Salariés irresponsables et gestion inefficace
Kaspersky explique que les attaques sont principalement causées par deux comportements. D’une part, il y a l’irresponsabilité des salariés. Ces derniers veulent en effet travailler d’une manière qui leur convient. « Ils veulent, par exemple, avoir des droits d’administrateur sur leur ordinateur, pouvoir installer n’importe quel logiciel, et accorder l’accès aux données et aux systèmes de leur équipe à leur guise. Ils veulent également inviter des personnes externes au bureau », analyse Andrey Evdokimov, responsable de la sécurité de l’information chez Kaspersky.
« Cependant, presque personne n’est vraiment prêt à assumer la responsabilité de ce qu’il veut ou trouve pratique. De nombreux employés (et leurs supérieurs aussi, parfois) sont complaisants et pensent qu’ils sont en quelque sorte protégés quoi qu’ils fassent, et que quelqu’un pourra toujours remédier à la situation d’un coup de baguette magique. Bien sûr, nous, les experts en cybersécurité des entreprises, faisons toujours de notre mieux pour protéger les utilisateurs, mais nous ne sommes pas omnipotents », ajoute-t-il.
D’autre part, la gestion inefficace du processus d’entreprise est pointée par Kaspersky. « Une entreprise qui prend la cybersécurité au sérieux ne subit pas de dommages importants si un employé insère une clé USB avec un fichier infecté, ouvre un e-mail avec une pièce jointe malveillante ou suit une URL infectée », explique Evdokimov.
Quelles sont les conséquences ?
« Le personnel chargé de réagir à une violation de données peut subir des conséquences très diverses. Un incident n'affecte pas seulement la journée de travail, mais aussi la vie en dehors du bureau. Les conséquences d'une violation peuvent être classées en trois catégories : sociales, sanitaires et professionnelles, allant des tensions familiales à la discipline au travail et au stress. Dans les environnements de travail modernes, tous les employés veulent être au top de leur forme, mais une infraction pourrait les affecter dans ces trois domaines », explique le rapport.
Le rapport se base sur les conclusions d’une enquête sur les risques de sécurité informatique des entreprises menée au deuxième trimestre 2019. L’enquête révèle notamment que :
- 47 % des entreprises ont été victimes de violations de données ;
- 66 % des employés ont été sanctionnés suite à une attaque ;
- un tiers des salariés se sont sentis plus stressés ;
- 30 % ont raté un événement personnel.
Le cas d’Equifax
Kaspersky cite le cas d’Equifax, une société américaine victime de piratage en 2017, causant l’exposition des données de 143 millions de ses clients américains, 100 000 citoyens canadiens et environ 14 millions de Britanniques. Les responsables du groupe ont alors été critiqués dans les médias tandis que d’autres employés ont reçu des menaces de mort sur les réseaux sociaux. Suite à cet incident, le groupe a été confronté à une vague de démissions, dont celui du directeur des systèmes d’information, du directeur chargé de la sécurité de l’agence, et même du PDG du groupe, Richard Smith.
Que faut-il faire ?
Les entreprises devraient aider leurs salariés à « comprendre leurs responsabilités, les valeurs de l’entreprise et l’importance de la contribution de leurs collègues », note Andrey Evdokimov. « Les règles de l’entreprise en matière d’informatique doivent expliquer simplement et précisément ce qui est autorisé et ce qui ne l’est pas, et ce que le personnel doit faire en cas de cyber-incident, y compris en termes de vie privée et de confidentialité. Le chef d’équipe doit communiquer clairement les informations à ses subordonnés. Pendant un cyber-incident, mais aussi après, il doit expliquer le problème et ses conséquences (qui peuvent inclure des sanctions). Cela permet de garder une atmosphère d’équipe saine et peut aider l’entreprise à éviter de reproduire les mêmes erreurs », conclut-il.
Source : Kaspersky
Et vous ?
Que pensez-vous de la pertinence de cette étude ?
Y a-t-il d'autres points non mentionnés dans le rapport ? Si oui, lesquels ?
Voir aussi :
Les entreprises sous-estiment l'impact du vol des données des employés, qui peuvent apporter une vue d'ensemble sur les données clients au cybercriminel
Le coût moyen d'une cyberattaque a dépassé 1 million de dollars, le principal impact étant la perte de productivité, selon un rapport
Des hackers recrutent des employés d'entreprise sur le dark web pour faciliter leurs attaques et fraudes, faut-il donc surveiller ses employés ?
Trop d'heures sup non rémunérées, télétravail, stress, inégalités, automatisation, le rapport sur le travail dans l'IT
61 % des RSSI estiment que les employés divulguent accidentellement des données de leurs entreprises, selon une enquête