46% des incidents de sécurité sont… internes

Si d’importants efforts de sensibilisation ont été entrepris par les entreprises depuis, une nouvelle étude vient rappeler que le chemin est encore long pour réduire le risque posé par le facteur humain. Baptisée « Human Factor in IT Security: How Employees are Making Businesses Vulnerable from Within », elle met en exergue le rôle crucial que jouent les collaborations dans la politique de sécurité de leur entreprise.

Les collaborateurs dissimulent les incidents de sécurité informatique dans 40 % des entreprises, alors que 46 % de ces incidents sont causés chaque année par des personnes internes à l’entreprise, cette vulnérabilité doit être traitée à de multiples niveaux, et pas seulement par le département de la sécurité informatique. Près d’une attaque ciblée sur trois (28 %) contre des entreprises l’an passé a été initiée grâce au phishing ou à l’ingénierie sociale.

52 % des entreprises interrogées reconnaissent que leurs employés sont le maillon faible de leur sécurité informatique. La nécessité de prendre des mesures axées sur le personnel devient de plus en plus évidente : 35 % des entreprises cherchent à renforcer la sécurité en dispensant une formation à leurs collaborateurs, ce qui en fait la deuxième méthode de cyberdéfense la plus répandue, la première étant le déploiement de logiciels plus élaborés (43 %).

« Le problème que constitue la dissimulation d’incidents doit être communiqué non seulement aux collaborateurs mais aussi à la direction générale et à la DRH. Si le personnel dissimule des incidents, il doit avoir une raison. Dans certains cas, les entreprises instaurent des règles strictes mais peu claires et mettent trop de pression sur leurs employés, en leur interdisant de faire ceci ou cela, sous peine d’être tenus responsables en cas de problème. Ce type de règles entretient la crainte et ne laisse aux collaborateurs d’autre choix que d’éviter une sanction à tout prix. Si votre culture de la cybersécurité est positive, reposant sur une approche éducative plutôt que restrictive, du sommet vers la base, les résultats seront manifestes », explique Slava Borilin, responsable des programmes de formation à la sécurité chez Kaspersky Lab.

– L’étude complète (en anglais)