Cybersécurité et entreprises : la moitié des incidents proviennent des employés internes

Une étude menée par Kapersky Lab depuis 2013 a montré que 85 % des incidents informatiques survenus au sein des entreprises sont causés le plus souvent par la négligence des employés. Parfois, les failles émanent même de l’ignorance de ces derniers. De ce fait, le facteur humain reste la première source de vulnérabilité des réseaux informatiques en milieu professionnel.

Les employés, souvent utilisés comme point d’accès

L’imprudence des collaborateurs internes est la principale cause des incidents de cybersécurité dans les entreprises. En effet, les experts affirment que la plupart des piratages complexes et classiques opérés ces dernières années concernent davantage les utilisateurs ordinaires, le grand public.

La même enquête révèle que malgré la multiplication des attaques, des employés semblent encore négliger la menace d’un malware. Dans 53 % des cas, la contamination provient tout simplement de leur manque de vigilance.

Par ailleurs, un tiers des cas d’attaques perpétrées en 2016 ont été initiés au moyen de la technique d’hameçonnage. De ce fait, les malfaiteurs se servent généralement des collaborateurs mal informés ou peu prudents pour mettre la main dans les réseaux informatiques des entreprises. Pour arriver à leurs fins, les cybercriminels envoient le plus souvent des mails infectés ou exploitent les mots de passe faibles.

Il faut également préciser que même l’usage d’un périphérique USB risque d’affecter le réseau tout entier, surtout lorsque l’employé qui l’utilise est mal informé sur les précautions de sécurité. Un simple manque d’attention peut créer des failles difficiles à réparer.

Créer une atmosphère favorable à la collaboration

 

L’enquête révèle aussi que les employés choisissent généralement de dissimuler les incidents informatiques dans lesquels ils sont impliqués. Pourtant, 46 % des infections sont causés par des personnes internes à l’entreprise, ce qui pourrait entraîner des problèmes beaucoup plus catastrophiques. Ce silence est dangereux, car les responsables de sécurité sont censés être informés de chaque menace existante pour trouver les stratégies adéquates pour les détourner.

 

Afin d’anticiper les brèches internes, certaines entreprises ont mis en place des règles rigoureuses qui font peser une lourde responsabilité sur le personnel. Au lieu d’instaurer un climat propice à la collaboration, ils menacent leurs employés d’être tenus responsables en cas de problème. Cette mesure n’est tout simplement pas idéale, car elle empêche les collaborateurs de se montrer coopératifs.

 

Pour cette raison, bon nombre d’employés choisissent de garder le silence. Ils craignent d’être poursuivis et sanctionnés. Selon l’expert de Kapersky Lab, les dirigeants d’entreprises doivent privilégier l’approche éducative à la place d’une méthode restrictive pour avoir des résultats concrets.

 

La formation des collaborateurs comme mesure supplémentaire

D’après la même étude, 52 % des entreprises enquêtées avouent que leurs employés sont le maillon faible de leur sécurité informatique. Par conséquent, la prise de mesures centrées sur le personnel doit être une priorité. Dans cette optique, 35 % des sociétés investissent déjà dans la formation de leurs collaborateurs en leur inculquant des notions et des conseils en matière de cybersécurité.

Aujourd’hui, la sensibilisation des employés internes est la deuxième méthode antipiratage utilisée par les entreprises, après l’usage de logiciels avancés. Il est vrai que des efforts ont été réalisés jusqu’ici, mais il faut dire que beaucoup de travail reste à faire pour limiter les risques associés au facteur humain.

 

Chaque cas de cyberattaques rappelle toujours l’importance de la collaboration entre employés et dirigeants. Bref, les défaillances doivent être traitées à plusieurs niveaux, et non seulement par les équipes de la sécurité informatique.