Une étude de MetaCompliance montre que les cyberrisques liés aux employés préoccupent de plus en plus les responsables de la sécurité informatique. Face à des attaques alimentées par l’intelligence artificielle, beaucoup estiment que les directions n’ont pas encore pleinement pris la mesure de ces nouveaux défis.
Les cyberattaques ne visent plus seulement les failles techniques. Elles ciblent désormais les salariés, avec des méthodes dopées par l’intelligence artificielle. Une étude européenne publiée par MetaCompliance révèle que les responsables de la sécurité des systèmes d’information estiment ne pas bénéficier d’un soutien suffisant de leur direction pour faire face à cette évolution.
Les salariés deviennent la première cible des cybercriminels
Les outils d’intelligence artificielle bouleversent les techniques utilisées par les cybercriminels. Les campagnes d’hameçonnage approximatives laissent place à des messages personnalisés, des usurpations d’identité crédibles ou encore des échanges capables de tromper même des collaborateurs expérimentés.
Cette évolution inquiète les RSSI interrogés par MetaCompliance. Selon l’étude, 68 % d’entre eux considèrent désormais les employés comme le principal risque de sécurité de leur organisation. Pour les responsables qui jugent leur entreprise moins résiliente qu’il y a un an, la progression des attaques d’ingénierie sociale alimentées par l’IA constitue la première explication.
James Mackay, directeur général de MetaCompliance, résume ce changement : « Les cyberrisques humains ne se résument plus à une question de sensibilisation ou de formation ; ils constituent un risque stratégique pour l’entreprise. » À ses yeux, les méthodes employées par les attaquants gagnent en crédibilité et en efficacité grâce à l’IA, ce qui complique considérablement la détection des tentatives de fraude.
Les RSSI dénoncent un manque d’implication des directions
L’étude met aussi en lumière un décalage entre les équipes chargées de la cybersécurité et les instances dirigeantes. Près de 78 % des RSSI estiment que les cadres supérieurs ne mesurent pas pleinement les risques créés par les comportements des collaborateurs.
Le soutien de la direction ne semble pas durable. Près de huit responsables sécurité sur dix observent un essoufflement de l’implication des dirigeants après les premières initiatives. En parallèle, 76 % expliquent devoir composer avec des attentes différentes selon les services lorsqu’il s’agit d’évaluer le risque humain.
Cette situation complique la mise en place d’une stratégie cohérente. Près d’un quart des RSSI reconnaissent manquer de confiance dans la capacité de leur entreprise à coordonner efficacement les différents acteurs concernés par la cybersécurité.
L’IA crée de nouveaux défis pour les entreprises
Les inquiétudes dépassent désormais le phishing classique. Plus de 40 % des RSSI redoutent que des salariés transmettent des informations confidentielles à des plateformes d’IA générative. Une proportion similaire craint que des collaborateurs malveillants exploitent ces outils pour faciliter des fraudes, des vols de données ou d’autres actes de cybercriminalité.
Au Royaume-Uni, les deepfakes figurent parmi les principales préoccupations. Plus d’un responsable sur deux les considère comme une menace importante pour son organisation, un niveau supérieur à celui observé dans les autres pays étudiés.
James Mackay estime que les entreprises devront revoir leur manière d’aborder la cybersécurité. Selon lui, les collaborateurs doivent bénéficier d’un accompagnement au moment précis où le risque apparaît, avec des recommandations adaptées à chaque situation. Face à des contenus générés par IA de plus en plus difficiles à distinguer des communications authentiques, la vigilance humaine devient un élément central de la protection des organisations.
Article basé sur un communiqué de presse reçu par la rédaction.