Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Kaspersky : 46% des incidents de sécurité sont causés par des personnes internes à l’entreprise

août 2017 par Kaspersky

Variable imprévisible, le facteur humain reste le maillon faible des entreprises en matière de cyber sécurité. Dès 2013, Kaspersky Lab révélait que 85 % des entreprises à travers le monde avaient connu au cours de l’année un incident interne de sécurité informatique ayant abouti dans certains cas à la perte de données sensibles (selon l’enquête Global Corporate IT Security Risks 2013 réalisée par B2B International).

Si d’importants efforts de sensibilisation ont été entrepris par les entreprises depuis, une nouvelle étude de Kaspersky Lab vient rappeler que le chemin est encore long pour réduire le risque posé par le facteur humain. Baptisée « Human Factor in IT Security : How Employees are Making Businesses Vulnerable from Within », elle met en exergue le rôle crucial que jouent les collaborations dans la politique de sécurité de leur entreprise :

· Les collaborateurs dissimulent les incidents de sécurité informatique dans 40 % des entreprises,

· Alors que 46 % de ces incidents sont causés chaque année par des personnes internes à l’entreprise, cette vulnérabilité doit être traitée à de multiples niveaux, et pas seulement par le département de la sécurité informatique.

Quand les pirates s’invitent par la ruse

Des collaborateurs mal informés ou négligents sont l’une des causes les plus probables d’un incident de cyber sécurité, uniquement devancée par les malwares. Les attaques ciblées et complexes telles qu’on a pu en voir ces dernières semaines ne se produisent que rarement dans les entreprises. Les malwares classiques, eux, frappent en masse au quotidien. Malheureusement, l’étude révèle que même en présence d’un malware, des collaborateurs inconscients et négligents sont souvent impliqués, causant des infections dans 53 % des cas.

Près d’une attaque ciblée sur trois (28 %) contre des entreprises l’an passé a été initiée grâce au phishing ou à l’ingénierie sociale.

« Les cybercriminels utilisent souvent les employés comme point d’entrée dans l’infrastructure de l’entreprise. Qu’il s’agisse d’e-mails de phishing, de mots de passe trop faibles ou de faux appels du support technique, nous avons tout vu. Même une simple carte de mémoire flash déposée dans le parking ou près du bureau de la secrétaire pourrait infecter le réseau dans son ensemble : il suffit d’une personne qui n’est pas au courant des questions de sécurité ou n’y prête pas attention pour que ce périphérique puisse facilement être connecté au réseau et y semer le chaos », souligne David Jacoby, chercheur en sécurité chez Kaspersky Lab.

Instaurer un climat propice à la sécurité : le rôle de la DRH et de la direction

La dissimulation, par des membres du personnel, des incidents auxquels ils sont mêlés peut avoir des conséquences dramatiques, en aggravant les dommages causés. Un seul événement non signalé pourrait être le signe d’un piratage bien plus important. Or les équipes de sécurité doivent pouvoir identifier rapidement les menaces auxquelles elles ont affaire afin de choisir les tactiques appropriées pour les neutraliser.

Pourtant, bon nombre d’employés préfèrent mettre leur entreprise en danger plutôt que de signaler un problème car ils craignent d’être sanctionnés ou n’admettent pas d’en être jugés responsables. Certaines entreprises ont instauré des règles très strictes et font peser une responsabilité supplémentaire sur leur personnel, au lieu de l’encourager tout simplement à se montrer vigilant et coopératif. Cela signifie que la cyberprotection est affaire, non seulement de technologie, mais aussi de culture d’entreprise et de formation. C’est ici que la direction et les RH doivent intervenir.

« Le problème que constitue la dissimulation d’incidents doit être communiqué non seulement aux collaborateurs mais aussi à la direction générale et à la DRH. Si le personnel dissimule des incidents, il doit avoir une raison. Dans certains cas, les entreprises instaurent des règles strictes mais peu claires et mettent trop de pression sur leurs employés, en leur interdisant de faire ceci ou cela, sous peine d’être tenus responsables en cas de problème. Ce type de règles entretient la crainte et ne laisse aux collaborateurs d’autre choix que d’éviter une sanction à tout prix. Si votre culture de la cybersécurité est positive, reposant sur une approche éducative plutôt que restrictive, du sommet vers la base, les résultats seront manifestes », explique Slava Borilin, responsable des programmes de formation à la sécurité chez Kaspersky Lab.

Slava Borilin évoque également un modèle de sécurité industrielle, reposant sur un principe de signalement et d’apprentissage par l’erreur. Par exemple, dans une déclaration récente, le fondateur de Tesla Elon Musk a exigé que chaque incident touchant à la sécurité des ouvriers lui soit directement rapporté, afin qu’il puisse jouer un rôle central dans le changement.

Le facteur humain : le climat dans l’entreprise et au-delà

52 % des entreprises interrogées reconnaissent que leurs employés sont le maillon faible de leur sécurité informatique. La nécessité de prendre des mesures axées sur le personnel devient de plus en plus évidente : 35 % des entreprises cherchent à renforcer la sécurité en dispensant une formation à leurs collaborateurs, ce qui en fait la deuxième méthode de cyberdéfense la plus répandue, la première étant le déploiement de logiciels plus élaborés (43 %).

En matière de technologies de sécurité, la plupart des menaces ciblant des collaborateurs inconscients ou négligents – notamment le phishing – peuvent être contrées par des solutions de sécurité sur les postes de travail. Celles-ci peuvent répondre aux besoins particuliers des PME comme des grandes entreprises en termes de fonctionnalités, de protection préconfigurée ou de paramètres avancés de sécurité, afin de réduire les risques au minimum.


Voir les articles précédents

    

Voir les articles suivants