Le point faible informatique de l'homme
Près de la moitié des incidents de cybersécurité sont dus à des erreurs de comportement de la part des collaborateurs. Quelle serait la voie royale pour sortir de ce dilemme ?
Les attaques ciblées, en particulier, visent souvent le manque de soin ou d'attention des employés. La raison en est que les employés sont la porte d'entrée la plus facile à franchir pour les attaques hautement techniques et spécialisées contre les entreprises.
Selon la Étude de Kaspersky "Human Factor in IT Security : How Employees are Making Businesses Vulnerable from Within", 28% de toutes les attaques ciblées ont été menées l'année dernière par hameçonnage ou ingénierie sociale. Par exemple, un e-mail contient un fichier malveillant déguisé en facture d'un fournisseur ; si un comptable insouciant l'ouvre, le réseau de l'entreprise peut déjà être infecté.
L'éventail des attaques
Les cybercriminels se voient souvent ouvrir les portes de l'infrastructure d'une entreprise. L'éventail des attaques va des e-mails d'hameçonnage aux mots de passe trop faibles, en passant par les appels supposés du service d'assistance informatique. Une autre arnaque est celle des cartes mémoire apparemment perdues et compromises, placées de manière ciblée sur le parking de l'entreprise ou dans le secrétariat, puis trouvées et lues par des collègues bien intentionnés.
Une question de culture d'entreprise
Par peur des conséquences possibles, les employés hésitent à signaler les incidents de cybersécurité - selon une étude, c'est le cas de 40% des entreprises. Les conséquences sont graves, car les experts en sécurité doivent identifier les incidents de cybersécurité le plus rapidement possible afin de pouvoir les combattre de manière adéquate.
Au lieu de menacer avec des règles strictes et des conséquences, les entreprises devraient donc encourager l'attention et la volonté de coopérer. "La cybersécurité n'est pas seulement une question de technologie, mais aussi une question de culture d'entreprise. Le top management et les services des ressources humaines devraient en être conscients", explique Slava Borilin, Security Education Program Manager chez Kaspersky Lab. "Lorsque les collaborateurs dissimulent des incidents, il y a de bonnes raisons : des directives trop strictes et peu claires, trop de pression ou la recherche de coupables. Tout cela incite les collaborateurs à dissimuler la vérité par peur. De bien meilleurs résultats sont obtenus par une culture positive de la cybersécurité, qui mise sur la formation de la conscience et le flux d'informations, et dont la direction donne l'exemple".
La voie royale vers l'évitement
Les entreprises sont désormais conscientes de l'importance du personnel pour leur sécurité. Une entreprise sur deux (52%) considère le personnel comme le maillon faible de la chaîne de sécurité informatique et une entreprise sur trois (35%) souhaite mettre en place des mesures de formation continue pour cette raison. Il s'agit de la deuxième mesure la plus fréquente pour améliorer la sécurité, après l'utilisation de meilleurs logiciels (43%).
La voie royale pour éviter les erreurs humaines de cybersécurité réside dans la combinaison de mesures techniques et humaines :
- Mesures concernant le personnel : Des formations à la sécurité, des directives formulées de manière claire et concise, des mesures de formation continue et de motivation ainsi qu'un climat de travail positif.
- Solutions technologiques : Les solutions de sécurité pour systèmes d'extrémité permettent de limiter les erreurs humaines des collaborateurs. Des mesures de protection préconfigurées et des paramètres de sécurité avancés permettent de prendre en compte les exigences spécifiques des petites et moyennes entreprises ainsi que des grands groupes.
Source : Kaspersky Lab
