IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Les employés prennent de mauvaises habitudes en matière de sécurité lorsqu'ils travaillent à domicile


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Rédacteur technique
    Inscrit en
    juin 2016
    Messages
    2 135
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Bénin

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : juin 2016
    Messages : 2 135
    Points : 46 053
    Points
    46 053
    Par défaut Les employés prennent de mauvaises habitudes en matière de sécurité lorsqu'ils travaillent à domicile
    Les employés prennent de mauvaises habitudes en matière de sécurité lorsqu'ils travaillent à domicile
    selon le cabinet d'étude Tessian

    La pandémie du Covid-19 a mis les habitudes de travail à rudes épreuves et a forcé la plus grande expérience de télétravail que le monde n’ait jamais connu. Si ce mode de travail a permis aux entreprises de rester plus ou moins productives, Tessian a publié un rapport récemment dans lequel il explique que les employés ont acquis de mauvaises habitudes en matière de cybersécurité en travaillant depuis leur domicile. Le cabinet d'étude indique en effet qu'au moins un employé sur trois a pris de mauvaises habitudes de sécurité en travaillant à distance et que les plus jeunes étaient les "moins soucieux" de la sécurité.

    Quels ont été les impacts du télétravail sur la cybersécurité ?

    Le travail à domicile a été d'une grande aide aux organisations du monde entier au cours de l'année 2020 qui a été sans doute la période la plus difficile de la crise du Covid-19. Si le retour à la normale se précise progressivement, chaque organisation remodèle désormais sa politique de travail pour être en mesure de gérer efficacement ce type de situation d'urgence à l'avenir. Ainsi, après plus d'un an de travail à distance, presque toutes les entreprises adoptent une structure de travail hybride, permettant aux employés de travailler à domicile ou au bureau. Facebook, Apple, Salesforce, Google, etc., ont tous déjà fait une telle annonce.

    Nom : insertion.png
Affichages : 1169
Taille : 156,9 Ko

    Cependant, parallèlement à la montée du télétravail dans le monde, le nombre de violations de données et d'attaques de ransomware a aussi augmenté de façon considérable. À en croire les conclusions du nouveau rapport de Tessian, société spécialisée dans la sécurité des couches humaines, les habitudes qu'adoptent les travailleurs à domicile jouent un rôle important dans cette tendance. À travers une enquête réalisée sur le sujet, Tessian révèle que plus de la moitié des responsables informatiques (56 %) pensent que les employés ont acquis de mauvais comportements en matière de cybersécurité depuis qu'ils travaillent à distance.

    En outre, la majorité des professionnels de l'informatique prévoient un pic d'attaques par ransomware et d'escroqueries par phishing ciblées lors de la transition vers le retour au bureau. De même, plus de la moitié (54 %) craignent que le personnel apporte des appareils infectés et des logiciels malveillants sur le lieu de travail. Et leur appréhension semble fondée - 40 % des employés ont déclaré qu'ils prévoyaient de travailler au bureau à partir d'appareils personnels. Par ailleurs, Tessian a observé que plus d'un quart des employés ont peur d'admettre qu'ils ont commis des erreurs qui compromettent la sécurité au travail.

    De même, le rapport précise que les jeunes employés sont les plus susceptibles d'admettre qu'ils ont pris des raccourcis en matière de cybersécurité : 51 % des 16-24 ans et 46 % des 25-34 ans déclarent avoir utilisé des solutions de contournement de la sécurité. Le sondage a été réalisé pour Tessian par OnePoll, qui a interrogé 4 000 professionnels en activité et 200 responsables informatiques aux États-Unis et au Royaume-Uni en mai 2021. Voici quelques points clés du rapport publié cette semaine.

    Des dirigeants trop optimistes quant au retour au bureau ?

    Dans le cadre de l'enquête, Tessian a posé la question suivante : Le retour à un environnement de bureau se traduira-t-il par des pratiques de sécurité plus sûres ? Environ 70 % des responsables informatiques semblent le penser, estimant que le personnel sera plus enclin à suivre les politiques de sécurité de leur organisation en matière de protection et de confidentialité des données lorsqu'il travaille au bureau. Cependant, seuls 57 % des employés sont du même avis.

    Les erreurs des employés menacent la cybersécurité

    Le rapport estime que les propos des employés sur leurs habitudes en matière de cybersécurité ne sont pas de nature à rassurer les chefs d'entreprise. Tim Sadler, PDG de Tessian, a déclaré : « L'une des conclusions les plus choquantes et les plus alarmantes de l'enquête est le peu de cas que font les employés des erreurs de cybersécurité ». En effet, plus d'un quart des employés admettent avoir commis des erreurs qui ont compromis la sécurité de l'entreprise alors qu'ils travaillaient à domicile - des erreurs dont ils affirment que personne ne sera jamais au courant.

    En outre, environ 39 % déclarent que les comportements en matière de cybersécurité qu'ils adoptent lorsqu'ils travaillent à domicile diffèrent de ceux qu'ils adoptent au bureau, la moitié d'entre eux admettant que c'est parce qu'ils ont l'impression d'être surveillés par les services informatiques. Plus encore, seule la moitié d'entre eux ont déclaré qu'ils signalaient toujours au service informatique la réception ou le clic d'un courriel de phishing. La raison ? Sadler a indiqué qu'environ 27 % d'entre eux ont déclaré avoir peur de faire l'objet de mesures disciplinaires ou de devoir suivre une formation plus poussée en matière de sécurité.

    Selon Sadler, « c'est [ce comportement des employés] un problème énorme ». Ainsi, il estime que les entreprises doivent comprendre quand et pourquoi les gens font des erreurs afin d'éviter qu'elles ne se transforment en violations de données. Il ajoute que cela n'est pas possible sans visibilité sur le moment et la manière dont ces erreurs se produisent. Cependant, dans un environnement de travail hybride, où les employés sont répartis dans tout le pays et même dans le monde entier, la visibilité du comportement des employés devient plus difficile, mais d'autant plus importante.

    Comment se porterait la cybersécurité après le retour ?

    En ce qui concerne les inquiétudes liées au retour au travail, 54 % des responsables informatiques craignent que le personnel n'apporte des appareils infectés et des logiciels malveillants sur le lieu de travail. Cette crainte est probablement fondée en raison du nombre d'employés qui prévoient de retourner au bureau avec leurs appareils personnels. La majorité des responsables informatiques (69 %) pensent également que les attaques par ransomware seront plus préoccupantes dans un environnement de travail hybride, les cabinets juridiques et les organismes de santé étant particulièrement inquiets de cette menace.

    En sus, environ 67 % d'entre eux prévoient une augmentation des courriels d'hameçonnage ciblés, qui s'ajouteront au nombre croissant d'attaques par hameçonnage auxquelles les organisations sont confrontées. Les responsables informatiques interrogés par Tessian ont également énuméré d'autres inquiétudes quant au retour au bureau. « Le passage à une main-d'œuvre entièrement à distance a été un énorme défi pour les responsables informatiques, mais la prochaine transition vers un modèle de travail hybride devrait être encore plus difficile, en particulier en ce qui concerne le comportement des employés », a prévenu Sadler.

    Laprès-Covid : quels conseils pour les dirigeants d'entreprise ?

    Sadler a déclaré que les employés sont les gardiens des données et des systèmes, mais attendre d'eux qu'ils soient des experts en sécurité et les effrayer pour qu'ils se conforment ne fonctionnera pas. Le PDG de Tessian estime que les responsables informatiques doivent plutôt donner la priorité à la création d'une culture de la sécurité qui donne aux gens les moyens de travailler de manière sécurisée et productive, et comprendre comment encourager un changement de comportement durable au fil du temps s'ils veulent prospérer dans cette nouvelle façon de travailler.

    « Il appartient aux dirigeants d'entreprise de créer une culture qui permet aux employés de travailler de manière sûre et productive, et qui leur permet de signaler les problèmes ou les erreurs de sécurité », a-t-il déclaré. Pour y arriver, Sadler propose aux entreprises de réfléchir à leurs plus grandes vulnérabilités dans un modèle de travail hybride et d'élaborer une stratégie de sécurité en plaçant les personnes au centre. Selon lui, la sécurité ne doit pas empêcher les gens de faire leur travail. Il estime aussi qu'il faut s'assurer que les responsables de la cybersécurité sont impliqués dans les plans de réouverture des bureaux.

    « La sécurité est désormais une question essentielle pour l'entreprise - elle peut en effet faire ou défaire une organisation. Il est donc encourageant de voir que 67 % des décideurs informatiques de notre enquête ont un siège à la table », a déclaré Sadler. Selon lui, les chefs d'entreprise devraient réviser la formation à la sécurité pour qu'elle ne soit plus considérée comme une punition ou un exercice à cocher, mais qu'elle renforce l'efficacité personnelle des employés. Ce serait le seul moyen d'encourager un changement de comportement durable et d'améliorer la posture de sécurité de votre entreprise.

    « Par exemple, adaptez les exercices de phishing à l'employé ou au service spécifique, et armez le personnel avec les outils et les connaissances dont il a besoin pour prendre des décisions intelligentes en matière de cybersécurité lorsqu'une menace se présente. Cela est particulièrement important dans un environnement hybride, où les employés ne peuvent pas toujours vérifier les demandes directement auprès de leurs collègues », a-t-il conclu.

    Source : Tessian

    Et vous ?

    Quel est votre avis sur le sujet ?
    Que pensez-vous des conclusions de Tessian ?
    Pensez-vous que le retour au bureau va améliorer la cybersécurité ?
    Êtes-vous toujours en télétravail ? Si oui, êtes-vous prêt à retourner au bureau ?

    Voir aussi

    Trois travailleurs sur quatre ne veulent pas retourner au bureau à plein temps, d'après une enquête qui note qu'un mode hybride entre télétravail et présentiel serait salutaire pour les entreprises

    Êtes-vous pour rester de façon permanente en télétravail après la crise de coronavirus ? 34 % des travailleurs à distance préféreraient démissionner plutôt que de retourner au bureau à plein temps

    Télétravail : seulement une entreprise sur dix s'attend à ce que tous ses employés retournent au bureau, alors que les entreprises envisagent un avenir post-covid avec beaucoup plus de flexibilité

    La génération Z se fait avoir par le télétravail et a le sentiment de ne pas bénéficier de l'évolution de carrière qui se produit au bureau, d'après une étude de Microsoft
    Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  2. #2
    Membre éclairé
    Homme Profil pro
    retraité
    Inscrit en
    septembre 2014
    Messages
    280
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : retraité

    Informations forums :
    Inscription : septembre 2014
    Messages : 280
    Points : 669
    Points
    669
    Par défaut
    Ainsi donc, des salariés ne sont pas équipés par leurs employeurs en terme de moyens informatiques ?
    Et ces employeurs viennent couiner que cela peut poser des problèmes de sécurité ?

    Ainsi donc, on apprend que ce sont les salariés les plus jeunes qui ont le plus de comportement à problème en matière de sécurité informatique ?

    En France, il y a eu de jeunes salariés qui utilisaient leur adresse mail professionnelle pour s'inscrire un peu partout : c'est tellement plus facile...jusqu'au jour où on reçoit un ransomware avec un mail...

    D'autres qui embarquaient des codes sources du client chez eux, pressés par des délais un peu courts...

    Employeurs, clients et salariés ont des responsabilités communes à l'insécurité informatique.

  3. #3
    Membre éprouvé
    Homme Profil pro
    Développeur
    Inscrit en
    août 2003
    Messages
    602
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : août 2003
    Messages : 602
    Points : 1 288
    Points
    1 288
    Par défaut
    Pour moi l'employeur doit au minimum :
    - fournir le matériel
    - configurer correctement l'OS en matière de sécurité, empêcher l'installation de logiciel tiers non approuvé par le service informatique (pas pour les devs, techniciens, ...)
    - avoir un VPN

    Pour aller plus loin :
    - avoir une solution Office accessible via VPN (ex : OnlyOffice) comme ça ça limite le risque avec les macros
    - être sous Linux

  4. #4
    Modérateur
    Avatar de gangsoleil
    Homme Profil pro
    Manager / Cyber Sécurité
    Inscrit en
    mai 2004
    Messages
    9 999
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Manager / Cyber Sécurité

    Informations forums :
    Inscription : mai 2004
    Messages : 9 999
    Points : 27 321
    Points
    27 321
    Par défaut
    Bonjour,

    Outre la formation et la fourniture des bons outils, les entreprises doivent aussi se remettre en cause sur leur réactions en matière de problème de sécurité. Voici un cas vécu dans une grande entreprise, avec les employés en télétravail mais ça ne change rien en l'occurence.

    Une personne découvre qu'un de ses comptes utilisateur, non lié au travail, est potentiellement corrompu (mot de passe sur haveIbeenPawned par exemple) -- le compte est quand même lié à une utilisation sur la machine, donc cette personne prévient la sécurité de son employeur
    Celui-ci réagit en bloquant tous ses comptes, et en faisant des scans pendant 1 semaine. La personne a dû se justifier plusieurs fois, auprès de différentes personnes pas agréables du tout. Et pendant ce temps, impossible de travailler bien sûr.

    Tout le monde étant au courant de cette "mésaventure", que va-t-il se passer la prochaine fois qu'une personne aura connaissance d'un compte potentiellement problématique ?? Elle ne va rien dire, car pas envie de passer une (très) sale semaine.
    "La route est longue, mais le chemin est libre" -- https://framasoft.org/
    Les règles du forum

  5. #5
    Membre expérimenté
    Profil pro
    Inscrit en
    juin 2009
    Messages
    502
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juin 2009
    Messages : 502
    Points : 1 666
    Points
    1 666
    Par défaut
    Citation Envoyé par smarties Voir le message
    Pour moi l'employeur doit au minimum :

    Pour aller plus loin :
    - avoir une solution Office accessible via VPN (ex : OnlyOffice) comme ça ça limite le risque avec les macros
    - être sous Linux
    Les macros sont désactivés par défaut. Enfin il ne faut pas oublier que si Windows est si souvent attaqué par des pirates, c'est parce que c'est le système le plus répandu, pas nécessairement moins sécurisé qu'un Ubuntu.

    Pour avoir reçu des formations sur le sujet voici comment je le ressens : on nous remet tous sur les dos. Oh oui y'a des "point de contacts" pour avoir plus d'info, ça n'empêche pas qu'on demande à une équipe de 10 personnes (dans une boîte de 10k+) de faire :
    • Leur métier correctement, et c'est déjà pas toujours gagné
    • Connaître les problème de RGPD
    • Connaitre les problèmes lié à l'export
    • Conntaître les problème lié à la gestion des données
    • Connaître les problématiques de sécurité physique/informatique
    • Les histoires liés à la consommations d'énergie
    • ...


    Bref on nous en demande toujours plus en dehors de notre métier et j'ai pas l'impression d'être vraiment supporté en la matière a coup de vidéo de formation toute faite et de "points de contact".

    J'attendrais plutôt une vrai solution organisationnelle qui n'étouffe pas non plus les projets sous des mois de bureaucratie avant de pouvoir faire quelque chose.

Discussions similaires

  1. Réponses: 1
    Dernier message: 08/06/2019, 13h19
  2. Réponses: 10
    Dernier message: 13/03/2014, 21h39
  3. afficher les employés avec leur age
    Par Abou Zar dans le forum SQL
    Réponses: 1
    Dernier message: 18/12/2010, 11h42
  4. Oracle : nouveaux licenciements en vue pour les employés de Sun
    Par Gordon Fowler dans le forum Actualités
    Réponses: 19
    Dernier message: 08/06/2010, 11h20
  5. [Honnête]Vos mauvaises habitudes ?
    Par layouni dans le forum La taverne du Club : Humour et divers
    Réponses: 101
    Dernier message: 20/07/2006, 22h09

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo