Un clic, un mot de passe trop simple, un message piégé… Et c’est toute une entreprise qui peut vaciller. À l’heure où les cyberattaques se perfectionnent grâce à l’intelligence artificielle, l’erreur humaine demeure le principal point d’entrée pour les cybercriminels. Est-il urgent de repenser la sensibilisation aux risques encourus en ligne ?
L’humain, maillon faible des cyberattaques
Car près de 90 % des cyberattaques trouvent leur origine dans une erreur humaine. « Le plus fréquent, ça va être du phishing : un fichier piégé, un lien dangereux, un SMS ou un message instantané frauduleux », observe Xavier Paquin, cofondateur et PDG de Kamaé, startup spécialisée en cybersécurité, dans un entretien accordé à Presse-citron. Mais ce sont aussi les comportements du quotidien qui sont en cause.
« Les gens vont utiliser des mots de passe trop simples, ne pas mettre à jour leurs logiciels ou partager trop d’informations personnelles sur les réseaux. Dans tous ces cas, c’est une porte ouverte aux attaquants », affirme-t-il.
Problème, les travailleurs sous-estiment largement leur propre exposition. Un sondage OpinionWay pour LockSelf publié en février montrait que 64 % d’entre eux considèrent le risque numérique lié à leurs pratiques comme faible ou nul. Ce chiffre grimpe même à 43 % chez les moins de 35 ans.
Pourtant, dans les faits, ces mêmes utilisateurs multiplient les comportements à risque : réutiliser un même mot de passe pour plusieurs comptes professionnels, se servir d’une adresse personnelle pour envoyer des fichiers sensibles, ou encore passer par un service comme WeTransfer pour transférer un document de travail. Or, ces solutions sont rarement sécurisées.
Un phénomène aggravé par l’IA
Tout cela est empiré par l’essor de l’intelligence artificielle (IA) générative. Les cybercriminels disposent désormais d’outils capables d’imiter des visages, des voix et même des réunions entières.
« On a déjà vu un banquier hongkongais transférer près de 20 millions de dollars après une visioconférence où son Comex, du PDG aux membres du conseil, avait été généré par IA. La voix, les visages, tout paraissait authentique », raconte Xavier Paquin. Ces attaques hyper-réalistes brouillent la frontière entre vrai et faux, et la victime n’y voit que du feu.
La menace ne se limite pas aux grandes institutions, au contraire. Les tentatives de fraude par usurpation d’identité de dirigeants ou de fournisseurs explosent également dans les PME. « On se fait passer pour le manager, pour un prestataire qui dit ne pas avoir été payé… Et ça marche, parce que la demande paraît crédible », poursuit le dirigeant.
En parallèle, la généralisation du télétravail et des usages hybrides a renforcé ces vulnérabilités. Travailler sur son PC personnel, consulter ses mails pro sur son smartphone, jongler entre WhatsApp et Teams : chaque porosité entre sphère privée et professionnelle devient une brèche potentielle. « On est tous devenus nos propres DSI, responsables de notre sécurité numérique », résume-t-il.
Pourquoi les formations classiques ne suffisent plus
Face à ces menaces, la réponse des entreprises reste souvent figée dans des méthodes dépassées. PowerPoints poussiéreux, chartes de bonne conduite oubliées dans un coin, QCM bâclés en fin d’année… Ces dispositifs n’engagent plus. « Le mot formation n’est même pas le bon », estime Xavier Paquin. « Former, c’est monter en compétences sur son métier. Mais demander à un commercial de passer deux heures sur la cybersécurité, c’est perçu comme une perte de temps », étaye-t-il.
Difficile de se sentir concerné dans ce contexte. Les collaborateurs considèrent que la cybersécurité est « l’affaire de la boîte », ou au mieux celle de l’équipe IT. « Beaucoup se disent : s’il y a un problème, ce sera l’assurance de l’entreprise qui paiera. Il n’y a pas vraiment de prise de conscience individuelle », déplore le dirigeant.
Les chiffres confirment ce manque d’adhésion. Selon les retours de terrain collectés par Kamaé, à peine 20 % des salariés s’impliquent réellement dans les programmes de sensibilisation existants. Le reste clique rapidement, passe à autre chose et oublie aussitôt. « La clé, c’est de créer un vrai engagement », indique-t-il.
Créer enfin de l’engagement : l’approche Kamaé
Son entreprise a donc choisi de s’inspirer… Du judo ! Son produit de sensibilisation mise sur la régularité, la répétition, l’apprentissage progressif et la mise en pratique : chaque mois, les collaborateurs découvrent de nouveaux modules, révisent via des quiz et se confrontent à des simulations d’attaques surprises, impossibles à anticiper.
Pour éviter l’effet « corvée », Kamaé mise sur la gamification : moins de cinq minutes par session, des points à gagner, des badges à débloquer. Trois ans et demi après son lancement, la jeune pousse revendique plus de 200 clients, de la PME au grand groupe comme Crédit Agricole ou AXA. Sa promesse : transformer la sensibilisation en culture partagée de la cybersécurité.
« Notre objectif n’est pas que les gens retiennent une leçon, mais qu’ils aient le bon réflexe au bon moment », conclut le PDG.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
