C’est ce qui ressort d’un nouveau rapport de Kaspersky Lab et de B2B International, « Human Factor in IT Security: How Employees are Making Businesses Vulnerable from Within ». Étant donné que chaque année 46% des incidents de sécurité informatique sont causés par les employés même de la société concernée, il faut remédier à tous les niveaux à cette vulnérabilité au sein des entreprises, et pas seulement par le biais du département de la sécurité informatique.
Voie de pénétration des pirates
L’ignorance et/ou la négligence des employés font partie des causes les plus probables d’un incident de cybersécurité – seuls les logiciels malveillants affichent un score plus élevé. Alors que ces logiciels malveillants sont sans cesse plus avancés, la triste réalité est que le bon vieux facteur humain peut faire courir un risque encore plus grand aux entreprises.
Lorsqu’il s’agit d’attaques ciblées, la négligence d’employés est l’un des principaux points faibles dans le bouclier de la cybersécurité des entreprises. Bien que les pirates avancés puissent toujours compter sur des logiciels malveillants sur mesure et des techniques high-tech dans la planification de leurs attaques, ils commenceront probablement toujours par l’exploitation du point d’accès le plus facile – la nature humaine.
D’après l’enquête, le phishing/l’ingénierie sociale a joué l’an dernier un rôle déterminant à la base de près d’un tiers (28%) des attaques ciblées sur les entreprises. Un comptable négligent peut par exemple ouvrir facilement un fichier malveillant dissimulé sous la forme d’une facture de l’un des nombreux sous-traitants d’une entreprise. Ce fichier peut ensuite paralyser l’infrastructure de l’ensemble de l’organisation, rendant ainsi le comptable complice sans le savoir des attaquants.
« Les cybercriminels se servent souvent des employés comme point d’accès pour pénétrer dans l’infrastructure d’une entreprise. E-mails de phishing, mots de passe faibles, coups de téléphone bidon du département d’assistance – nous avons rencontré tous ces cas de figure. Même une banale clé USB qui se trouvait sur le sol du parking de l’entreprise ou dans le bureau de la secrétaire peut mettre en péril l’ensemble du réseau. Tout ce dont vous avez besoin, c’est de quelqu’un à l’intérieur de l’entreprise qui n’est pas bien informé ou n’accorde aucune attention à la sécurité. Ensuite, si quelqu’un branche négligemment l’appareil au réseau, les conséquences peuvent être désastreuses », explique David Jacoby, Security Researcher chez Kaspersky Lab.
Si les organisations ne font pas l’objet quotidiennement d’attaques ciblées avancées, les logiciels malveillants conventionnels les frappent toutefois massivement. Malheureusement, l’enquête révèle aussi que, même dans le cas de logiciels malveillants, des employés ignorants ou négligents sont souvent impliqués et qu’ils provoquent des contaminations par logiciels malveillants dans 53% des incidents.
Jeu de cache-cache : pourquoi l’implication des RH et du top management est nécessaire
Si le personnel dissimule son implication dans des incidents, cela peut avoir des conséquences dramatiques et accroître l’ensemble des dommages causés. Même un seul événement non signalé peut être le signe d’une attaque d’une ampleur bien plus grande, et les équipes de sécurité doivent pouvoir identifier rapidement les menaces auxquelles elles sont confrontées, afin de choisir la tactique adéquate pour les combattre.
Par crainte des conséquences, des employés préfèrent toutefois mettre l’organisation en danger plutôt que de rapporter un problème, ou ils ont honte d’être responsables d’un incident. Certaines entreprises ont instauré des règles strictes et font porter une responsabilité supplémentaire à leurs employés, au lieu de les encourager simplement à la vigilance et à la coopération. Cela signifie que la cybersécurité n’est pas uniquement une question de technologie, mais qu’elle est également liée à la culture et à la formation au sein d’une organisation. C’est la raison pour laquelle le top management et les RH doivent être impliqués.
« La problématique de la dissimulation d’incidents doit être communiquée non seulement au personnel, mais également à la direction et aux départements RH. Si les employés taisent des incidents, il y a une raison pour l’expliquer. Dans certains cas, les entreprises instaurent une politique stricte mais peu claire, et exercent une pression excessive sur les employés en les mettant en garde de ne pas faire certaines choses sous peine d’être tenus responsables en cas de problème. Ce genre de politique favorise une culture de la peur et ne laisse qu’une seule option aux employés : tout faire pour échapper à une sanction. Si vous avez, en matière de cybersécurité, une culture positive et basée sur une approche éducative, au lieu d’une approche « top down » restrictive, les résultats seront clairement visibles » fait remarquer Martijn van Lom, General Manager Kaspersky Lab Benelux.
Le facteur humain : climat corporate et plus
Des organisations du monde entier commencent à s’intéresser au fait que leurs employés puissent rendre l’entreprise vulnérable : 52% des sociétés interrogées ont avoué que leur personnel était le maillon le plus faible dans leur sécurité informatique. La nécessité de mettre en œuvre des mesures axées sur le personnel devient sans cesse plus évidente : 35% des entreprises se tournent vers des formations du personnel pour améliorer la sécurité, ce qui en fait la deuxième méthode de cyberdéfense la plus populaire, juste après le recours à des logiciels plus avancés (43%).
La meilleure manière de protéger les organisations contre des cyber-menaces liées aux personnes consiste à combiner les outils adéquats avec les bonnes pratiques. Dans ce cadre, les RH et la direction doivent s’efforcer de motiver les employés et de les inciter à rester vigilants et à demander de l’aide en cas d’incident. Les formations à la sensibilisation à la sécurité pour les employés, l’instauration de directives claires au lieu de longs documents de plusieurs pages, la mise en place de solides compétences et de la motivation nécessaire, et la promotion de la bonne ambiance de travail constituent les premières mesures que doivent prendre les organisations.
En ce qui concerne les technologies de sécurité, la plupart des menaces qui visent des employés ignorants ou négligents – phishing compris – peuvent être neutralisées avec des solutions de sécurité de terminaux. Celles-ci peuvent porter sur les besoins spécifiques de PME et de grandes entreprises au niveau des fonctionnalités, sur une protection configurée au préalable ou des paramètres de sécurité avancés, afin de réduire ainsi les risques au minimum.
Source : Kaspersky Lab