Discussion :

[Jade Emy]

74 % des cyberattaques sont causées par des facteurs humains, notamment des erreurs, le vol d'informations d'identification, l'utilisation abusive de privilèges d'accès ou l'ingénierie sociale.

Les humains représentent la plus grande faille de sécurité. Selon un nouveau rapport de Mimecast, 74 % des cyberattaques sont dues à des facteurs humains, notamment à des erreurs, au vol d'informations d'identification, à l'utilisation abusive de privilèges d'accès ou à l'ingénierie sociale.

Plus des deux tiers pensent que les employés mettent l'organisation en danger par l'utilisation abusive du courrier électronique, le partage excessif d'informations de l'entreprise sur les médias sociaux et la navigation négligente sur le web. Cela souligne la nécessité pour le personnel de recevoir une meilleure formation sur les risques.

L'étude The State of Email and Collaboration Security 2024 de Mimecast, basée sur des entretiens avec 1 100 RSSI et autres professionnels de l'informatique, montre également que l'émergence de l'IA accélère la propagation du phishing et des ransomwares en permettant aux acteurs de la menace de perpétrer plus facilement des attaques réussies.

Huit personnes interrogées sur dix sont préoccupées par les nouvelles menaces posées par l'IA et 67 % affirment que les attaques basées sur l'IA deviendront bientôt la norme. En se préparant à ces nouvelles menaces, les entreprises considèrent les cyber-risques comme un problème commercial plus large, et non plus seulement comme un problème informatique.

Le courrier électronique reste le principal vecteur d'attaque pour les cybermenaces telles que le phishing, le spoofing et les ransomwares, mais les outils de collaboration offrent de nouveaux et dangereux points d'entrée pour les acteurs malveillants. 70 % d'entre eux s'attendent à ce que les outils de collaboration posent de nouvelles menaces, et 69 % pensent qu'il est probable que leur entreprise subisse les conséquences d'une attaque basée sur les outils de collaboration.

"Les outils et technologies émergents tels que l'IA et les deepfakes, ainsi que la prolifération des plateformes de collaboration, modifient la façon dont les acteurs de la menace travaillent ; mais les personnes restent le plus grand obstacle à la protection des entreprises contre les cybermenaces", déclare Marc van Zadelhoff, PDG de Mimecast. "Les équipes de cybersécurité et d'informatique doivent collaborer avec les chefs d'entreprise au sens large pour donner la priorité à la compréhension des risques humains. Avec les bons outils et la bonne formation, les entreprises peuvent mieux se protéger contre les menaces et gérer le risque humain."

Source : "2024 State of Email & Collaboration Security" (Mimecast)

Et vous ?

Pensez-vous que ce rapport est crédible ou pertinent ?
Quel est votre avis sur le sujet ?

Voir aussi :

La majorité des entreprises ne sont pas préparées aux menaces internes, seuls 21 % des répondants déclarent avoir mis en place un programme opérationnel de lutte contre les menaces internes

L'IA va accroître le nombre et l'impact des cyberattaques. Les ransomwares étant susceptibles d'en être les plus grands bénéficiaires au cours des deux prochaines années

Gartner identifie les principales tendances en matière de cybersécurité pour 2024 : les responsables de la sécurité doivent se préparer à l'évolution rapide de la GenAI

[Mercenary Developer]

A quand des postiers robot ?

[Anthony]

Les lieux de travail sont en proie à des comportements de sécurité à risque : 75 % des professionnels de la sécurité ont vu des employés adopter de tels comportements et 62 % avouent en avoir eux-mêmes commis

Une étude publiée par KnowBe4 montre que 75 % des professionnels de la sécurité ont vu des employés adopter des comportements risqués au travail et que 62 % admettent avoir eux-mêmes des comportements risqués.

L'enquête Infosecurity Europe 2024 de KnowBe4 a recueilli des informations sur les questions de cybersécurité qui sont au cœur des préoccupations des professionnels de la sécurité. Cette étude s'est penchée sur les comportements à risque observés sur le lieu de travail, ainsi que sur les types de comportements à risque que les professionnels de la sécurité ont admis avoir commis.

Les résultats de l'enquête montrent que les trois quarts (75 %) des professionnels de la sécurité ont vu des employés adopter des comportements à risque sur leur lieu de travail.

Les comportements à risque observés par les professionnels de la sécurité sur le lieu de travail comprennent l'utilisation de services de divertissement ou de streaming, plus de la moitié d'entre eux (51 %) déclarant avoir été témoins de cette habitude. Parmi les autres comportements repérés figurent le partage d'informations personnelles (44 %), l'utilisation de la GenAI au sein de l'organisation (38 %), l'utilisation de supports amovibles non autorisés comme les clés USB (37 %), l'ouverture de pièces jointes malveillantes dans les courriels (36 %) et l'utilisation de sites de jeux d'argent sur le lieu de travail (35 %).

« La nature multiforme des défis de cybersécurité auxquels sont confrontées les organisations apparaît clairement à la lecture des résultats de l'enquête », déclare Javvad Malik, principal défenseur de la sensibilisation à la sécurité chez KnowBe4. « Alors que les avancées technologiques comme l'IA et les deepfakes présentent de nouveaux risques, le facteur humain reste une pièce essentielle du puzzle de la cybersécurité et s'attaquer à ces comportements à risque est impératif dans les lieux de travail d'aujourd'hui. »

Les résultats ci-dessus concernent les comportements à risque en matière de sécurité, adoptés par des employés n'appartenant pas au secteur de la sécurité.

Fait alarmant, près des deux tiers (62 %) des professionnels de la sécurité ont admis avoir eux-mêmes adopté le même type de comportement à risque.

Les types de comportements à risque adoptés par les professionnels de la sécurité sur le lieu de travail comprennent l'utilisation de services de divertissement ou de streaming (33 %), l'utilisation de la GenAI au sein de l'organisation (31 %), le partage d'informations personnelles (14 %), l'utilisation de sites web de jeux d'argent ou de hasard au travail (10 %) et l'utilisation de sites web de divertissements pour adultes (2 %).

« Si l'on considère que la majorité des atteintes à la sécurité dans le monde (68 %) sont dues à des actions humaines non malveillantes, telles que des erreurs ou une vulnérabilité aux attaques d'ingénierie sociale, un mauvais comportement en matière de sécurité peut manifestement exposer les organisations à des cybermenaces, ce qui souligne le rôle essentiel d'une formation efficace en matière de sensibilisation à la sécurité. », déclare Javvad Malik.

M. Malik rajoute :

Les organisations doivent rester à l'écoute des dernières tendances et innovations en matière de cybersécurité, en investissant dans des technologies et des stratégies de pointe pour garder une longueur d'avance sur l'évolution des menaces.

Toutefois, ces résultats montrent que les comportements à risque sur le lieu de travail restent un problème sérieux, ce qui témoigne d'une faible culture de la sécurité. Pour cultiver une solide culture de la sécurité, il ne suffit pas d'éduquer le personnel sur les cybermenaces. En leur apprenant à réagir et à identifier les menaces, ainsi qu'à identifier les comportements à risque et à en expliquer les raisons, on contribue à la prévention de ces comportements et on renforce la protection de l'organisation. La culture de la sécurité exige un changement d'attitude, de comportement, d'approche et de perception des responsabilités. Il doit s'agir d'une priorité à l'échelle de l'organisation si l'on veut obtenir un changement visible.

Pour naviguer dans ce paysage complexe, les organisations doivent donner la priorité au développement d'une solide culture de la sécurité, où la cybersécurité est ancrée dans le tissu de l'organisation et où chacun joue un rôle dans le maintien d'un environnement sécurisé. Cela implique de responsabiliser les professionnels de la sécurité, de fournir une formation efficace et de favoriser une communication et une collaboration ouvertes à tous les niveaux de l'organisation. Une formation et un accompagnement adéquats permettent de réduire le risque humain qui existe dans toutes les organisations et de protéger non seulement les organisations, mais aussi les employés contre la cybercriminalité.

À propos de KnowBe4
KnowBe4, fournisseur de la plus grande plateforme de formation à la sensibilisation à la sécurité et de simulation d'hameçonnage au monde, est utilisée par plus de 65 000 organisations dans le monde entier. Fondée par Stu Sjouwerman, spécialiste des technologies de l'information et de la sécurité des données, KnowBe4 aide les organisations à aborder l'élément humain de la sécurité en les sensibilisant aux ransomwares, à la fraude des PDG et à d'autres tactiques d'ingénierie sociale grâce à une approche nouvelle de la formation à la sensibilisation à la sécurité.

Le regretté Kevin Mitnick, spécialiste de la cybersécurité de renommée internationale et Chief Hacking Officer de KnowBe4, a contribué à la conception de la formation KnowBe4 en s'inspirant de ses tactiques d'ingénierie sociale bien documentées. Des dizaines de milliers d'organisations comptent sur KnowBe4 pour mobiliser leurs utilisateurs finaux en tant que dernière ligne de défense et font confiance à la plateforme KnowBe4 pour renforcer leur culture de la sécurité et réduire les risques humains.

Source : KnowBe4

Et vous ?

Quel est votre avis sur le sujet ?
Trouvez-vous les conclusions de cette étude de KnowBe4 crédibles ou pertinentes ?

Voir aussi :

74 % des cyberattaques sont causées par des facteurs humains, notamment des erreurs, le vol d'informations d'identification, l'utilisation abusive de privilèges d'accès ou l'ingénierie sociale

La majorité des entreprises ne sont pas préparées aux menaces internes, seuls 21 % des répondants déclarent avoir mis en place un programme opérationnel de lutte contre les menaces internes

[walfrat]

Quelqu'un pourrait m'expliquer le rapport entre regarder Netflix et la sécurité d'une entreprise ? Bon pour certains types d'entreprises cela permettrait à Netflix de savoir que tu travailles pour même ça me paraît encore assez léger.

Évidemment j'assume ici les sites mainstream, pas les sites louches planqué dans un recoin du web.

Et non je ne suis pas concerné

[archqt]

Quelqu'un pourrait m'expliquer le rapport entre regarder Netflix et la sécurité d'une entreprise ? Bon pour certains types d'entreprises cela permettrait à Netflix de savoir que tu travailles pour même ça me paraît encore assez léger.

Ils passent des séries avec des procédures fausses sur la sécurité, déverrouiller un système en 5mns, des scripts pas bons...ça détruit le niveau des ingénieurs en sécurité

[Jade Emy]

65% des employés contournent les mesures de cybersécurité, selon une nouvelle étude de CyberArk qui met en lumière les risques de cybersécurité que soulèvent certains comportements quotidiens des employés

Une enquête récente de CyberArk révèle que 65 % des employés de bureau admettent contourner les politiques de sécurité de l'entreprise au nom de l'efficacité. L'étude montre que les employés pratiquant ce genre de comportement mais qui accèdent à des données sensibles et à des privilèges, exposent leur entreprise à différents dangers. Une autre étude de CyberArk indique comment l’historique en ligne d’un individu peut constituer une menace pour son employeur comme pour sa vie privée.

Alors que les entreprises dépendent de plus en plus des outils numériques et des flux de travail basés sur le cloud, un problème urgent se fait jour. Les employés contournent les mesures de sécurité pour atteindre leurs objectifs de productivité, créant ainsi par inadvertance des risques importants pour la cybersécurité.

L'enquête Infosecurity Europe 2024 de KnowBe4 a montré que les trois quarts (75 %) des professionnels de la sécurité ont vu des employés adopter des comportements à risque sur leur lieu de travail. Les comportements à risque observés par les professionnels de la sécurité sur le lieu de travail comprennent l'utilisation de services de divertissement ou de streaming, plus de la moitié d'entre eux (51 %) déclarant avoir été témoins de cette habitude.

Parmi les autres comportements repérés figurent le partage d'informations personnelles (44 %), l'utilisation de la GenAI au sein de l'organisation (38 %), l'utilisation de supports amovibles non autorisés comme les clés USB (37 %), l'ouverture de pièces jointes malveillantes dans les courriels (36 %) et l'utilisation de sites de jeux d'argent sur le lieu de travail (35 %)

Une enquête récente de CyberArk met en lumière l'ampleur de ces problèmes, révélant que 65 % des employés de bureau admettent contourner les politiques de sécurité de l'entreprise au nom de l'efficacité. Cette tension entre sécurité et productivité met en évidence un défi majeur pour les organisations dans l'environnement commercial actuel, qui évolue rapidement : Comment faire respecter la conformité sans étouffer le flux de travail ?

Quatre conclusions à propos du comportement néfaste des employés

Les entreprises modernes déploient des solutions pour protéger les données sensibles, de l'authentification multifactorielle à la détection des menaces en temps réel. Mais lorsque les employés réutilisent leurs mots de passe, partagent leurs identifiants ou accèdent à des applications professionnelles à partir d'appareils personnels non sécurisés, ils créent des vulnérabilités que même les systèmes les plus avancés ne peuvent combler.

CyberArk, un leader mondial dans le domaine de la sécurité des identités, publie les résultats d’une nouvelle étude consacrée aux comportements des employés. Cette enquête souligne la nécessité d’évoluer vers un modèle où l’accès des employés n’est pas seulement géré, mais également sécurisé. Dans un contexte marqué par des tendances telles que le travail hybride et la flexibilité d’accès, cette étude menée dans plusieurs pays révèle que dans de nombreux cas, la manière dont les employés accèdent à des données sensibles et à privilèges — que ce soit de façon délibérée ou accidentelle — expose leur entreprise à différents dangers. Parallèlement, une nouvelle étude réalisée par l’équipe de recherches du Labs de CyberArk indique comment l’historique en ligne d’un individu peut constituer une menace pour son employeur comme pour sa vie privée.

Fruit d’une enquête menée auprès de 14 003 employés occupant des fonctions majeures au sein d’entreprises actives dans un large éventail de secteurs en Allemagne, en Australie, aux États-Unis, en France, au Royaume-Uni et à Singapour, ce rapport fait le point sur les comportements des employés et les modes d’accès aux données les plus courants. En deux mots, les équipes de sécurité doivent repenser la manière dont les contrôles de sécurité des identités sont appliqués aux employés dans les nouveaux environnements de travail.

1. La majorité des employés peut accéder à des informations sensibles : 80 % des employés ont accès à des applications professionnelles qui contiennent souvent des données sensibles en utilisant des appareils personnels fréquemment dépourvus de contrôles de sécurité appropriés. L’enquête confirme que les accès à privilèges ne sont plus l’apanage des administrateurs IT. En effet, 40 % des personnes interrogées téléchargent régulièrement des données sur les clients, un tiers sont en mesure de modifier des données critiques ou sensibles et un peu plus de trois personnes sur dix peuvent approuver des transactions financières d’un montant élevé.
   
   
2. La réutilisation des mots de passe est monnaie courante : L’étude met en évidence plusieurs habitudes inquiétantes : alors que 49 % des employés interrogés conservent les mêmes identifiants de connexion pour plusieurs applications professionnelles, 36 % utilisent les mêmes codes pour leurs applications personnelles et professionnelles. Par ailleurs, 52 % des personnes interrogées déclarent partager avec des tiers des informations confidentielles propres à leur lieu de travail. De telles pratiques augmentent de façon significative les risques de fuite et de compromission de la sécurité.
   
   
3. La majorité des employés contourne les règles de cybersécurité : 65 % des collaborateurs contournent souvent les règles de cybersécurité pour se faciliter la vie, que ce soit en utilisant un mot de passe unique pour plusieurs comptes, en se servant d’un terminal personnel comme point d’accès mobile ou en transférant des emails professionnels vers leur compte personnel.
   
   
4. L’adoption de l’intelligence artificielle soulève de nouveaux défis pour la sécurité : L’enquête met également en lumière l’utilisation croissante de l’intelligence artificielle (IA) sur le lieu de travail. Ainsi, plus de 72 % des employés ont accès à des outils d’IA susceptibles d’introduire de nouvelles vulnérabilités, par exemple en y injectant des données sensibles. Plus d’un tiers (38 %) des employés respectent « parfois seulement », voire « jamais », les directives relatives au traitement des informations sensibles dans le cadre de l’utilisation d’un outil d’IA.

La vie d'un employé ruiné par une attaque

Nouvelle étude de CyberArk Labs

L’étude publiée par CyberArk Labs sous le titre "White FAANG : Devouring Your Personal Data" démontre que la navigation sur internet d’un employé et son historique en ligne peuvent poser des problèmes pour leur employeur, mais également pour leur vie personnelle. Elle détaille comment les données des historiques de navigation téléchargées chez des géants de la tech tels qu’Apple et Meta peuvent être facilement volées, mais également comment un hacker peut exploiter ce vaste réservoir d’informations à des fins malveillantes, par exemple comme vecteur d’attaque contre l’entreprise des victimes.

La combinaison, d’une part, des actes inquiétants des employés et, d’autre part, de la capacité des cyberattaquants à s’emparer des historiques de navigation et à exploiter la façon dont les utilisateurs se servent d’Internet, accroît les risques pour les entreprises. En mettant en œuvre un solide programme de sécurité des identités doublé d’une vérification dynamique des privilèges à chaque point de contrôle des utilisateurs, les équipes de sécurité peuvent empêcher les cyberattaquants d’accéder à des informations sensibles et à privilèges sans ajouter de friction indésirable aux processus de travail.

"Pendant trop longtemps, les méthodes standard de sécurisation des accès du personnel se sont appuyées sur des fonctionnalités de base telles que l’authentification unique de type SSO. Or cette approche ne tient pas compte de la réalité des collaborateurs modernes et de la nature changeante des identités : en effet, un collaborateur lambda peut être un utilisateur occasionnel et, l’instant d’après, devenir un compte à privilèges", explique Matt Cohen, CEO de CyberArk.

"Les conclusions de ces deux enquêtes montrent que les accès à haut risque sont disséminés dans toutes les fonctions et que les mauvais comportements sont courants, ce qui engendre d’importants problèmes de sécurité pour les entreprises et souligne la nécessité de réinventer sans tarder la sécurité des identités en accordant à chaque utilisateur le niveau de contrôle des privilèges approprié."

Cette étude confirme une autre étude qui avait révélé qu'un employé sur trois ne comprend pas l'importance de la cybersécurité au travail, et seuls 39 % des employés se disent très susceptibles de signaler un incident de sécurité. À la question de savoir pourquoi, 42 % des employés répondent qu'ils ne sauraient pas s'ils ont provoqué un incident et 25 % disent qu'ils ne se soucient pas assez de la cybersécurité pour en parler.

À propos de CyberArk

CyberArk  est un leader mondial de la sécurité des identités. Expert des contrôles intelligents des privilèges, CyberArk propose l’offre de sécurité la plus complète pour toutes les identités – humaines ou machines – au sein des applications d’entreprise, des effectifs décentralisés, des environnements cloud hybrides, et tout au long du cycle de vie DevOps.

Source : "White FAANG : Devouring Your Personal Data"

Et vous ?

Pensez-vous que cette étude est crédible ou pertinente ?
Quel est votre avis sur le sujet ?

Voir aussi :

Les principales menaces en cybersécurité pour 2025 : comprendre et anticiper ces évolutions afin de garantir la résilience des systèmes numériques dans un monde toujours plus interconnecté

La formation à la cybersécurité a besoin d'une touche humaine, car seuls 42 % des employés de bureau sont satisfaits de leur formation actuelle à la cybersécurité, selon une étude de CybSafe

74 % des cyberattaques sont causées par des facteurs humains, notamment des erreurs : Le vol d'informations d'identification, l'utilisation abusive de privilèges d'accès ou l'ingénierie sociale

[Christophe]

Quelqu'un pourrait m'expliquer le rapport entre regarder Netflix et la sécurité d'une entreprise ?

Un exemple simple, accès à un faux site Netflix par erreur contenant une charge malveillante.