La cybersécurité, l’élément humain

La sécurité informatique, le facteur humain

88 % des employés n’ont aucune idée des politiques de sécurité informatique de leur organisation, selon une enquête de Kaspersky Lab. Un tel manque de sensibilisation aux règles de sécurité de l’entreprise pourrait exposer les entreprises et les PME aux cybermenaces.

Bien que les cybermenaces deviennent de plus en plus sophistiquées chaque jour, la grande majorité des employés ne connaissent pas les politiques et règles de sécurité de l’information de leur organisation, mises en place pour les protéger. Alors que 49 % des employés interrogés déclarent considérer la protection contre les cybermenaces comme une responsabilité partagée au sein de leur entreprise, seuls 12 % affirment être pleinement conscients des politiques de sécurité informatique de leur société, selon les résultats de l’enquête.

Ces résultats soulignent le fait que les employés restent un facteur de risque majeur en matière de sécurité au sein des organisations, puisqu’ils sont responsables de 46 % des incidents de sécurité informatique chaque année, selon une précédente enquête de Kaspersky Lab. Cependant, les employés sont également la clé du renforcement de la posture de sécurité d’une organisation, et les entreprises doivent mettre en place de solides campagnes de sensibilisation pour rester cybersécurisées.

Parmi les près de 8 000 employés interrogés, 24 % estiment que leur organisation ne dispose d’aucune politique de sécurité informatique établie.

Ce manque de sensibilisation est particulièrement préoccupant pour les PME, qui ne disposent souvent pas d’équipes dédiées à la sécurité informatique et partagent les responsabilités en matière de cybersécurité entre employés IT et non IT, souligne Kaspersky Lab dans le rapport. Les PME sont généralement les plus vulnérables à des menaces telles que les ransomwares, car elles manquent de ressources humaines et financières pour sécuriser leur infrastructure informatique.

Selon le rapport, les employés les plus à risque sont généralement les dirigeants, les responsables RH et les spécialistes financiers, qui ont accès aux données critiques de leur entreprise. Si les pratiques de base en matière d’hygiène informatique — comme la modification des mots de passe ou l’installation de mises à jour — ne sont pas suivies par tous les employés, cela peut potentiellement mettre toute l’organisation en danger face à une faille de sécurité.

Selon Cédric Mauny, Head of Cybersecurity Services chez Proximus NXT, « le problème des employés non impliqués, non formés ou simplement peu conscients peut représenter un défi majeur à surmonter, en particulier pour les petites entreprises où une culture de la cybersécurité est encore en développement. Non seulement les employés peuvent eux-mêmes être victimes de cybermenaces, mais ils sont aussi tenus de protéger leur entreprise contre ces menaces en premier lieu. À cet égard, les entreprises doivent former leur personnel et introduire des solutions de sécurité simples d’utilisation — mais efficaces — permettant une gestion de la protection accessible même aux non-experts en informatique. Il n’est plus nécessaire d’être un expert en sécurité IT pour appliquer les mesures de sécurité quotidiennes. Le rôle des experts est de rendre la sécurité aussi accessible que possible. Le meilleur outil ne sera jamais utilisé correctement, même par les employés les plus impliqués — ou pire, il sera contourné — s’il est mal conçu ou mal utilisé. »

12 % des employés déclarent être pleinement conscients des politiques et règles de sécurité informatique de leur organisation. — Kaspersky Lab, 2018

24 % des employés estiment que leur organisation ne dispose d’aucune politique de sécurité établie. — Kaspersky Lab, 2018