Indicateurs CTI : intégration du risque humain

Qu’est-ce que le risque cyber humain ?

Le risque cyber humain regroupe l’ensemble des comportements, actions ou omissions — volontaires ou involontaires — susceptibles de compromettre la sécurité informatique d’une organisation ou d’une personne. Aujourd’hui, les vulnérabilités humaines sont la principale porte d’entrée pour les cybercriminels. Ces derniers exploitent la masse d’informations accessibles publiquement exposées ou volées pour affiner leurs scénarii d’attaque : ingénierie sociale, hameçonnage (phishing), usurpation d’identité, compromission de comptes, fraude, etc. Pour eux, les données personnelles exposées sont une véritable mine d’or. Les profils publics, les empreintes numériques non maîtrisées ou les corrélations entre identifiants professionnels et usages personnels forment ainsi une surface d’attaque élargie, souvent peu couverte par les approches de cybersécurité techniques classiques.

De manière générale, le risque cyber humain tend à augmenter sous l’effet de plusieurs facteurs :

Augmentation de la masse de données personnelles susceptible d’être utilisée par les pirates liée à l’usage massif et de plus en plus répandu des réseaux sociaux
Attaques massives d’organismes publics ou privés dans le but de récolter les données personnelles critiques des utilisateurs
Essor du télétravail et de la porosité entre la vie professionnelle et personnelle
Perfectionnement des techniques d’OSINT (Open Source intelligence) utilisées par les attaquants
Automatisation et industrialisation des attaques par ingénierie sociale (ex : phishing/smishing personnalisés, usurpation d’identité et de comptes)
Montée en puissance des technologies Deepfake.

Comment le niveau de risque est-il est calculé ?

Le niveau de risque est une somme pondérée des différents indicateurs de menace. Par exemple, un leak via un infostealer aura plus d'impact qu'un email professionnel. Ces indicateurs sont calculés en fonction des informations ayant été retrouvées sur le dark web et rendant la menace probable. Les poids des différents indicateurs ont été étalonnés sur la mesure du risque de plus de 10 000 noms de domaine.

Sur quels actifs se base l'évaluation pour déterminer le risque humain ? Est-il possible de rajouter des noms de domaine ?

L'évaluation se base sur les domaines de messagerie (de premier niveau et non les sous-domaines, utilisés pour la messagerie, contenant un enregistrement DNS de type MX) inclus dans le périmètre de votre cartographie globale. Nous vous invitons à vérifier que ces domaines sont bien renseignés à cet effet, et si nécessaire à les rajouter (voici un article pour vous aider ici).

Comment évolue la notation dans le temps ?

Les indicateurs de risques liés aux fuites de données ont une durée de validité de 6 mois. Les fuites de plus de 6 mois n’impactent plus le score. Si un nom de domaine ne subit plus de fuite de donnée pendant 6 mois, son score descend à 0. Pour les ransomwares, l’impact sur le score diminue suivant une exponentielle décroissante. L'impact sur la note peut représenter jusqu'à 10% maximum de la notation globale.

Comment remonter la note ?

La note remonte progressivement avec le temps (fenêtre d'évaluation sur 6 mois). Par exemple, si une fuite dont la date de détection remonte au 01/01/2025, alors aux environs du 01/06/2025, soit 6 mois plus tard, il n'y aura plus de remontée et la note augmentera. Tout en prenant en considération que la note CTI est réactualisé 1 fois par semaine.

Il est également important de comprendre pourquoi et comment les informations ont fuité afin d'éviter que cela se reproduise. Il est alors recommander de prendre des actions correctives, techniques et humaines, par exemple (re)mettre en place des actions de sensibilisation auprès des collaborateurs, rappel de la charte, nettoyage de postes, etc.

Par ailleurs, nous prévoyons de prendre en compte, dans de prochaines évolutions de cet axe d'analyse, les remédiations traitées avec les solutions ANOZR WAY (en tant que client) dans l'évolution du score.

Quelles sont les sources de ces données ?

Les remontées sur la CTI proviennent de l’OSINT (Open-Source Intelligence), des données disponibles sur les forums du darknet. Elles sont vérifiées par l’expertise d’Anozr Way afin d’éviter des faux positifs. L’échantillon disponible sur la plateforme permet notamment de légitimer la donnée partagée, nous vous permettons de la vérifier sur votre propre domaine.

Dans quel cadre réglementaire est-il possible de faire cette évaluation ?

Pour être licite, il faut que le traitement de données personnelles repose sur une "base légale" prévue par le RGPD. Il existe six bases légales en tout, et nous nous basons sur la base légale de l'intérêt légitime qui nous permet de traiter ces données. Autrement dit, il existe un intérêt légitime (en l'occurrence une nécessité de cybersécurité) qui autorise un traitement de données personnelles. Les institutions européennes ainsi que la CNIL expliquent que les traitements nécessaires à la cybersécurité reposent sur cette base légale de l'intérêt légitime.

Comment accéder à l'échantillon ?

Tout utilisateur Sponsor du compte (restreint sur des sociétés ou non) ou Audité administrateur de la société, ayant son adresse email similaire au nom de domaine analysé peut avoir accès à l’échantillonnage afin de vérifier la légitimité des données.

Une évolution est à venir à ce sujet.

Pour y accéder, il suffit de cliquer sur le nom de domaine en question puis sur « obtenir un échantillon » :

A quoi correspond l'échantillon ?

L'échantillon proposé de données (maximum 5 remontées) sur chaque domaine de messagerie est fourni afin de vous donner du contexte et de légitimer l'information que nous vous apportons sous forme d'indicateurs CTI. Il est fourni uniquement lors de Leak de mots de passe et/ou emails. Cette donnée revêt d'une importance particulière de par sa nature de secret.

La mission de Board of Cyber est de vous avertir de votre position externe en privilégiant la simplicité, la lisibilité et la fiabilité des éléments, sans vocation à l'exhaustivité ni au stockage du détails de ce type de données. Cette mission complémentaire est assurée par notre partenaire Anozr Way. C'est pourquoi, nous fournissons uniquement un extrait représentatif partiellement anonymisé sur la plateforme Security Rating.

Quelle serait la valeur ajoutée de contractualiser avec Anozr Way ?

La notation du risque humain intégrée à Security Rating offre une première visibilité, mais elle reste focalisée sur un périmètre restreint de scénarios d’attaque (usurpation de compte et usurpation d’identité). Cette approche, bien que pertinente, ne reflète pas l’ensemble des menaces auxquelles les collaborateurs et dirigeants sont totalement exposés. Les solutions ANOZR WAY viennent compléter et enrichir cette vision en couvrant un spectre beaucoup plus large de risques cyber, incluant notamment le phishing ciblé, le SIM swapping, le smishing ou encore d’autres formes d’attaques exploitant la vulnérabilité humaine.

Autre différence majeure : Security Rating n’intègre pas la dimension personnelle de l’exposition numérique, alors que celle-ci représente une porte d’entrée fréquente pour les cybercriminels. ANOZR WAY va plus loin en rebondissant depuis les données professionnelles vers les informations personnelles, ce qui permet de révéler des vulnérabilités invisibles dans une analyse limitée au seul périmètre professionnel.

Enfin, ANOZR WAY ne se limite pas à l’évaluation. La solution fournit des plans d’action concrets et personnalisés de remédiation afin de réduire l’exposition des individus et de diminuer leur niveau de risque dans la durée. Là où Security Rating donne une photographie à un instant T, ANOZR WAY apporte une dynamique de protection et de réduction active du risque humain.

Pour avoir plus d'informations, rendez-vous sur le site internet d'ANOZR WAY.

Indicateurs CTI : intégration du risque humain - Partenariat ANOZR WAY

La catégorie Incident de sécurité se dote de nouveaux indicateurs CTI via le partenariat avec ANOZR WAY.