Si presque tous les répondants à une étude de Lockself pour la France disent identifier un message de phishing, près d’un salarié sur deux admet encore cliquer sur des liens douteux dans leurs boîtes de réception. Que ce soit par messagerie ou par téléphone, le phishing reste encore une technique malveillante plébiscitée par les pirates.

Le phishing permet de récupérer des comptes d’accès, des mots de passe ou des données bancaires. Il constitue donc une porte d’entrée de choix dans le SI des organisations. Une fois compromis, un compte de messagerie professionnel permet d’envoyer des e-mails frauduleux aux contacts internes ou externes de l'entreprise (phishing latéral). L’étude de Lockself indique que 40 % des salariés ne sont pas conscients de l'occurrence d’une cyberattaque, mais 36 % estiment que leurs pratiques représentent un risque important. Parmi les interrogés, 27 % jugent une attaque réussie peu probable et 10 % ne l'envisagent pas du tout. Ce sont des indicateurs préoccupants, même s’il faut sans doute les pondérer. Surtout quand l’enquête indique que près d’un salarié sur deux admet encore qu'il clique sur des liens possiblement douteux sans en vérifier leur provenance dans leurs boîtes e-mails.

D’autre part, 35 % des moins de 35 ans téléchargent du contenu sans vérification et près d’un salarié sur deux n’aurait jamais reçu de formation liée à la cybersécurité. Sans surprise, Lockself, qui vend des coffres-forts numériques, avance que seuls 27 % des membres du panel utilisent aujourd’hui d’un gestionnaire de mots de passe.

L’usage personnel des outils professionnels sur le podium des mauvaises pratiques

Parmi les comportements à risque, l’utilisation des ordinateurs et téléphones de l’entreprise à des fins personnelles est le fait de 71 % de l’échantillon de l’étude de Lockself. Ce chiffre intègre ceux qui le font souvent ou plus rarement. Une pratique qui peut ouvrir un accès critique aux informations sensibles d’une organisation à des individus malveillants.

Autre habitude très répandue, l’usage d’un même identifiant de connexion pour plusieurs comptes professionnels. Cette pratique est reconnue par 63 % des membres du panel qui se servent du même identifiant ou mot de passe pour plusieurs comptes de l’entreprise. Sans un outil de stockage sécurisé des multiples sésames de protection, il est difficile et fastidieux de les gérer.

Le partage de documents professionnels par des services personnels tels Wetransfer et autres est le fait de 61 % des salariés. Or, n’importe qui peut les intercepter et accéder à des informations sensibles sur l’organisation du salarié.

La formation en cybersécurité reste perfectible pour près d’un salarié sur deux

Près de la moitié des salariés (46 %) n’aurait jamais reçu de formation en cybersécurité, une proportion qui bondit à 68 % dans les entreprises de moins de 20 salariés et à 51 % pour les femmes (contre 41 % pour les hommes). Parmi ceux qui ont bénéficié d’une formation (soit 54 %), un quart d’entre eux l’a suivie il y a plus d’un an. Les entreprises de 50 à 259 salariés et celles de plus de 1000 restent les mieux loties par rapport
aux TPE et petites PME.

Les premiers gestes à éviter sont pourtant simples, ne jamais communiquer d’informations sensibles par messagerie ou par téléphone, vérifier l’adresse vers laquelle un lien douteux pointe et enfin, contrôler la vraisemblance du site qui s’affiche alors dans votre navigateur.

ARTICLES SIMILAIRESPLUS DE L'AUTEUR