Erreur humaine : lutter contre la plus grande menace de sécurité pour les PME
Votre faiblesse en matière de cybersécurité vient-elle de l'intérieur de votre entreprise ? Notre étude montre comment l'erreur humaine peut interférer avec votre défense numérique.
Qu'est-ce qu'une menace interne ?
La menace interne concerne les personnes qui travaillent au sein de l'entreprise et dont les erreurs peuvent menacer la sécurité de l'entreprise. Malheureusement, même la plus petite erreur commise par un employé peut avoir de graves répercussions. C'est particulièrement vrai pour les petites et moyennes entreprises (PME), où l'impact d'une attaque peut s'avérer critique pour l'entreprise. Les cybercriminels savent déjà que le point faible de la défense numérique d'une entreprise est son personnel. Ils s'appuient sur des individus qui manquent de formation ou de vigilance, par exemple lorsqu'ils se connectent ou répondent à un courriel, et espèrent que les employés ne sont pas conscients des risques.
Pour découvrir comment les entreprises sont exposées au risque de menace interne, nous avons mené une étude auprès de PME dans toute l'Europe. S'adressant à 5 770 décideurs informatiques dans des secteurs d'activité tels que la construction, le droit, l'éducation et la santé, nos conclusions ont mis en lumière les vulnérabilités, et les préoccupations en ligne. Actuellement, près de quatre personnes interrogées sur dix (37%) pensent que les employés ne suivent pas la formation ou les directives constitue un risque important pour l'efficacité de la sécurité informatique. Mais il y a plus que cela.
Le défi de l'erreur humaine
La solidité de votre défense numérique dépend de celle de votre personnel qualifié. Même si les systèmes de sécurité traditionnels des entreprises sont en place, l'erreur humaine peut rendre la cyberprotection inefficace. Il n'est donc pas surprenant qu'un tiers des personnes interrogées aient cité le manque de connaissances ou de formation des employés comme un facteur ayant accru les inquiétudes en matière de sécurité informatique.
Toute une série d'erreurs courantes peuvent conduire à une faille de sécurité. Peut-être votre responsable marketing envoie-t-il accidentellement des informations sensibles sur un client au mauvais compte. Ou bien un assistant pédagogique suit par erreur un lien malveillant dans un courriel, exposant ainsi les données d'un élève (une attaque connue sous le nom de "phishing"). Il peut même arriver que quelqu'un fasse des copies de pages confidentielles au scanner de bureau, mais oublie ensuite de retirer le document original du bac.
Bien entendu, différents facteurs entrent en jeu. Il se peut que les employés ne connaissent tout simplement pas les risques, ce qui affaiblit considérablement la défense contre ces derniers. De nombreux employés de l'entreprise peuvent ne pas répondre aux demandes de formation, parce qu'ils sont trop occupés ou parce qu'ils pensent déjà être formés. Certains peuvent même respecter les pratiques de sécurité de l'entreprise, mais être enclins à commettre des erreurs occasionnelles. Voyons ce que les observations de nos PME ont révélé.
Ce que montrent les recherches
Voyons ce qu'en disent les PME européennes que nous avons interrogées
Toutes les entreprises, grandes ou petites, utilisent le courrier électronique pour communiquer d'une manière ou d'une autre. Les dossiers de courrier indésirable peuvent être assez efficaces pour filtrer automatiquement les spams provenant d'expéditeurs inconnus. Toutefois, la cybercriminalité devenant de plus en plus sophistiquée, les attaques par hameçonnage (où des personnes sont amenées à divulguer, modifier ou supprimer des informations sensibles) sont en augmentation. Devenues la forme la plus courant de cybercriminalité, les attaques par hameçonnage dépendent d'une erreur de jugement de la part de vos employés. Parallèlement, les attaques par logiciels malveillants peuvent se produire lorsque les appareils de votre réseau (y compris vos téléphones, tablettes et imprimantes) ne sont pas entièrement sécurisés. Chaque attaque peut avoir des conséquences désastreuses, et 20% des PME interrogées ont cité la perte de données comme leur plus grande préoccupation en matière de sécurité des entreprises. Pour éviter les erreurs, les chefs d'entreprise doivent s'assurer que leurs employés sont pleinement conscients de ce qu'il faut rechercher dans chaque courriel électronique et des conséquences d'une vérification insuffisante.
Malgré tous ces avantages, le travail hybride a renforcé les inquiétudes des PME concernant les risques technologiques liés à la sécurité. Dans le même temps, 29% d'entre elles s'inquiètent davantage de l'utilisation par leurs employés de leurs propres appareils. Alors que de nombreux employés travaillent entre le bureau et leur domicile, certains peuvent choisir de travailler dans des cafés, des espaces de co-working, où les réseaux ne sont pas sécurisés. Malgré cette inquiétude, près de trois cinquièmes (59%) des PME n'ont pas renforcé la formation à la sécurité informatique depuis qu'elles sont passées à un modèle hybride. La combinaison de réseaux potentiellement non sécurisés et de connaissances insuffisantes en matière de sécurité signifie qu'il y a un terrain fertile pour les erreurs.
De nombreuses données sensibles sont manipulées chaque jour dans les entreprises. Que ces données appartiennent à des étudiants, des patients, des clients ou à l'entreprise elle-même, il est indéniable qu'elles doivent être traitées avec soin. Et ce n'est pas seulement à partir d'un lien électronique malveillant qu'elles peuvent être exposées. Les atteintes à la sécurité des données peuvent se produire sur n'importe quel point final (appareils connectés au réseau), de l'imprimante de bureau aux tablettes des employés. Malheureusement, comme seulement un tiers des PME ont mis en place une sécurité pour les imprimantes, beaucoup ne couvrent pas toutes les bases - et tous les employés ne savent même pas où se situent les risques. En fait, un tiers de PME ne sont pas particulièrement confiantes (14%) ou ne sont pas confiantes (15%) dans le fait que les employés ont une connaissance adéquate des risques liés à la sécurité informatique.
Mélanger l'humain et le numérique
Compte-tenu de notre étude, les PME devraient faire de l'atténuation des menaces internes une priorité absolue. Il existe deux approches différentes pour y parvenir efficacement, toutes deux aussi importantes l'une que l'autre.
Tout d'abord, comprendre et traiter l'aspect humain de la sécurité au sein de l'entreprise. Il est important d'instaurer une culture de la sécurité en ligne qui touche tous les employés, et pas seulement le service informatique et les employés de bureau. Qu'il s'agisse de livrer les marchandises ou de répondre au téléphone, chacun doit avoir à l'esprit les meilleures pratiques en matière de sécurité dans le cadre de son travail. Pour tester les réactions des employés de manière sûre et prudente, il est possible de simuler des "tests de phishing", où de faux courriels malveillants sont envoyés par l'entreprise. Un autre moyen consiste à rendre obligatoire la formation à la sécurité en ligne de tous les employés.
Ensuite, il convient d'adopter la bonne technologie. Alors que les menaces internes sont liées aux actions hupmaines, la technologie peut aider à prévenir les erreurs - et une approche de la sécurité à plusieurs niveaux permettra de couvrir toutes les bases. Il s'agit principalement d'une série de contrôles de sécurité, d'évaluations régulières des risques et de formations, de tests d'intrusion plus réguliers (où votre réseau est testé pour vérifier qu'il n'est pas accessible à des tiers), ainsi que d'une surveillance 24 heures sur 24. Il est essentiel de trouver un équilibre entre la technologie et le rappel aux employés du rôle qu'ils jouent.
Les erreurs ça arrive, les cyberattaques ça ne devraient pas
Comme tout le monde, les employés commettent des erreurs. Qu'il s'agisse d'un chef d'entreprise ou d'un assistant administratif, les accidents sont fréquents. Mais cela ne signifie pas pour autant que les cyberattaques doivent se produire. Une formation adéquate et une sensibilisation, une vigilance et une responsabilisation accrues des employés contribueront à minimiser les erreurs entraînant des dommages graves.
Si une erreur se produit, il est important de mettre en place la bonne cyberprotection. Chez Sharp, nous aidons les PME à mettre en place une défense numérique solide, en veillant à ce qu'elles disposent dès aujourd'hui du niveau approprié de cyberprotection dans leur entreprise. Notre gamme complète de services et de solutions de sécurité sur mesure apporte une protection supplémentaire aux systèmes de sécurité de votre entreprise.
Découvrez d'autres moyens de rester protégé
Découvrez le Sharp Security Hub pour plus de contenus sur les risques de cybersécurité des PME d'aujourd'hui.