43 % des employés avouent avoir commis des erreurs qui ont compromis la cybersécurité de leur entreprise
43 % des employés avouent avoir commis des erreurs qui ont compromis la cybersécurité de leur entreprise,
les causes sont multiples et les conséquences sont « dévastatrices », d’après une enquête
D'après une enquête menée par la société de cybersécurité Tessian, 43 % des employés américains et britanniques avouent avoir commis des erreurs qui ont mis en danger leur carrière et leur entreprise. De plus, 52 % des employés interrogés affirment qu'ils font plus d'erreurs lorsqu'ils sont stressés, tandis que 43 % évoquent la fatigue. Autre fait marquant : 47 % des travailleurs de l'industrie technologique indiquent avoir cliqué sur un e-mail de phishing au travail. En outre, les conséquences les plus notables peuvent aller jusqu'au licenciement de la personne fautive ou à la perte d'un client pour l'entreprise victime d'une cyberattaque.
La majorité des répondants à l'enquête ont déclaré avoir envoyé un e-mail à la mauvaise personne. 20 % de ces courriels arrivent dans la boîte de réception d'une personne en dehors de l'organisation.
Un quart des sondés disent avoir cliqué sur des liens dans les e-mails de phishing. Les travailleurs de l'industrie technologique sont les plus susceptibles de faire ce type d'erreur. En effet, 47 % admettent qu'ils l'ont fait. « Cela montre que même les personnes les plus averties en matière de cybersécurité peuvent commettre des erreurs. Ils sont suivis de près par les employés du secteur de la banque et de la finance (45 %) », constate Tessian.
Toutefois, Tessian précise que les personnes travaillant dans les deux secteurs sont les plus susceptibles de s'attendre à ce que leur société réponde rapidement aux courriels. « On peut commencer à voir la corrélation entre les cultures de « quick-to-click » et les vulnérabilités du phishing. Il n'est pas étonnant qu'un certain nombre de rapports universitaires aient montré à plusieurs reprises que la pression du temps a un impact négatif su la précision des décisions », estiment les auteurs de l'étude.
Le rapport indique également que les hommes étaient deux fois susceptibles que les femmes de tomber dans les escroqueries par hameçonnage. Ce constat serait dû au fait que les hommes ont généralement tendance à prendre plus de risques que les femmes, analyse Tessian.
Les principales causes : négligence de la cybersécurité au travail, fatigue, stress
Les employés interrogés indiquent qu'ils font plus d'erreurs au travail quand ils sont stressés (52 %), fatigués (43 %) et distraits (41 %). Comprendre comment le stress affecte le comportement est essentiel pour améliorer la cybersécurité. Du côté des victimes de phishing, 47 % indiquent avoir été distraits, 43 % pensaient que l'expéditeur était légitime et 41 % estimaient que l'e-mail a été envoyé par une personne occupant un poste de direction ou de confiance au sein de l'entreprise. « Lorsque les gens sont stressés et distraits, ils ont tendance à faire des erreurs ou à prendre des décisions qu'ils regretteront plus tard », explique Jeff Hancock, professeur de communication à l'Université de Stanford et coauteur du rapport.
Le télétravail pourrait empirer les choses, car avec 57 % des employés qui admettent être plus distraits lorsqu'ils travaillent à domicile, le risque d'être exposé à des cyberattaques pourrait augmenter, note Tessian. « Travailler dans des environnements inhabituels peut être stressant et distrayant. Les événements de 2020 font que nos espaces personnels et professionnels se sont estompés, et nous avons dû apprendre rapidement de nouvelles façons de fonctionner et cela a ses défis », ajoute Hancock.
En outre, un tiers des répondants ont déclaré qu'ils pensaient rarement ou jamais à la cybersécurité au travail. Ils se concentrent uniquement sur les tâches pour lesquelles ils ont été embauchés.
Les jeunes seraient les plus vulnérables
50 % des 18-30 ans indiquent avoir commis des erreurs au travail tandis que seulement 10 % des employés ayant plus de 51 ans ont dit la même chose. Tessian précise que cette disparité s'explique par le fait que les jeunes sont plus conscients qu'ils ont commis une erreur et sont plus disposés à les admettre. Les employés les plus âgés, de leur côté, la présentation de soi et le respect sont « extrêmement importants ». Ils peuvent ainsi être plus réticents à admettre une erreur.
Du côté des attaques de phishing, près de trois quarts des victimes étaient âgés entre 18 et 40 ans contre seulement 8 % pour les personnes de plus de 51. « La génération plus âgée a, à bien des égards les outils et les mentalités nécessaires pour détecter les attaques de phishing. Ils ont plus d'expérience de la vie, ils sont plus impliqués dans leur communauté, et ils ont tendance à avoir des réseaux forts et étroits, ce qui signifie qu'ils sont bons pour détecter quand quelque chose ne se sent pas tout à fait bien », analyse Hancock.
Des conséquences « dévastatrices »
Une simple erreur peut avoir des « conséquences dévastatrices », à la fois pour les entreprises, mais aussi pour le salarié fautif ainsi que ses collègues. « Non seulement les entreprises font face à la colère des régulateurs de la protection des données pour avoir bafoué les règles de réglementation comme le RGPD , mais nos recherches révèlent qu'une entreprise sur cinq a perdu des clients à la suite d'un courrier électronique mal acheminé, car la confiance qu'elle avait autrefois avec ses clients a été brisée. De plus, un travailleur sur dix a déclaré avoir perdu son emploi », explique Tessian.
Ce que les entreprises devraient faire
Tessian a formulé plusieurs recommandations aux entreprises pour éviter que leurs salariés fassent des erreurs qui pourraient mettre en danger la cybersécurité des organisations et de leurs employés. D'abord, les entreprises devraient reconnaître comment l'âge affecte les comportements de cybersécurité et chercher comment déshonorer le signalement d'erreurs dans leur organisation.
Les entreprises doivent également protéger leurs employés contre les tentatives d'hameçonnage. Les entreprises devraient également investir dans des solutions capables de détecter le plus de types de cyberattaque possible, surtout quand les employés sont distraits et surchargés de travail. De plus, elles doivent informer le personnel sur la manière dont les malfaiteurs procèdent pour arriver à leurs fins. Elles peuvent mettre en place une formation adaptée au profil des employés et en fonction de leur comportement ou de leur exposition aux risques de cyberattaque.
Alerter les employés de la menace immédiate permet de contourner les prises de décisions impulsives et dangereuses. « Les gens apprennent mieux lorsqu'ils reçoivent des commentaires rapides et lorsqu'ils sont mis en contexte. Ainsi, non seulement ces alertes contextuelles en temps réel réduiront les risques, mais elles amélioreront également votre couche de sécurité humaine », affirme Jeff Hancock.
Source : Tessian
Et vous ?
Que pensez-vous de la pertinence de cette étude ?
Voir aussi :
Répondre avec citation
Partager