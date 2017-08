Le nouveau rapport « Human Factor in IT Security : How Employees are Making Businesses Vulnerable from Within » indique que, chaque année, 46% des incidents de sécurité informatique sont causés par les employés même de la société concernée, il faut remédier à tous les niveaux à cette vulnérabilité au sein des entreprises, et pas seulement par le biais du département de la sécurité informatique.

Voie de pénétration des pirates

L’ignorance et/ou la négligence de employés font partie des causes les plus probables d’un incident de cybersécurité – seuls les logiciels malveillants affichent un score plus élevé. Alors que ces logiciels malveillants sont sans cesse plus avancés, la triste réalité est que le bon vieux facteur humain peut faire courir un risque encore plus grand aux entreprises.

Lorsqu’il s’agit d’attaques ciblées, la négligence d’employés est l’un des principaux points faibles dans le bouclier de la cybersécurité des entreprises. Bien que les pirates avancés puissent toujours compter sur des logiciels malveillants sur mesure et des techniques high-tech dans la planification de leurs attaques, ils commenceront probablement toujours par l’exploitation du point d’accès le plus facile – la nature humaine.

D’après l’enquête, le phishing/l’ingénierie sociale a joué l’an dernier un rôle déterminant à la base de près d’un tiers (28%) des attaques ciblées sur les entreprises. Un comptable négligent peut par exemple ouvrir facilement un fichier malveillant dissimulé sous la forme d’une facture de l’un des nombreux sous-traitants d’une entreprise. Ce fichier peut ensuite paralyser l’infrastructure de l’ensemble de l’organisation, rendant ainsi le comptable complice sans le savoir des attaquants.

Pourquoi l’implication des RH et du top management est nécessaire

Si le personnel dissimule son implication dans des incidents, cela peut avoir des conséquences dramatiques et accroître l’ensemble des dommages causés. Même un seul événement non signalé peut être le signe d’une attaque d’une ampleur bien plus grande, et les équipes de sécurité doivent pouvoir identifier rapidement les menaces auxquelles elles sont confrontées, afin de choisir la tactique adéquate pour les combattre.

Par crainte des conséquences, des employés préfèrent toutefois mettre l’organisation en danger plutôt que de rapporter un problème, ou ils ont honte d’être responsables d’un incident. Certaines entreprises ont instauré des règles strictes et font porter une responsabilité supplémentaire à leurs employés, au lieu de les encourager simplement à la vigilance et à la coopération. Cela signifie que la cybersécurité n’est pas uniquement une question de technologie, mais qu’elle est également liée à la culture et à la formation au sein d’une organisation. C’est la raison pour laquelle le top management et les RH doivent être impliqués.

Le facteur humain : climat corporate et plus

La meilleure manière de protéger les organisations contre des cyber-menaces liées aux personnes consiste à combiner les outils adéquats avec les bonnes pratiques. Dans ce cadre, les RH et la direction doivent s’efforcer de motiver les employés et de les inciter à rester vigilants et à demander de l’aide en cas d’incident. Les formations à la sensibilisation à la sécurité pour les employés, l’instauration de directives claires au lieu de longs documents de plusieurs pages, la mise en place de solides compétences et de la motivation nécessaire, et la promotion de la bonne ambiance de travail constituent les premières mesures que doivent prendre les organisations.