De nombreux incidents de cybersécurité sont causés par les employés eux-mêmes

Les collaborateurs eux-mêmes représentent un risque pour les organisations. Une étude mondiale de Kaspersky Lab montre que 46 % des incidents de cybersécurité sont causés par les employés. De plus, dans 40 % des cas, les incidents de cybersécurité dont ils sont responsables sont tenus secrets.

De nombreuses attaques en circulation ciblent les collaborateurs, qui manquent souvent de soin ou d'attention envers leurs documents. Les employés sont "la porte d'entrée la plus facile à franchir pour les attaques de haute technologie et spécialisées contre les entreprises", souligne une récente étude de Kaspersky.

Des méthodes ciblées

Selon Kaspersky Lab, 28 % de toutes les attaques ciblées ont été menées l'année dernière par hameçonnage ou ingénierie sociale. Par exemple, un e-mail contient un fichier malveillant déguisé en facture d'un fournisseur ; si un comptable insouciant l'ouvre, le réseau de l'entreprise peut déjà être infecté.

"Les employés ouvrent souvent les portes de l'infrastructure d'une entreprise aux cybercriminels", explique David Jacoby, chercheur en sécurité chez Kaspersky Lab. "L'éventail des attaques va des e-mails d'hameçonnage aux mots de passe trop faibles en passant par les appels supposés du service d'assistance informatique. Une autre arnaque est celle des cartes mémoire apparemment perdues et compromises, placées de manière ciblée sur le parking de l'entreprise ou dans le secrétariat, puis trouvées et lues par des collègues bien intentionnés".

La gestion d'entreprise est requise

Par peur des conséquences, les employés hésitent à signaler les incidents de cybersécurité - selon l'étude de Kaspersky, c'est le cas de 40 % des entreprises. Les conséquences sont graves, car les experts en sécurité doivent identifier les incidents de cybersécurité le plus rapidement possible afin de pouvoir les combattre de manière adéquate.

Plutôt que de menacer avec des règles strictes et des conséquences, les entreprises devraient donc encourager l'attention et la volonté de coopérer. "La cybersécurité n'est pas seulement une question de technologie, mais aussi une question de culture d'entreprise. Le top management et les départements des ressources humaines devraient en être conscients", explique Slava Borilin, Security Education Program Manager chez Kaspersky Lab.

"Lorsque les collaborateurs dissimulent des incidents, il y a de bonnes raisons : des directives trop strictes et peu claires, trop de pression ou la recherche de coupables. Tout cela incite les collaborateurs à dissimuler la vérité par peur. De bien meilleurs résultats sont obtenus avec une culture positive de la cybersécurité, qui mise sur la formation de la conscience et le flux d'informations et qui est modélisée par la direction de l'entreprise".

Information, bonne ambiance de travail et technique

La voie royale pour éviter les erreurs humaines de cybersécurité réside dans la combinaison de mesures techniques et humaines, qui constituent deux niveaux principaux :

• Au niveau du personnel : formations à la sécurité, directives formulées de manière claire et concise, mesures de formation continue et de motivation ainsi qu'un climat de travail positif.
• Niveau technologique : les solutions de sécurité des systèmes d'extrémité permettent d'endiguer les erreurs humaines des collaborateurs. Des mesures de protection préconfigurées et des paramètres de sécurité avancés permettent de prendre en compte les exigences spécifiques des petites et moyennes entreprises et des grands groupes.

L'étude complète de Kaspersky "Human Factor in IT Security : "How Employees are Making Businesses Vulnerable from Within" peut être consultée ci-dessous :

Le facteur humain : les employés peuvent-ils apprendre à ne pas faire d'erreurs ?