Sécurité IT, le facteur humain

Sécurité IT, le facteur humain

88% des employés ignorent totalement en quoi consiste la politique de sécurité IT en vigueur dans leur entreprise, selon une étude de Kaspersky Lab. Un telle méconnaissance des règles de sécurité expose dangereusement les entreprises, et particulièrement les PME, aux cybermenaces.

Alors que les cybermenaces deviennent de jour en jour plus sophistiquées, la grande majorité des employés n'est pas au courant des stratégies de sécurité IT mises en place au sein de leur organisation et des règles en vigueur pour assurer leur propre sécurité. En effet, si 49% des employés interrogés disent considérer la protection contre les cybermenaces dans leur entreprise comme une responsabilité partagée, seuls 12% d'entre eux déclarent être parfaitement au courant des politiques de sécurité de leur entreprise, selon les résultats de l'enquête.

Ces résultats soulignent le fait que les employés constituent un facteur de risque majeur pour la sécurité au sein des organisations, d'autant plus qu'ils sont responsables de 46% des incidents de sécurité chaque année, d'après une étude menée précédemment par Kaspersky. Pourtant, les employés sont en même temps la clé du renforcement de la sécurité et les entreprises doivent mettre en place de solides campagnes de sensibilisation pour se protéger contre les cybermenaces.

Sur les près de 8.000 employés interrogés par Kaspersky, 24% pensent que leur entreprise ne dispose d'aucune politique de sécurité formelle.

Ce manque de conscience est particulièrement préoccupant pour les PME qui, dans la plupart des cas, ne disposent pas d'équipes de sécurité informatique dédiées et partagent les responsabilités en la matière entre informaticiens et non-informaticiens, note encore Kaspersky. Les PME sont généralement les plus exposées aux menaces, aux ransomwares notamment, parce qu'elles elles ne disposent ni du personnel ni des ressources financières nécessaires pour sécuriser leurs infrastructures informatiques.

Selon l'étude, les employés les plus à risque sont ceux qui ont souvent accès aux données critiques de leur entreprise: cadres, responsables des ressources humaines et spécialistes de la finance. Si les pratiques les plus élémentaires de cyber-hygiène, comme les modifications de mot de passe ou l'installation de mises à jour, ne sont pas observées par l'ensemble des employés, cela peut potentiellement mettre toute l'organisation en danger.

Selon Cédric Mauny, Head of Cybersecurity Services chez Telindus, "le problème posé par un personnel non impliqué, non sensibilisé ou simplement inconscient des risques peut constituer un défi majeur pour les entreprises où la culture de la cybersécurité en est toujours au stade du développement. Non seulement les employés peuvent être eux-mêmes victimes d'actes de cybercriminalité, mais il est également de leur devoir de protéger leur entreprise de ces menaces. A cet égard, les entreprises se doivent de former leur personnel et de mettre en place des solutions de sécurité à la fois efficaces mais également simples à utiliser pour permettre leur adoption par l’ensemble du personnel. Mettre en œuvre la sécurité au quotidien ne doit plus nécessiter d’être un expert en sécurité informatique. La responsabilité de celui-ci est de rendre la sécurité accessible. Le meilleur outil ne sera jamais utilisé, même par les collaborateurs les plus impliqués - ou pire, il sera contourné - s’il est employé à mauvais escient."

Seuls 12% des employés déclarent être parfaitement au courant des politiques et des règles de sécurité IT en vigueur dans leur entreprise. - Kaspersky Lab, 2018

24% des employés pensent que leur organisation ne dispose d'aucune politique de sécurité formelle. - Kaspersky Lab, 2018