Le rapport annuel « State of the Phish » de Proofpoint, qui s’intéresse aux dernières tendances en matière de ransomwares et de phishing, montre que la formation en sécurité des collaborateurs n’est pas forte en France. En revanche, l’entreprise sanctionne les salariés piégés.
Selon cette enquête*, 77 % des organisations françaises ont demandé à leurs employés de travailler depuis leur domicile en 2020, mais seules 38 % forment leurs employés aux meilleures pratiques de sécurité en condition de télétravail. « Ce sont ces mêmes utilisateurs qui peuvent avoir des comportements à risque et, par exemple, permettre à leurs amis et à leur famille d’accéder à des appareils professionnels pour faire des achats ou jouer à des jeux en ligne. Ces lacunes représentent un risque majeur et renforcent la nécessité d’initiatives de sensibilisation à la sécurité adaptées au télétravail », souligne Loïc Guézo, directeur Stratégie Cybersécurité EMEA chez Proofpoint.
En lieu et place de la formation, pourrait-on dire, 43 % des organisations françaises appliquent des sanctions aux utilisateurs qui se font piéger à plusieurs reprises par des attaques de phishing réelles ou simulées.
Jusqu’au licenciement…
Les principales conséquences pour les récidivistes sont un avertissement de la part de leur responsable (65 %), un avertissement de la part de l’équipe de sécurité informatique (60 %) et une incidence sur les évaluations annuelles des performances (42 %). Il est surprenant de constater que le taux de licenciement a atteint 26 %, soit plus que la moyenne mondiale de 20 %. Pour 72 % des organisations françaises, ce modèle de réprimande aurait permis d’améliorer la sensibilisation des employés.
Moins de formation aux attaques spécifiques
Les organisations françaises sont aussi moins enclines que leurs consoeurs étrangères à former les utilisateurs sur les attaques spécifiques auxquelles ils sont confrontés. 39 % des professionnels de la sécurité informatique ont déclaré qu’une telle approche était intégrée dans leurs programmes de sensibilisation à la sécurité, contre 53 % en moyenne dans le monde.
On relèvera cependant que les employés français sont de plus en plus sensibilisés au vishing (phishing par téléphone), 54 % d’entre eux étant capable de définir ce terme, versus 18 % des employés allemands par exemple. Mais dans le domaine, la France semble plus épargnée que le reste du monde, puisque 29 % des répondants ont déclaré que leur entreprise avait été confrontée à des escroqueries par phishing vocal en 2020, un chiffre bien en dessous de la moyenne mondiale à 54 %.
*L’enquête a été meneé auprès de plus de 600 professionnels de la sécurité de l’information en France, aux États-Unis, en Australie, en Allemagne, au Japon, en Espagne et au Royaume-Uni. Il met également en lumière les connaissances en matière de cybersécurité de 3 500 employés actifs qui ont été interrogés dans ces sept mêmes pays. Enfin, il intègre l’analyse des données de plus de 60 millions d’attaques de phishing simulées envoyées par les clients de Proofpoint à leurs employés sur une période d’un an, ainsi que de 15 millions d’emails signalés par les utilisateurs via le bouton de signalement PhishAlarm.