et légèrement contre-intuitive : en essayant de trop protéger les utilisateurs, nous pouvons les rendre plus vulnérables.

C'est pourquoi les campagnes de simulation d'hameçonnage et les scénarios de formation réalistes sont si essentiels. Ils offrent une exposition sûre et contrôlée aux tactiques d'attaque courantes – afin que les gens puissent développer les réflexes, la reconnaissance de formes et la pensée critique nécessaires pour réagir sagement dans des situations réelles.

De nombreuses menaces d'aujourd'hui ne reposent pas seulement sur des vulnérabilités techniques – elles exploitent l'attention humaine. Les attaquants tirent parti du stress, de l'urgence et de la distraction pour contourner la logique et déclencher des actions impulsives. Qu'il s'agisse d'hameçonnage, de smishing, de deepfakes ou d'escroqueries par usurpation de voix, le but est le même : manipuler les humains pour contourner l'examen minutieux.

C'est pourquoi une partie fondamentale de la GRH est de construire ce que j'appelle la pleine conscience numérique – la capacité de faire une pause, d'observer et d'évaluer avant d'agir. Ce n'est pas un discours abstrait sur le bien-être ; c'est une compétence pratique qui aide les gens à remarquer les tactiques de tromperie en temps réel et à rester dans leur système (mode de pensée critique) au lieu de réagir en pilote automatique. Les outils tels que les interventions basées sur les systèmes, les invites, les coups de pouce ou les rappels de seconde chance sont des moyens d'induire cette friction pour encourager la pause quand et si cela compte.

"Chaque jour, les employés font face à une vague croissante d'attaques sophistiquées alimentées par l'IA conçues pour exploiter les vulnérabilités humaines, et pas seulement techniques. Alors que les attaquants tirent parti de l'automatisation, de l'IA et de l'ingénierie sociale à grande échelle, la formation traditionnelle n'est tout simplement pas assez efficace."

La protection nécessite une défense à plusieurs niveaux

"Tout comme les entreprises gèrent les vulnérabilités techniques, elles doivent gérer le risque humain – grâce à un mélange de politiques, de technologies, de culture, de formation continue et d'interventions personnalisées", explique Collard.

Cette approche à plusieurs niveaux va au-delà de la formation traditionnelle. Les interventions basées sur les systèmes – telles que les invites intelligentes, les coups de pouce en temps réel et le coaching en temps réel – peuvent ralentir les utilisateurs à des points de décision critiques, les aidant à faire des choix plus sûrs. Le micro-apprentissage personnalisé, adapté au rôle, au profil de risque et aux schémas comportementaux d'un individu, ajoute une autre couche de défense importante.

Il est essentiel que Collard souligne que le zéro confiance ne devrait pas s'appliquer uniquement aux systèmes. "Nous devons adopter le même principe avec le comportement humain", explique-t-elle. "Ne jamais présumer de la sensibilisation. Toujours vérifier la compréhension, et la renforcer continuellement."

Pour rendre ce concept plus accessible, l'acronyme D.E.E.P., un cadre pour la défense centrée sur l'humain :

Défendre : Utiliser la technologie et la politique pour bloquer autant de menaces que possible avant qu'elles n'atteignent l'utilisateur.
Éduquer : Offrir une formation pertinente et continue, des simulations et un coaching en temps réel pour renforcer la sensibilisation et les compétences décisionnelles.
Responsabiliser : Favoriser une culture où les employés se sentent en confiance pour signaler les incidents sans crainte de blâme ou de répercussions.
Protéger : Partager l'intelligence des menaces de manière transparente et traiter les erreurs comme des opportunités d'apprentissage, et non comme des motifs de honte.

"La sécurité basée sur la peur ne responsabilise pas les gens", explique-t-elle. "Elle renforce l'idée que les employés sont des points faibles qui doivent être maintenus derrière la ligne de front. Mais avec le bon soutien, ils peuvent être des défenseurs actifs – et même votre première ligne de défense."

Les utilisateurs autonomes font partie de votre tissu de sécurité

Lorsque les gens sont formés, soutenus et préparés mentalement – et pas seulement sermonnés une fois par an – ils deviennent une extension dynamique de votre posture de cybersécurité. Ils ne se cachent pas derrière le pare-feu ; ils en font partie.

Avec des attaques qui augmentent en ampleur et en sophistication, il ne suffit pas de se fier uniquement aux logiciels. Les entreprises ont besoin d'une couche humaine qui soit tout aussi adaptable, résiliente et alerte. Cela signifie remplacer la culture du blâme par une culture d'apprentissage. Cela signifie considérer les gens non pas comme le problème, mais comme une partie de la solution.

Parce que la vérité est que la meilleure défense n'est pas un système parfait. C'est une personne bien préparée qui sait comment réagir quand quelque chose passe à travers.

"Le comportement humain est magnifiquement complexe", conclut Collard. "C'est pourquoi une approche à plusieurs niveaux de la GRH – intégrant la formation, la technologie, les processus et la préparation cognitive – est essentielle. Avec le bon soutien, les employés peuvent passer de cibles à défenseurs de confiance."