La cybercriminalité a vu le jour dans les années 1970, grâce à des criminels qui se faisaient passer pour des opérateurs téléphoniques et exploitaient les systèmes téléphoniques informatisés pour voler du temps d’appel interurbain.

Depuis lors, notamment avec l’arrivée des ordinateurs personnels, d’Internet et des appareils mobiles intelligents, le piratage est devenu beaucoup plus sophistiqué. La cybercriminalité s’est rapidement transformée en une industrie illégale pesant des milliards de dollars, et une industrie qui ne fait aucune discrimination dans la poursuite de ses victimes.

Qu’il s’agisse d’institutions gouvernementales, d’entreprises de toutes tailles ou de personnes ordinaires de tous âges utilisant leurs appareils mobiles, tout le monde peut facilement devenir une cible. La plupart des gens ordinaires et des petites entreprises pensent qu’ils ne risquent pas d’être piratés, car ils croient que les pirates ne s’en prennent qu’aux gros bonnets et aux conglomérats.

Or, de manière assez surprenante, 43 % des cybercrimes visent les particuliers et les petites entreprises. Ce chiffre est passé de 18 % il y a quelques années à peine. Après tout, les grandes entreprises consacrent davantage de ressources à la cybersécurité, ce qui fait que les cybercriminels se tournent vers les petites entreprises pour gagner plus rapidement. Et les résultats sont dévastateurs : 60 % des petites entreprises victimes d’une cyberattaque font faillite dans les six mois qui suivent, en particulier celles qui n’ont pas d’assurance responsabilité civile.

La gamme des cybercrimes est vaste et comprend des attaques DDoS, des logiciels malveillants et du phishing. On peut dire que l’exploitation des vulnérabilités internes et externes des systèmes populaires a atteint le point d’être considérée comme une forme hideuse d’armement. Il y a dix ans, les vulnérabilités étaient généralement découvertes par un criminel, puis intégrées dans des attaques.

Il est ensuite devenu courant de voir des équipes professionnelles de criminels développer des logiciels d’attaque. Aujourd’hui, la tendance est au chevauchement entre les développeurs criminels et les acteurs de la menace persistante avancée ou de l’État-nation, afin de créer un flux constant d’outils « zero-day » ciblant des organisations et des individus spécifiques.

Qu’il s’agisse d’individus de tous horizons, d’entreprises de toutes tailles (quel que soit leur secteur d’activité ou leur lieu d’implantation), de gouvernements, d’organisations à but non lucratif ou de tout ce qui se trouve entre les deux, aucune personne ou entité n’est à l’abri d’une forme de cybercriminalité.

Les personnes qui ne sont pas formées à l’identification, à la prévention, à la réponse et/ou à la récupération des cybermenaces et des attaques courent le plus grand risque d’en être la proie. D’une manière ou d’une autre, nous sommes tous la première ligne de défense contre les cyberattaques qui peuvent se propager comme une traînée de poudre.

Un combat difficile à cause de la naïveté humaine

Une fois le mal fait, il est souvent trop tard pour inverser les effets des cybercrimes. Selon Cybersecurity Ventures, ces attaques auraient causé 6 000 milliards de dollars de dommages, et ce uniquement avec les chiffres déclarés.

C’est plus que le PIB du Japon.

À ce rythme, en 2023, on estime que les cybercriminels voleront 33 milliards d’enregistrements contenant des données sensibles. Sans connaissances en matière de cybersécurité et/ou sans mesures préventives mises en place, il faut en moyenne 196 jours pour identifier une violation de données.

La naïveté humaine est souvent la cause première des cybercrimes. Même des erreurs apparemment mineures, comme des mots de passe faibles, rendent les particuliers et les entreprises vulnérables aux attaques. On peut se faire une idée de l’ampleur du problème en sachant qu’il y a en moyenne 38,4 mots de passe par personne, ce qui fait plus de 300 milliards de mots de passe utilisés dans le monde.

Il est peut-être surprenant de constater que la méthode la plus couramment utilisée pour pirater des comptes est la « pulvérisation de mots de passe », qui consiste à prendre des mots de passe faciles à deviner et à parcourir une liste de noms d’utilisateur jusqu’à ce que la bonne combinaison donne accès à un compte. Les cybercriminels ont remporté une victoire importante en janvier 2020, lorsqu’environ 1,2 million de comptes Microsoft ont été compromis parce qu’ils avaient des mots de passe faciles à deviner et n’utilisaient pas l’authentification multifactorielle.

Cette naïveté peut également se manifester en arrière-plan, par exemple lorsque des fuites d’enregistrements ont lieu en raison de l’ignorance associée aux vulnérabilités de la plateforme. Elle peut également se produire lorsque les courriels des entreprises sont compromis et utilisés pour assécher des comptes bancaires.

Pour la plupart des entreprises, la lutte contre les cybermenaces potentielles est un véritable parcours du combattant, en raison de la pénurie de spécialistes au sein de la main-d’œuvre. Les entreprises qui disposent de professionnels de la cybersécurité sont généralement en sous-effectif. La meilleure façon de combler le manque de compétences et d’emplois dans le domaine de la cybercriminalité est de requalifier la main-d’œuvre et de renforcer les compétences du secteur par des formations intensives.

Formation en cybersécurité : aider les particuliers et les entreprises

Le nombre de postes de cybersécurité non pourvus s’élève à plus de 4,07 millions de professionnels, contre 2,93 millions l’année dernière à la même époque. Ce chiffre comprend 561 000 personnes en Amérique du Nord et une pénurie stupéfiante de 2,6 millions de personnes dans la région APAC. Selon des estimations prudentes du Bureau of Labor Statistics, le secteur de la cybersécurité devrait connaître une croissance de 37 % jusqu’en 2022.

En réponse à cette pénurie et à ce besoin, de nombreuses entreprises investissent dans une formation adéquate en matière de cybersécurité pour tous leurs employés. Ce faisant, elles obtiennent un retour sur investissement élevé, car les professionnels formés sont mieux à même d’identifier et de prévenir les cybercrimes. Et pour les personnes qui cherchent à changer de carrière, les professionnels de la cybernétique débutants bénéficient d’une série d’avantages, car il s’agit d’un parcours professionnel très lucratif et porteur d’avenir.

Par rapport à la plupart des autres postes en informatique, les postes qui relèvent de la filière de la cybersécurité sont exceptionnellement bien rémunérés et très stables, surtout dans un monde post-pandémie de plus en plus numérique. Parmi les titres considérés comme des postes d’entrée (et qui ne nécessitent même pas d’expérience préalable en informatique), citons les suivants : technicien informatique, ingénieur réseau, analyste en sécurité de l’information, testeur de pénétration junior et administrateur système. La plupart de ces postes offrent des salaires à six chiffres, bien plus élevés que ceux de leurs homologues en informatique.

Les formations intensives en cybersécurité vont bien au-delà des programmes de certification de base. Une fois que les employés ont suivi une formation à la cybersécurité, ils sont équipés de tout ce qu’ils doivent savoir pour identifier les tentatives de hameçonnage et les attaques d’ingénierie sociale, en plus d’être capables d’identifier (et d’éviter) les liens suspects et d’échapper aux tentatives de piratage.

Aujourd’hui plus que jamais, nous devons nous équiper pour contrecarrer le large éventail de cybercrimes et leurs effets dévastateurs en éliminant le facteur de risque humain en interne et en comblant les lacunes de la main-d’œuvre en matière de cybersécurité.