Face à la montée des risques cybernétiques, les entreprises se tournent souvent vers de nouveaux outils technologiques. Cependant, les preuves suggèrent de plus en plus que le véritable champ de bataille ne se situe pas dans les systèmes informatiques, mais parmi les individus utilisant cette technologie. Le rapport 2025 de Verizon sur les enquêtes de violation de données indique que près de 60 % des violations impliquent des facteurs humains tels que la manipulation, les erreurs ou le mauvais usage. Bien que la technologie soit essentielle, elle reste insuffisante si les utilisateurs peuvent encore être trompés.
Le fossé entre la connaissance et l’action sous pression s’élargit, aggravé par l’ingénierie sociale améliorée par l’IA qui produit des courriels impeccables, des voix crédibles et des appels vidéo convaincants à grande échelle. Un incident notable à Hong Kong a vu un employé de la finance se faire duper pour transférer plus de 25 millions de dollars en raison d’une vidéoconférence en deepfake. Les criminels ont exploité le comportement humain routinier plutôt que de briser le cryptage.
La formation à la sensibilisation s’est révélée insuffisante. De nombreuses organisations effectuent des simulations et des formations annuelles, mais les violations persistent en raison du comportement dans des moments critiques. C’est là que l’analyse des risques humains peut faire la différence.
L’analyse des risques humains implique l’évaluation continue de la manière dont les individus interagissent avec les communications et les systèmes, en utilisant ces modèles pour prédire et atténuer les risques. Elle déplace l’attention du simple passage de tests à l’analyse des comportements typiques et à l’identification des déviations risquées.
Les applications pratiques incluent la détection des employés qui cliquent fréquemment sur des liens à haut risque, le signalement d’anomalies comme des instructions de paiement soudaines ou des schémas de communication inhabituels, et la corrélation des signaux d’identité avec des actions risquées. Ces indices, lorsqu’ils sont combinés, créent un profil de risque complet pour les individus et les messages, permettant des interventions en temps opportun.
Par exemple, si un analyste financier junior reçoit une demande de paiement suspecte d’un “PDG”, l’analyse des risques humains pourrait signaler le message en fonction de plusieurs facteurs, tels que de nouveaux détails bancaires, un moment inhabituel et une communication atypique. Les interventions pourraient inclure le blocage temporaire des paiements, l’incitation à la vérification par des canaux sécurisés et l’exigence d’une authentification supplémentaire.
Les programmes réussis dans la région Asie-Pacifique respectent cinq principes : se concentrer sur la couche humaine, personnaliser le risque sans stigmatiser, rendre les interventions immédiates, suivre les résultats plutôt que l’effort, et construire la confiance par la transparence.
En fin de compte, il s’agit d’intégrer la technologie au comportement humain. Bien que les contrôles comme l’authentification des courriels et la sécurité de l’identité restent importants, la clé est de s’assurer que les employés prennent le temps de vérifier avant de prendre des décisions critiques. À une époque de tromperie générée par l’IA, l’optimisation pour le comportement humain est cruciale pour prévenir la prochaine violation de cybersécurité.
