Sécurité : des utilisateurs trop confiants pour être fiables
Les employés affichent une confiance élevée dans la sécurité informatique des entreprises françaises. Trop élevée pour ne pas être préoccupante.
Le décalage est impressionnant. Selon une étude Opinionway réalisée pour Capgemini et sa filiale Sogeti, 36 % des salariés pensent que leur entreprise a déjà été touchée par une attaque informatique. Un peu plus d’un tiers, donc, alors que les études montrent régulièrement une exposition bien plus importante.
Dès lors, il n’est pas vraiment surprenant que 85 % des salariés estiment que leur entreprise est plutôt bien voire très bien protégée. Et cela malgré la médiatisation croissante d’incidents de sécurité à fort impact. Un sentiment apparemment surtout partagé au sein des entreprises de taille moyenne (93 %) et des grandes entreprises (90 %).
Pour Bernard Barbier, RSSI de Capgemini, « ces chiffres contradictoires montrant la complexité de la cybersécurité : celle-ci représente un risque asymétrique pour l’entreprise. Tous les chiffres montrent que le nombre d’attaques croît considérablement d’année en année ; attaques dont les salariés de l’entreprise n’ont pas nécessairement connaissance ». Et justement, le problème est peut-être là : la difficulté à communiquer, en interne, sur une réalité de la posture de sécurité des entreprises qu’il est encore souvent difficile à faire percevoir – voire accepter – aux dirigeants, et donc encore plus à faire appréhender aux collaborateurs.
Un problème d’autant plus important que les salariés constituent souvent le premier rempart de l’entreprise face aux attaquants. Comme le relève Bernard Barbier, « les campagnes de phishing sont d’une très grande efficacité et représentent plus de 80 % des attaques réussies. En réalité, il suffit d’un seul PC infecté pour entraîner de lourdes conséquences financières et de réputation pour l’entreprise ». D’ailleurs, pour lui, « on peut se demander si ce sentiment de sécurité n’entraîne pas un manque de vigilance des salariés dans le traitement des messages électroniques venant de l’extérieur de l’entreprise ». Les dirigeants de RSA, la division sécurité d’EMC, victime d’un important vol de données en 2011 ne diraient probablement pas autre chose.
Alors pour Jean-Pierre Carlin, directeur Europe du Sud de LogRythm, oui, « ce sentiment de confiance représente une véritable porte ouverte aux hackers, car si les collaborateurs n’ont pas conscience des risques qui planent sur les données et les ressources de l’entreprise, il y a fort à parier que les bonnes pratiques et les procédures essentielles en matière de sécurité ne soient pas non plus appliquées, voire négligées ». Et de rappeler que « ce n’est pas parce qu’une entreprise est protégée qu’elle ne subira pas d’attaque, ce que semblent pourtant penser les employés interrogés ».
Pour lui, il apparaît essentiel que les entreprises « poursuivent leurs efforts pour sensibiliser [leurs collaborateurs] aux risques informatiques, aussi bien pour leurs données personnelles que pour celles de l’organisation, ainsi qu’aux conséquences préjudiciables que peut entraîner une fuite de données ».
Et cela paraît d’autant plus urgent que 29 % des salariés sondés déclarent ne pas avoir d’idée précise du phishing – ou ne pas savoir de quoi il s’agit. La part tombe à 25 % pour les cyberattaques. Surtout, dans 39 % des cas, la connaissance de la politique de sécurité de l’entreprise est soit inexistante, soit très limitée. Quant à sa clarté, elle reste jugée au mieux médiocre par 28 % des salariés.
Pour autant, le vol de données apparaît en bonne place parmi les menaces informatiques citées par les sondés : 43 % le positionne premier ou en second, devant l’erreur humaine entraînant la perte de données (38 %), et juste derrière les logiciels malveillants (48 %).
Pour établir ces résultats, OpinionWay s’est basé sur une échantillon de 1010 salariés de bureau d’entreprises privées, sondés en ligne au cours de la seconde moitié du mois de mai.