Analyse des principales cyberattaques contre les entreprises italiennes et rôle de la formation en cybersécurité pour réduire le risque humain
En 2024, 14 895 incidents cyber ont été enregistrés contre les entreprises italiennes : plus de 60 % concernaient le secteur manufacturier et le secteur financier/assurance.
Le phishing, les malwares et l’ingénierie sociale exploitent encore le facteur humain comme point faible.
Cette analyse explique pourquoi la formation en cybersécurité awareness — basée sur un programme qui délivre des contenus clés via des micro-interventions régulières, courtes et ciblées, des simulations d’attaque et des mises à jour continues — est l’approche la plus efficace pour réduire le risque cyber.
Un récent rapport commandé par Aused et réalisé par Certego, basé sur un échantillon représentatif de 1 200 000 actifs IT d’entreprises italiennes, a analysé 14 895 incidents enregistrés et gérés pour dresser l’état de la cybersécurité dans les entreprises du pays.
Les données, comme on pouvait s’y attendre, ne sont certainement pas encourageantes : parmi les secteurs les plus touchés figure le manufacturier, avec 32,4 % des attaques (4 827), suivi par le secteur finance/assurance, avec un pourcentage de 29,2 % (4 355 tentatives d’attaque).
En somme, cela semble paradoxal mais ceux qui devraient nous assurer contre les dommages sont parmi ceux qui risquent le plus sur le front des attaques.
Le malware est le type d’attaque le plus répandu, suivi du phishing et de l’ingénierie sociale, ce qui souligne, une fois de plus, combien le facteur humain reste l’élément le plus faible de la chaîne de sécurité et donc celui sur lequel il faut le plus travailler.
De plus, à ces prévisions préoccupantes « s’ajoute l »’adoption par les cybercriminels de l’« intelligence artificielle, un élément qui bouleverse le paysage des menaces car les attaques sont de plus en plus sophistiquées, s’adaptent à la victime choisie et sont difficiles à détecter. Selon Gartner, d’ici 2025, au moins 30 % des attaques seront renforcées par l » IA, avec des techniques comme le phishing automatisé, les malwares dynamiques et la détection en temps réel des vulnérabilités dans les systèmes d’entreprise.
Il n’est donc pas surprenant que de plus en plus de responsables IT cherchent à répondre aux attaquants en utilisant leur propre arme. Gartner souligne d’ailleurs que 34 % des organisations utilisent déjà ou mettent en œuvre des outils de sécurité des applications d’intelligence artificielle pour atténuer les risques associés à l’IA générative.
Une solution efficace, à condition toutefois que ces outils soient soutenus par des vérifications et des mises à jour continues capables de tenir tête à la vitesse à laquelle évolue la cybercriminalité, qui utilise la même IA pour attaquer de manière toujours plus sournoise et impitoyable. Donc même les utilisateurs humains de la technologie ne doivent jamais prendre de retard.
On en revient donc toujours là, au « facteur humain » qui, chassé par la porte et remplacé par des outils qui ne commettent pas d’erreurs, doit forcément rentrer par la fenêtre car il reste un élément indispensable de la chaîne de sécurité.
C’est pourquoi une culture de sensibilisation en entreprise sera de plus en plus déterminante, dans tous les secteurs, en particulier pour ceux qui enregistrent les taux d’attaques les plus élevés, tout comme le sera une formation permanente qui prévoit des programmes détaillés, continus, construits sur mesure pour chaque utilisateur, qui soient toujours à jour sur les dernières nouveautés d’une criminalité qui change continuellement et, surtout, qui prévoient des exercices et des entraînements continus.
D’autant plus que la sécurité informatique définit un processus continu, qui nécessite un engagement constant dans lequel tous doivent être impliqués et jouer leur rôle avec une grande responsabilité. Il suffit en effet de peu pour ouvrir grand les portes aux criminels : un clic de trop, une vérification non faite, un moment d’inattention de la part de chacun, des figures dirigeantes aux plus exécutives.
En un instant, l’enfer peut se déchaîner et on peut se retrouver mis en échec par un groupe de criminels qu’il sera ensuite, la plupart du temps, impossible de tracer et d’identifier.
Un beau défi, donc, que les entreprises devront affronter dans les années à venir, qui demande de commencer à s’équiper dès maintenant, sans tergiverser.
Nous traversons des années cruciales sur le front des nouvelles technologies et prendre du retard peut représenter un risque sérieux de subir des dommages tant économiques que réputationnels. D’ailleurs, il suffit de regarder l’actualité quotidienne, remplie de nouvelles d’attaques qui n’épargnent même pas les personnes les plus averties.
Au-delà des outils technologiques de protection, désormais indispensables, la formation reste un pilier nécessaire pour renforcer les frontières des entreprises et des organisations. Sans la posture numérique correcte des employés et des collaborateurs, même le système de protection le plus avancé pourrait s’effondrer.
Naturellement, nous parlons, comme déjà mentionné, d’une formation adaptée au défi, différenciée dans les outils, constamment mise à jour sur les dernières nouveautés en matière de risque cyber, qui prévoit des créneaux courts mais quotidiens et des exercices pratiques ciblés. Mais qui soit surtout organisée en fonction du niveau de connaissance personnelle de chaque utilisateur. Chacun doit être mis en condition de reconnaître de loin l’« odeur » d’une attaque et de se transformer en forteresse de protection pour lui-même et pour l’entreprise ou l’organisation pour laquelle il travaille.
C’est seulement ainsi qu’il sera possible d’éloigner le cybercriminel de service qui renoncera à ses intentions malveillantes et décidera, peut-être, d’aller faire des dégâts ailleurs, cherchant d’autres victimes moins préparées et moins conscientes.
Renforcer le facteur humain et le transformer d’élément vulnérable en pilier solide de sécurité représente donc le moyen de dissuasion le plus efficace pour endiguer un type de criminalité qui ne pourra que croître et se raffiner dans les années à venir.
Article paru sur Insurzine par Maurizio Zacchi
