Au delà des outils de protection, le comportement des salariés est essentiel pour assurer une véritable défense. Parmi les principales failles humaines, le contournement des règles de sécurité, le mélange des usages privés professionnels, des mots de passe mal gérés ou encore, le partage hasardeux des données sensibles.

La sécurité ne se résume pas aux outils numériques, fussent-ils les plus évolués tels les EDR, NDR, XDR. Elle suppose une sensibilisation efficace de toutes les catégories de personnel aux enjeux de sécurité, aux règles essentielles et aux bons comportements à adopter par les collaborateurs, dès leur arrivée dans l’entreprise. La vieille attaque par phishing via de faux sites est en hausse, preuve qu’il reste du chemin à parcourir. Cyrius, éditeur de solutions de sécurité, a dressé la liste des 4 erreurs à éviter en analysant sa base de données clients et les rapports de 1password, Dashlane et  Specossoft. Au plan général, il ressort une sous-estimation de la criticité des informations qu’ils traitent au quotidien. Depuis la crise sanitaire du Covid-19, près de la moitié des utilisateurs a cependant pris des mesures complémentaires de protection. Un chiffre interpelle, selon Cyrius, 82% des failles impliqueraient une erreur humaine.  La sécurité des solutions est mise en doute par les salariés mais ils continuent à  les utiliser pour 64% d’entre eux pour leur facilité d’usage.

Le contournement des procédures de sécurité

L’authentification forte préconisée par l’ANSSI  est connue de la grande majorité des utilisateurs mais selon 1password, 43% des employés cherchent et trouvent des solutions pour la contourner car elle est contraignante. Autre enseignement de l’analyse de Cyrius, 38% des collaborateurs remettent à plus tard, délèguent ou annulent l’installation de nouvelles applications de sécurité sur leur poste de travail.

Le mélange des usages personnels et professionnels, une faille critique

Avec le développement du télétravail, les vulnérabilités se sont accrues. A noter, l’étude de Dashlane indique que 59% des employés affirment utiliser leurs appareils personnels pour s’authentifier sur des services professionnels. Problème, cette pratique fragilise le SI des entreprises car elles n’ont légalement pas le droit de surveiller les sessions personnelles ou même, de détecter les risques de sécurité.

Mauvais usage des mots de passe

Les mots de passe sont en première ligne pour protéger les ressources informatiques. Encore faut-il qu’ils soient robustes et bien gérés. Une analyse de Specossoft montre que 36% des employés partagent l'accès d’un compte avec des amis ou la famille. Pire, ils réutilisent le même mot de passe pour plusieurs comptes. Conséquence, le nombre de mots de passe de leurs comptes personnels et professionnels est très limité. En outre, 27% des collaborateurs pensent qu’il n’y a aucune différence entre l’authentification unique et la réutilisation des mots de passe

Le partage des données sensibles, un sujet mal maitrisé

Les informations critiques et sensibles des entreprises telles les projets, les données clients ou fournisseurs, résultats de recherche, etc. doivent être  partagées en parfaire connaissance de cause, et en accord avec les règlements applicables sur leur protection. Mais si 68% des utilisateurs de Cyrius se disent concernés par leurs données en ligne, seulement un salarié sur cinq  connait les obligations légales liées au RGPD.

Ces négligences montrent un manque de culture générale en matière de cybersécurité. Les formations de sensibilisation à la sécurité sont toujours nécessaires mais doivent éviter une surveillance contreproductive de la DSI. Un défi à relever.