La cybersécurité, l’indispensable formation de vos employés

Comment les salariés évaluent-ils la cybersécurité dans leur cadre professionnel au quotidien ? Quel regard portent-ils sur leur entreprise et sa préparation face aux risques cyber ? Deux enquêtes ne rassurent pas sur ces questions !

Quels sont les principaux enseignements de cette enquête ? Les salariés expriment aujourd’hui un intérêt modéré à l’égard de la cybersécurité : 27% déclarent s’intéresser « beaucoup » à ce sujet dans leur entreprise. Sont-ils spontanément sensibles à ces enjeux a demandé Harris Interactive ? Pas forcément : en effet 80% d’entre eux ont le sentiment de déjà connaître les bonnes pratiques en matière de sécurité, notamment dans le cadre de leurs missions (84%).

À ce titre, ils présument majoritairement que leur propre structure est relativement à l’abri : 77% ont le sentiment que leur entreprise est bien protégée en la matière, 88% déclarent faire confiance au responsable chargé de la cybersécurité dans leur entreprise. 78% sont également confiants dans la capacité de leur entreprise à avoir une réaction adaptée en cas d’anomalie. À leurs yeux, les risques en matière de cybersécurité menacent principalement les particuliers au niveau personnel (60% jugent les citoyens « mal protégés ») ou les TPE/PME de façon générale (42%), mais rarement leur propre structure.

Pourtant, sans s’en apercevoir, les salariés déclarent mettre en œuvre au quotidien certains comportements à risque : utiliser des mots de passes identiques pour de multiples plateformes (78%), connecter des clés USB à leur poste de travail (73%) ou encore envoyer des documents professionnels en pièce jointe sans protection (71%). Et lorsqu’ils ont besoin d’information ou d’aide sur un sujet de cybersécurité, seuls 40% des salariés se tournent en premier lieu vers un interlocuteur expert, qu’il s’agisse du service dédié interne (33%) ou d’un prestataire externe (7%).

Former, impliquer, protéger !

Les réflexes de cybersécurité pourraient-ils être mieux intégrés si les salariés étaient plus régulièrement informés par leur entreprise sur les enjeux associés à la cybersécurité ? À l’heure actuelle, 64% estiment que leur entreprise communique régulièrement sur ce sujet et les informe, et 57% affirment avoir bénéficié d’une sensibilisation d’au moins une heure par an. Une situation de confiance face aux entreprises qui conduit une majorité de salariés à juger diverses pistes de solutions qu’elles pourraient mettre en place efficaces : formations (80%), campagnes d’information régulières (78%), mise à disposition d’une application mobile (72%) voire d’un média spécialisé (65%) sur la cybersécurité.

Cette enquête a été réalisée en ligne du 19 au 24 décembre 2019 pour le compte de Captain Cyber. Échantillon de 648 salariés d’entreprise de 50 salariés et plus travaillant au moins en partie sur un poste d’ordinateur, issu d’un échantillon représentatif de salariés d’entreprise de 50 salariés et plus. Méthode des quotas et redressement appliqués aux variables suivantes : sexe et âge de l’interviewé, taille et secteur d’activité de l’entreprise.

Plus de 10 millions d’euros pour réparer

De son côté, la société Proofpoint explique dans un rapport mondial sur le conséquences des menaces internes les coûts et les tendances associés aux utilisateurs internes négligents, compromis et malveillants. En moyenne, les organisations touchées ont dépensé 11,45 millions de dollars (plus de 10 millions d’euros) par an pour remédier à ce type de menaces et ont mis 77 jours pour régler chaque incident.

Les menaces internes ont donc coûté plus de 11 millions de dollars par an aux entreprises touchées, soit une augmentation de 31 % par rapport aux 8,76 millions de dollars dépensés en 2018.

Plus de 60 % des cas d’attaque interne signalés sont le fait d’employés négligents et 23 % sont le fait d’initiés malveillants. Au total, 14 % des attaques internes impliquaient des cybercriminels souhaitant voler des identifiants.

Le nombre d’incidents a également augmenté de 47 % en deux ans seulement, passant de 3 200 en 2018 à 4 700 en 2020.

Plus la menace interne dure longtemps, plus elle est coûteuse. Les incidents qui ont pris plus de 90 jours pour être maîtrisés coûtent aux organisations 13,71 millions de dollars par an, tandis que les incidents qui ont duré moins de 30 jours coûtent environ la moitié. Il faut en moyenne plus de deux mois (77 jours) pour venir à bout d’un incident d’initié.

« L’ensemble de l’écosystème interne des entreprises, comprenant les employés, les partenaires et les fournisseurs tiers, est un vecteur d’attaque privilégié par les cybercriminels en raison de l’accès étendu aux systèmes, aux données et aux infrastructures cruciales dont ils bénéficient« , déclare Mike McKee, vice-président exécutif et directeur général de la gestion des menaces internes pour Proofpoint. « Avec un coût moyen de plus de 600 000 dollars par incident, les menaces internes doivent être une préoccupation majeure pour les entreprises du monde entier« .

Le rapport, réalisé par l’institut Ponemon/IBM et coparrainé par IBM, met en lumière le témoignage de 1 000 Responsables Sécurité Informatique en Amérique du Nord, en Europe, au Moyen-Orient, en Afrique et dans la région Asie-Pacifique. Chaque entreprise interrogée pour cette étude a vécu un ou plusieurs événements importants venant de l’interne.