Le chiffre est impressionnant. À souhait d’aucuns diront ! Les trois quarts (75 %) des salariés interrogés en France mettraient sciemment leur organisation en danger, en réutilisant ou en partageant un mot de passe, en cliquant sur des liens provenant d’expéditeurs inconnus, ou en communiquant leurs informations d’identification à une source non fiable.
Extrait d’une étude menée par Proofpoint, « State of the Phish 2024 », ce constat inquiétant aurait plusieurs raisons. Les principales sont les suivantes : aller au plus simple (43 %) et gagner du temps (36 %).
Même les meilleures défenses techniques peuvent être mises à mal si les utilisateurs n’effectuent pas les opérations de base, telles qu’éviter les liens suspects, vérifier l’authenticité des données, etc.
Négligence, oubli…
D’après cette enquête, 71 % des utilisateurs ont déclaré avoir pris des risques, et la quasi-totalité d’entre eux (96 %) l’a fait en connaissance de cause. Et plus d’un tiers des risques qu’ils ont pris ont été considérés par ces utilisateurs comme « extrêmement risqués » ou de « très risqués ».Le constat est clair : les salariés ne prennent pas de risques parce qu’ils ne sont pas sensibilisés à la sécurité. Ils savent souvent ce qu’ils font lorsqu’ils prennent des risques et sont tout à fait disposés à jouer avec la sécurité de l’entreprise.
Personne ne le sait mieux que les cybercriminels. Ils savent qu’il est possible d’exploiter les salariés, que ce soit par négligence, par oubli ou, dans de rares cas, par malveillance. L’ingénierie sociale fait partie de presque toutes les menaces par courrier électronique.
Et 58 % des utilisateurs qui ont pris des risques ont déclaré qu’ils avaient adopté un comportement qui les exposait à des tactiques d’ingénierie sociale comme cliquer sur des liens inconnus, répondre à des expéditeurs inconnus et partager des informations d’identification avec des personnes non autorisées.
Ces actions peuvent conduire à une infection par un ransomware, un logiciel malveillant, une violation de données ou une perte financière. L’une des raisons pour lesquelles les utilisateurs prennent ces risques est l’absence de consensus sur l’obligation de rendre compte et la responsabilité.
Seuls 41 % des utilisateurs déclarent savoir qu’ils sont responsables de la cybersécurité sur leur lieu de travail. Environ 7 % affirment qu’ils ne sont pas du tout responsables, tandis que la majorité (52 %) n’est pas sûre.
Selon cette enquête, les professionnels de la sécurité considèrent les utilisateurs ayant accès aux données critiques de l’entreprise comme le plus grand risque de sécurité (63 %), un groupe qui est inévitablement difficile à gérer, car une grande partie de cet accès est nécessaire.
Mais les utilisateurs et ceux qui n’ont pas suivi la formation de sensibilisation à la sécurité suivent de près, en deuxième position (56 % chacun). Ces catégories d’utilisateurs sont toutes considérées comme nettement plus risquées que les cadres et les VIP (34 %), bien que ce dernier groupe ait souvent un large accès à des données précieuses.
Les professionnels de la sécurité s’accordent à dire que le travail à distance, l’hygiène des mots de passe et la sécurité sur Internet sont essentiels, mais moins d’un tiers des programmes de sensibilisation à la sécurité couvrent tous ces sujets.
Concours
Les principaux sujets de formation cités par les personnes interrogées sont les logiciels malveillants, la sécurité Wi-Fi, les ransomwares et l’hameçonnage par courrier électronique, qui sont tous importants, mais insuffisants pour couvrir l’ensemble des risques.Terminons cependant par un point positif : d’une année sur l’autre, la formation a considérablement augmenté (41 % contre 28 %), ce qui indique une approche plus adaptée et plus ciblée.
Le temps alloué à la formation des utilisateurs a également augmenté d’une année sur l’autre, un plus grand nombre de répondants consacrant plus de trois heures par an à la sensibilisation.
Enfin, les types de tactiques utilisées évoluent, avec une augmentation de 23 % de l’utilisation de concours et de prix pour stimuler l’attention. Ce changement peut contribuer à la motivation des utilisateurs, tout en créant un environnement d’apprentissage positif et amusant.
La formation assistée par ordinateur reste le format le plus courant (45 %), mais d’autres méthodes telles que les simulations de dépôt d’USB, les vidéos, les affiches et les bulletins d’information sont également utilisés.