Deux nouvelles études montrent un déclin des pratiques et des attitudes des salariés. Les comportements des utilisateurs ne se sont pas améliorés depuis 2015, et les informaticiens ne font pas parfois mieux que leurs collègues.
Menée par YouGov pour Blue Coat auprès de 3 130 professionnels au Royaume-Uni, en France et en Allemagne, la première étude montre que les organisations restent exposées aux cybermenaces de plus en plus sophistiquées de l’ingénierie sociale. On peut citer en particulier, le phishing : des pirates prétendant être des organisations ou des individus légitimes incitent des utilisateurs à cliquer sur ou à télécharger des logiciels malveillants afin de récupérer des informations sensibles telles que des identifiants ou des mots de passe.
Sur le plan de la sécurité, les comportements des utilisateurs ne se sont pas améliorés depuis 2015, et ont parfois empiré. En 2016, 42 % des personnes interrogées (43 % en 2015) affirment n’avoir accepté que des requêtes provenant de connaissances. La majorité fait donc preuve d’une volonté croissante d’interagir avec des inconnus.
La gestion de l’accès à des informations privées et des paramètres de confidentialité reste une problématique : ainsi, seuls 40 % des professionnels auraient réglé leurs paramètres afin que seuls certains individus puissent visualiser leurs profils, soit le même pourcentage que l’année dernière.
En cas de demande de contact, 41 % des personnes interrogées en 2016 font preuve de prudence et vérifient systématiquement les identités des individus, un pourcentage en légère hausse par rapport aux 38 % de 2015.
Les risques pour la sécurité concernent toutes les générations
Cette année, les employés de 18-24 ans ont moins tendance à régler leurs paramètres de confidentialité qu’en 20015 (49 % contre 60 % l’an passé). Ils sont également moins susceptibles de vérifier l’identité des individus leur soumettant des requêtes avant de les accepter (53 % contre 57 % en 2015). Malgré cela, cette génération fait cependant preuve de davantage de discernement dans ces domaines que les autres tranches d’âge.
Les comportements des professionnels de 45-54 ans se sont améliorés sur le plan de la sécurité en 2016 : 37 % d’entre eux vérifient toujours les identités des individus leur soumettant des requêtes, contre 32 % l’année dernière. Ce pourcentage atteint 40 % pour les individus âgés d’au moins 55 ans, contre 30 % en 2015. En dépit de ces améliorations, les données montrent que les employés de plus de 45 ans sont nettement moins vigilants que les autres.
En 2016, les individus de 18-24 ans (la génération Y) sont ceux qui font preuve des pires habitudes en matière de gestion de mots de passe. Ils sont 14 % à utiliser le même mot de passe pour chaque application, soit près du double du pourcentage calculé pour l’ensemble des actifs (8 %).
Seul un peu plus du tiers (36 %) des personnes interrogées utilisent un mot de passe différent pour chaque application de médias sociaux et de messagerie.
Les employés allemands sont ceux qui utilisent les plus des applications chiffrées, à 21 %, contre 10 % des Britanniques et 5 % des Français.
Les professionnels de tous les domaines ont encore beaucoup à apprendre
Les experts financiers sont ceux qui ont le plus tendance à entrer en contact avec des inconnus. Ils ne sont que 37 % à n’accepter de requêtes que de la part de leurs connaissances, contre 40 % des spécialistes des RH et 41 % des professionnels de santé.
En ce qui concerne l’utilisation de mots de passe différents pour l’ensemble de leurs applications, les informaticiens ne font pas mieux que leurs collègues, a priori moins bien informés. Seuls 39 % d’entre eux appliquent ce principe, contre 43 % des spécialistes des RH. En outre, ils font à peine mieux que les professionnels de santé (36 %), les commerciaux (35 %) et les experts financiers (32 %).
Les informaticiens sont les plus nombreux (16 %) à n’utiliser que des applications chiffrées ; à l’opposée figurent les professionnels de santé avec un pourcentage de 10 %.
Les membres d’équipes informatiques ont davantage tendance à vérifier les identités des individus en cas de demande de contact (51 %, contre 45 % des spécialistes des RH, 43 % des professionnels de santé et 34 % des experts financiers).
Seuls 33 % des professionnels des RH ont configuré les paramètres de confidentialité de leurs profils, contre 47 % des informaticiens et 45 % des professionnels de santé (les deux groupes ayant obtenu les meilleurs pourcentages).
L’adhésion des salariés aux procédures fait défaut
Le second rapport, celui du Ponemon Institude commandé par Veronis et menée auprès de plus de 3 000 employés et responsables informatique aux Etats-Unis et en Europe, constate que seuls 39 % des employés estiment prendre toutes les mesures appropriées pour protéger les données de l’entreprise qu’ils utilisent dans le cadre de leur travail. C’est une chute brutale par rapport aux 56 % de 2014. De plus, alors que 52 % des responsables informatique interrogés estiment que les politiques contre l’utilisation abusive des données ou leur accès non autorisé sont appliquées et respectées, seuls 35 % des employés indiquent que leur entreprise impose strictement ces règles.
Questionnés sur les causes les plus probables de la compromission des comptes internes, 50 % des informaticiens et 58 % des employés indiquent la négligence des utilisateurs. Le « collaborateur négligent » a constitué la réponse la plus fréquente aussi bien pour les informaticiens que pour les employés. Elle est deux fois plus fréquente que la réponse « attaquants externes » et plus de trois fois plus fréquente que la réponse « collaborateurs malveillants ».
« Dans une période où l’on pourrait s’attendre à une amélioration généralisée de l’hygiène informatique des employés en raison de la croissance du nombre d’attaques et des efforts en matière de sensibilisation menés par les entreprises, cette enquête montre un déclin alarmant des pratiques et des attitudes », remarque le Dr Larry Ponemon, président et fondateur du Ponemon Institute. « Si les dirigeants d’une entreprise ne font pas de la protection des données une priorité, celle-ci restera une bataille perdue d’avancer pour obtenir l’adhésion des employés aux stratégies et procédures de sécurité informatique. »