Pourquoi vos collaborateurs méritent d’être mieux protégés, le facteur humain au cœur de la cybersécurité

Un clic malheureux sur un mail de phishing et c’est toute une entreprise qui se retrouve à l’arrêt. Face à cette pression quotidienne sur les collaborateurs, nombre d’entreprises ont pris le parti de la formation et de la sensibilisation. Est-ce suffisant ? Quelles autres pistes s’offrent aux DSI à la recherche de solutions pour sécuriser le facteur humain ?

Cybersécurité : une épée de Damoclès au quotidien

Les collaborateurs détiennent les clés, parfois sans en être conscients, de la cybersécurité de l’entreprise au quotidien. Ils sont garants de leur propre sécurité et de celle de leurs collègues, mais également des clients, fournisseurs et sous-traitants, en cas d’attaque par rebond, ou par chaîne d’approvisionnement.

Toutes les actions qu’ils entreprennent dans et en dehors des murs, ne doivent pas être effectuées à la légère, et ce d’autant plus lorsque l’entreprise n’a pas mis en place une véritable politique de cybersécurité et d’accès :

• badger pour rentrer dans les bureaux,
  
• renseigner la session de l’ordinateur, tablette ou smartphone,
  
• se connecter aux différents services (applis, clouds, etc.) avec des mots de passe pas toujours complexes,
  
• prendre connaissance des derniers mails sans cliquer sur une pièce jointe vérolée,
  
• surfer sur internet sans être leurré par de faux sites web (phishing),
  
• communiquer entre collègues et clients sans dévoiler d’informations sensibles,
  
• …

Cette responsabilité de presque tous les instants fait reposer une charge mentale sur les employés, surtout lorsqu’ils n’ont pas été formés ou équipés pour répondre aux enjeux de cybersécurité.

La start-up de messagerie sécurisée Tessian et l’université de Stanford¹ ont mené une étude sur les erreurs humaines en cybersécurité. Les chiffres pour 2021 sont édifiants :

• 26% des employés ont cliqué sur un lien de phishing dans un mail,
  
• 52% ont cliqué sur ce lien de phishing parce qu’ils pensaient qu’il était envoyé par un supérieur,
  
• 36% des employés pensent qu’ils ont commis une erreur compromettant la sécurité de l’entreprise,
  
• 40% ont envoyé un mail à la mauvaise personne

Malgré ces erreurs avouées dans l’enquête, ils sont peu nombreux et surtout très méfiants à l’idée d’avertir la DSI de ces potentielles portes entrées aux systèmes d’information laissées ouvertes à des attaquants.

Les cyberattaques aussi responsables de licenciement

Alors, peut-on tenir pour responsable le collaborateur qui a cliqué sur une pièce jointe vérolée ? Selon cette même étude, la réponse est oui, et la pratique est même de plus en plus courante !

• Près d’un salarié sur 4 serait licencié après avoir commis une erreur compromettant la sécurité de son entreprise, une hausse de 12% depuis 2020
  
• La conséquence de ces licenciements ? 21% des employés n’informent pas la DSI de leurs erreurs, une hausse de 16% depuis 2020
  

Les collaborateurs arguent qu’ils sont stressés, fatigués, distraits surtout dans un contexte de travail hybride. Beaucoup disent aussi méconnaître les règles et les bonnes pratiques de sécurité. Toujours est-il que ces erreurs leur coûtent très cher et les dissuadent le plus souvent d’en parler.

La dissimulation n’est jamais la solution

Lorsqu’un collaborateur s’aperçoit qu’il a peut-être cliqué au mauvais endroit, de peur des conséquences (avertissement, mise à pied, licenciement…), il aura tendance à ne pas le signaler à la DSI. Or, d’après Chris Hurst, directeur général (RU et Irlande) de Kaspersky Lab, « il est essentiel que si les employés commettent une erreur, ils soient suffisamment confiants pour le dire à des personnes à même de faire quelque chose contre les éventuels risques encourus. »²

Respecter les règles peut réduire la productivité

Si vous êtes familier au monde de l’entreprise, vous avez déjà très certainement entendu le discours suivant :

• N’ouvrez pas les pièces jointes d’expéditeur que vous ne connaissez pas,
  
• Ne vous rendez pas sur des sites pas fiables,
  
• Utilisez des mots de passe aléatoires et différents pour chaque service,
  
• Activez le second facteur dès que vous le pouvez,
  
• Ne donnez aucune information professionnelle par courriel,
  
• N’utilisez pas vos appareils personnels pour des tâches professionnelles,
  
• Mettez à jour vos OS et applications dès que possible,
  
• N’installez aucun logiciel sans l’accord de la DSI,
  
• …
  

Selon les entreprises et les DSI, la liste des règles à suivre par les employés peut aller de quelques conseils de bon sens à une cage dorée sécuritaire. Ces règles – servant à protéger l’entreprise – ajoutent aux collaborateurs une charge mentale non négligeable. Il prend alors conscience du poids qui repose sur ses épaules et chaque tâche quotidienne s’alourdit du stress de ne pas commettre d’impair.

Certaines règles peuvent même ruiner la productivité. Évidemment les mots de passe aléatoires sont essentiels pour protéger les accès. Mais les imposer sans fournir un gestionnaire de mots de passe mène à des réinitialisations en série et parfois même à de potentielles failles de sécurité. Les employés les moins aguerris aux solutions IT seront tentés de les noter sur des post-it ou des cahiers pour ne pas les perdre.

Cerise sur le gâteau, les dernières techniques de phishing (de type BitB) sont quasi indétectables. Les faux formulaires de connexion aux comptes utilisés quotidiennement risquent de piéger plus d’un collaborateur, qu’il suive les règles ou pas.

Les DSI à la manœuvre côté sensibilisation et formation

Les DSI ont notamment pour rôle de mettre en place des sessions de sensibilisation et de formation en cybersécurité auprès des employés pour leur apprendre les basiques de la cybersécurité :

• Reconnaître le phishing et l’éviter
  
• Comprendre les techniques d’ingénierie sociale
  
• Maintenir une bonne hygiène de mots de passe
  
• Sécuriser son entreprise lors du travail à distance
  

Ces sessions d’apprentissage prennent du temps et nécessitent d’être renouvelées périodiquement. Elles doivent également être ludiques et suffisamment motivantes pour être suivies avec attention, et que les conseils qui y sont distillés soient ensuite appliqués.

La formation et la sensibilisation seules ne peuvent cependant pas faire de miracle. Pris par leur quotidien, les collaborateurs ne peuvent être vigilants à chaque instant.

Humain & cybersécurité : cocktail détonant !

Le cerveau humain ne sait pas créer de la complexité

Selon une étude NordPass³, il semblerait que même parmi les 500 plus grosses entreprises mondiales, certaines utiliseraient toujours des sésames pouvant être piratés en moins d’une minute, les pires étant « password » et « 123456 ». La DSI serait bien mal inspirée de demander aux collaborateurs d’administrer eux-mêmes les mots de passe de leurs terminaux ! En effet, notre cerveau a du mal à créer de la complexité, et à se souvenir de sésames complexes.

Tous les collaborateurs ne sont pas logés à la même enseigne

Tous les collaborateurs ne sont pas non plus logés à la même enseigne côté cybersécurité. Si l’humain est le maillon faible, certains auront plus tendance à cliquer sur un lien vérolé que d’autres. Il est important de déceler les collaborateurs à risque, et les former en priorité. La mise au jour de ces maillons faibles peut s’effectuer à travers des tests de sensibilisation, comme ce fut le cas en 2017 lorsque 30 000 agents du ministère de l’Économie et des Finances sont tombés dans le piège d’un phishing grossier.

Même les collaborateurs s’estimant vigilants peuvent devenir la cible des hackeurs. Preuve en est avec l’étude Opinion Way 2022⁴ pour le site Mailinblack qui montre que seuls 3 % des salariés parviennent à identifier des emails de phishing, alors qu’ils s’estiment à 88 % être attentifs à ces derniers.

Attention au mélange des genres

La sensibilisation aux risques et les formations en cybersécurité sont importantes, mais ne peuvent suffire à exclure tout risque. Il suffit d’un seul collaborateur cliquant sur un lien vérolé ou créant un mot de passe simpliste pour mettre l’entreprise en difficulté. Les pirates l’ont très bien compris. Ils sont opportunistes et visent plus particulièrement les failles de la défense cyber, c’est-à-dire les collaborateurs lambda. Par ailleurs, l’essor du BYOD (Bring you own device) qui autorise l’usage de matériels informatiques personnels dans un contexte d’entreprise, ajoute de la confusion entre la vie privée et professionnelle (mots de passe, applis et cloud parfois commun aux deux univers). Il y a 10 ans déjà, l’ANSSI déconseillait l’utilisation du BYOD.⁵

Quelles conséquences pour l’entreprise ?

Lorsque la DSI fait reposer la cybersécurité strictement sur l’humain, l’entreprise risque gros. Le système par mots de passe demeurant aujourd’hui la clé de voûte d’accès aux réseaux intra et extranet, il est impératif de déléguer sa gestions à une entité autre que les seuls collaborateurs. Les sésames faibles sont à l’origine de la quasi-totalité des attaques. La société Specops Software⁶ a analysé 800 millions de mots de passe piratés en 2021. Le résultat est édifiant et ferait perdre en moyenne aux entreprises 3,86 millions de dollars selon IBM⁷.

Le SI à portée de clic des pirates

Mots de passe complexes réinitialisés pour cause d’oubli puis transformés en sésames simplistes, perte de badge d’accès, clic malencontreux sur un site de phishing ou sur une pièce-jointe vérolée, oubli d’une clé USB chez un client… Sont autant de conduites à risques susceptibles d’ouvrir la porte du SI de l’entreprise aux pirates. Il suffit en effet d’un unique terminal vérolé pour qu’un virus, cheval de Troie ou ransomware se déploie en un temps record sur l’ensemble du réseau.

Des coûts financiers non négligeables

Les conséquences d’une sécurité reposant uniquement sur des mots de passe provoquent également des coûts cachés non négligeables. Non seulement les sésames oubliés ou rédigés sur des post-it égarés mobilisent la DSI, mais ils font aussi courir de grands risques à l’entreprise. Par ailleurs, les clients peuvent retirer leur confiance en une société ne parvenant pas à mettre en place une gestion des accès raisonnée. Enfin, tout manquement à la protection des données dans le cadre du RGPD peut faire l’objet d’une amende pouvant se monter jusqu’à 4 % de son CA annuel⁸.

Pour être efficace, la cybersécurité ne doit pas se révéler nuisible aux salariés. Les dirigeants d’entreprises et leurs DSI ont tout intérêt à former les collaborateurs aux risques numériques. Ces derniers deviendront des acteurs attentifs à la sécurité de leur organisation, et contribueront à la rendre plus hermétique aux pirates. De plus, l’intégration d’outils et services anti cyberattaques (antivirus, pare-feu, solutions d’authentification multifacteurs, outils de remédiation, etc.) ne peut qu’être bénéfique et contribuer à optimiser la cybersécurité de l’entreprise. Les bénéfices d’une telle politique contribueront à rendre vos salariés plus heureux et moins stressés, à les fidéliser, et à impulser une dynamique d’attractivité forte auprès d’experts en quête de nouvelles missions.

Sources :
¹ https://betanews.com/2022/05/18/three-out-of-five-organizations-lose-data-email-errors/

² https://www.globalsecuritymag.fr/The-cybersecurity-disconnect,20210225,108658.html

³ https://nordpass.com/fr/fortune-500-password-study/

⁴ https://www.mailinblack.com/ressources/guides/competences-cyber-des-salaries-une-perception-des-risques-bien-differente-de-la-realite

⁵ https://www.ssi.gouv.fr/uploads/2018/10/guide_nomadisme_anssi_pa_054_v1.pdf

⁶ https://www.globalsecuritymag.fr/Rapport-Specops-Software-Quels,20220228,122531.html

⁷ https://www.ibm.com/fr-fr/security/data-breach

⁸ https://www.cnil.fr/fr/definition/sanction