L'humain reste le maillon faible de la sécurité des entreprises

jeudi 3 août 2017

Variable imprévisible, le facteur humain reste le maillon faible des entreprises en matière de cyber sécurité. Si d’importants efforts de sensibilisation ont été entrepris par les entreprises depuis, une nouvelle étude de Kaspersky Lab vient rappeler que le chemin est encore long pour réduire le risque posé par le facteur humain.

Baptisée « Human Factor in IT Security: How Employees are Making Businesses Vulnerable from Within », cette étude révèle que dans 40% des entreprises les collaborateurs dissimulent les incidents de sécurité informatique et que 46% de ces incidents sont causés par des personnes internes à l’entreprise. Bon nombre d’employés préfèrent, en effet, mettre leur entreprise en danger, plutôt que de signaler un problème car ils craignent d’être sanctionnés ou n’admettent pas d’en être jugés responsables. Certaines entreprises ont instauré des règles très strictes et font peser une responsabilité supplémentaire sur leur personnel, au lieu de l’encourager tout simplement à se montrer vigilant et coopératif. Cela signifie que la cyberprotection est affaire, non seulement de technologie, mais aussi de culture d’entreprise et de formation. C’est ici que la direction et les RH doivent intervenir. 

« Le problème que constitue la dissimulation d’incidents doit être communiqué non seulement aux collaborateurs mais aussi à la direction générale et à la DRH, explique Slava Borilin, responsable des programmes de formation à la sécurité chez Kaspersky Lab. Si le personnel dissimule des incidents, il doit avoir une raison. Dans certains cas, les entreprises instaurent des règles strictes mais peu claires et mettent trop de pression sur leurs employés, en leur interdisant de faire ceci ou cela, sous peine d’être tenus responsables en cas de problème. Ce type de règles entretient la crainte et ne laisse aux collaborateurs d’autre choix que d’éviter une sanction à tout prix. Si votre culture de la cybersécurité est positive, reposant sur une approche éducative plutôt que restrictive, du sommet vers la base, les résultats seront manifestes ». Á titre d'exemple, Slava Borilin rappelle que le fondateur de Tesla Elon Musk a exigé que chaque incident touchant à la sécurité des ouvriers lui soit directement rapporté, afin qu’il puisse jouer un rôle central dans le changement.

52 % des entreprises interrogées reconnaissent malgré tout que leurs employés sont le maillon faible de leur sécurité informatique. La nécessité de prendre des mesures axées sur le personnel devient de plus en plus évidente : 35 % des entreprises cherchent à renforcer la sécurité en dispensant une formation à leurs collaborateurs, ce qui en fait la deuxième méthode de cyberdéfense la plus répandue, la première étant le déploiement de logiciels plus élaborés (43 %).

In fine, des collaborateurs mal informés ou négligents sont l’une des causes les plus probables d’un incident de cyber-sécurité, uniquement devancée par les malwares. Les attaques ciblées et complexes telles qu’on a pu en voir ces dernières semaines ne se produisent que rarement dans les entreprises. Les malwares classiques, eux, frappent en masse au quotidien. Malheureusement, l’étude révèle que même en présence d’un malware, des collaborateurs inconscients et négligents sont souvent impliqués, causant des infections dans 53 % des cas. Près d’une attaque ciblée sur trois (28 %) contre des entreprises l’an passé a été initiée grâce au phishing ou à l’ingénierie sociale.

Et pourtant la plupart des menaces ciblant des collaborateurs négligents – notamment le phishing – peuvent être contrées par des solutions de sécurité sur les postes de travail. 


Imprimer l'article  Transférer par mail  Commenter  Facebook Twitter

En continu

SQ 250-300

Tribunes

Les vidéos du moment

Par date de parution


Derniers commentaires

Rubriques

Thèmes

Secteurs