IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Les employés prennent de mauvaises habitudes en matière de sécurité lorsqu'ils travaillent à domicile
Selon le cabinet d'étude Tessian

Le , par Bill Fassinou

19PARTAGES

4  0 
La pandémie du Covid-19 a mis les habitudes de travail à rudes épreuves et a forcé la plus grande expérience de télétravail que le monde n’ait jamais connu. Si ce mode de travail a permis aux entreprises de rester plus ou moins productives, Tessian a publié un rapport récemment dans lequel il explique que les employés ont acquis de mauvaises habitudes en matière de cybersécurité en travaillant depuis leur domicile. Le cabinet d'étude indique en effet qu'au moins un employé sur trois a pris de mauvaises habitudes de sécurité en travaillant à distance et que les plus jeunes étaient les "moins soucieux" de la sécurité.

Quels ont été les impacts du télétravail sur la cybersécurité ?

Le travail à domicile a été d'une grande aide aux organisations du monde entier au cours de l'année 2020 qui a été sans doute la période la plus difficile de la crise du Covid-19. Si le retour à la normale se précise progressivement, chaque organisation remodèle désormais sa politique de travail pour être en mesure de gérer efficacement ce type de situation d'urgence à l'avenir. Ainsi, après plus d'un an de travail à distance, presque toutes les entreprises adoptent une structure de travail hybride, permettant aux employés de travailler à domicile ou au bureau. Facebook, Apple, Salesforce, Google, etc., ont tous déjà fait une telle annonce.



Cependant, parallèlement à la montée du télétravail dans le monde, le nombre de violations de données et d'attaques de ransomware a aussi augmenté de façon considérable. À en croire les conclusions du nouveau rapport de Tessian, société spécialisée dans la sécurité des couches humaines, les habitudes qu'adoptent les travailleurs à domicile jouent un rôle important dans cette tendance. À travers une enquête réalisée sur le sujet, Tessian révèle que plus de la moitié des responsables informatiques (56 %) pensent que les employés ont acquis de mauvais comportements en matière de cybersécurité depuis qu'ils travaillent à distance.

En outre, la majorité des professionnels de l'informatique prévoient un pic d'attaques par ransomware et d'escroqueries par phishing ciblées lors de la transition vers le retour au bureau. De même, plus de la moitié (54 %) craignent que le personnel apporte des appareils infectés et des logiciels malveillants sur le lieu de travail. Et leur appréhension semble fondée - 40 % des employés ont déclaré qu'ils prévoyaient de travailler au bureau à partir d'appareils personnels. Par ailleurs, Tessian a observé que plus d'un quart des employés ont peur d'admettre qu'ils ont commis des erreurs qui compromettent la sécurité au travail.

De même, le rapport précise que les jeunes employés sont les plus susceptibles d'admettre qu'ils ont pris des raccourcis en matière de cybersécurité : 51 % des 16-24 ans et 46 % des 25-34 ans déclarent avoir utilisé des solutions de contournement de la sécurité. Le sondage a été réalisé pour Tessian par OnePoll, qui a interrogé 4 000 professionnels en activité et 200 responsables informatiques aux États-Unis et au Royaume-Uni en mai 2021. Voici quelques points clés du rapport publié cette semaine.

Des dirigeants trop optimistes quant au retour au bureau ?

Dans le cadre de l'enquête, Tessian a posé la question suivante : Le retour à un environnement de bureau se traduira-t-il par des pratiques de sécurité plus sûres ? Environ 70 % des responsables informatiques semblent le penser, estimant que le personnel sera plus enclin à suivre les politiques de sécurité de leur organisation en matière de protection et de confidentialité des données lorsqu'il travaille au bureau. Cependant, seuls 57 % des employés sont du même avis.

Les erreurs des employés menacent la cybersécurité

Le rapport estime que les propos des employés sur leurs habitudes en matière de cybersécurité ne sont pas de nature à rassurer les chefs d'entreprise. Tim Sadler, PDG de Tessian, a déclaré : « L'une des conclusions les plus choquantes et les plus alarmantes de l'enquête est le peu de cas que font les employés des erreurs de cybersécurité ». En effet, plus d'un quart des employés admettent avoir commis des erreurs qui ont compromis la sécurité de l'entreprise alors qu'ils travaillaient à domicile - des erreurs dont ils affirment que personne ne sera jamais au courant.

En outre, environ 39 % déclarent que les comportements en matière de cybersécurité qu'ils adoptent lorsqu'ils travaillent à domicile diffèrent de ceux qu'ils adoptent au bureau, la moitié d'entre eux admettant que c'est parce qu'ils ont l'impression d'être surveillés par les services informatiques. Plus encore, seule la moitié d'entre eux ont déclaré qu'ils signalaient toujours au service informatique la réception ou le clic d'un courriel de phishing. La raison ? Sadler a indiqué qu'environ 27 % d'entre eux ont déclaré avoir peur de faire l'objet de mesures disciplinaires ou de devoir suivre une formation plus poussée en matière de sécurité.

Selon Sadler, « c'est [ce comportement des employés] un problème énorme ». Ainsi, il estime que les entreprises doivent comprendre quand et pourquoi les gens font des erreurs afin d'éviter qu'elles ne se transforment en violations de données. Il ajoute que cela n'est pas possible sans visibilité sur le moment et la manière dont ces erreurs se produisent. Cependant, dans un environnement de travail hybride, où les employés sont répartis dans tout le pays et même dans le monde entier, la visibilité du comportement des employés devient plus difficile, mais d'autant plus importante.

Comment se porterait la cybersécurité après le retour ?

En ce qui concerne les inquiétudes liées au retour au travail, 54 % des responsables informatiques craignent que le personnel n'apporte des appareils infectés et des logiciels malveillants sur le lieu de travail. Cette crainte est probablement fondée en raison du nombre d'employés qui prévoient de retourner au bureau avec leurs appareils personnels. La majorité des responsables informatiques (69 %) pensent également que les attaques par ransomware seront plus préoccupantes dans un environnement de travail hybride, les cabinets juridiques et les organismes de santé étant particulièrement inquiets de cette menace.

En sus, environ 67 % d'entre eux prévoient une augmentation des courriels d'hameçonnage ciblés, qui s'ajouteront au nombre croissant d'attaques par hameçonnage auxquelles les organisations sont confrontées. Les responsables informatiques interrogés par Tessian ont également énuméré d'autres inquiétudes quant au retour au bureau. « Le passage à une main-d'œuvre entièrement à distance a été un énorme défi pour les responsables informatiques, mais la prochaine transition vers un modèle de travail hybride devrait être encore plus difficile, en particulier en ce qui concerne le comportement des employés », a prévenu Sadler.

Laprès-Covid : quels conseils pour les dirigeants d'entreprise ?

Sadler a déclaré que les employés sont les gardiens des données et des systèmes, mais attendre d'eux qu'ils soient des experts en sécurité et les effrayer pour qu'ils se conforment ne fonctionnera pas. Le PDG de Tessian estime que les responsables informatiques doivent plutôt donner la priorité à la création d'une culture de la sécurité qui donne aux gens les moyens de travailler de manière sécurisée et productive, et comprendre comment encourager un changement de comportement durable au fil du temps s'ils veulent prospérer dans cette nouvelle façon de travailler.

« Il appartient aux dirigeants d'entreprise de créer une culture qui permet aux employés de travailler de manière sûre et productive, et qui leur permet de signaler les problèmes ou les erreurs de sécurité », a-t-il déclaré. Pour y arriver, Sadler propose aux entreprises de réfléchir à leurs plus grandes vulnérabilités dans un modèle de travail hybride et d'élaborer une stratégie de sécurité en plaçant les personnes au centre. Selon lui, la sécurité ne doit pas empêcher les gens de faire leur travail. Il estime aussi qu'il faut s'assurer que les responsables de la cybersécurité sont impliqués dans les plans de réouverture des bureaux.

« La sécurité est désormais une question essentielle pour l'entreprise - elle peut en effet faire ou défaire une organisation. Il est donc encourageant de voir que 67 % des décideurs informatiques de notre enquête ont un siège à la table », a déclaré Sadler. Selon lui, les chefs d'entreprise devraient réviser la formation à la sécurité pour qu'elle ne soit plus considérée comme une punition ou un exercice à cocher, mais qu'elle renforce l'efficacité personnelle des employés. Ce serait le seul moyen d'encourager un changement de comportement durable et d'améliorer la posture de sécurité de votre entreprise.

« Par exemple, adaptez les exercices de phishing à l'employé ou au service spécifique, et armez le personnel avec les outils et les connaissances dont il a besoin pour prendre des décisions intelligentes en matière de cybersécurité lorsqu'une menace se présente. Cela est particulièrement important dans un environnement hybride, où les employés ne peuvent pas toujours vérifier les demandes directement auprès de leurs collègues », a-t-il conclu.

Source : Tessian

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous des conclusions de Tessian ?
Pensez-vous que le retour au bureau va améliorer la cybersécurité ?
Êtes-vous toujours en télétravail ? Si oui, êtes-vous prêt à retourner au bureau ?

Voir aussi

Trois travailleurs sur quatre ne veulent pas retourner au bureau à plein temps, d'après une enquête qui note qu'un mode hybride entre télétravail et présentiel serait salutaire pour les entreprises

Êtes-vous pour rester de façon permanente en télétravail après la crise de coronavirus ? 34 % des travailleurs à distance préféreraient démissionner plutôt que de retourner au bureau à plein temps

Télétravail : seulement une entreprise sur dix s'attend à ce que tous ses employés retournent au bureau, alors que les entreprises envisagent un avenir post-covid avec beaucoup plus de flexibilité

La génération Z se fait avoir par le télétravail et a le sentiment de ne pas bénéficier de l'évolution de carrière qui se produit au bureau, d'après une étude de Microsoft

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de TotoParis
Membre expérimenté https://www.developpez.com
Le 16/06/2021 à 13:50
Ainsi donc, des salariés ne sont pas équipés par leurs employeurs en terme de moyens informatiques ?
Et ces employeurs viennent couiner que cela peut poser des problèmes de sécurité ?

Ainsi donc, on apprend que ce sont les salariés les plus jeunes qui ont le plus de comportement à problème en matière de sécurité informatique ?

En France, il y a eu de jeunes salariés qui utilisaient leur adresse mail professionnelle pour s'inscrire un peu partout : c'est tellement plus facile...jusqu'au jour où on reçoit un ransomware avec un mail...

D'autres qui embarquaient des codes sources du client chez eux, pressés par des délais un peu courts...

Employeurs, clients et salariés ont des responsabilités communes à l'insécurité informatique.
5  0 
Avatar de gangsoleil
Modérateur https://www.developpez.com
Le 18/06/2021 à 12:35
Bonjour,

Outre la formation et la fourniture des bons outils, les entreprises doivent aussi se remettre en cause sur leur réactions en matière de problème de sécurité. Voici un cas vécu dans une grande entreprise, avec les employés en télétravail mais ça ne change rien en l'occurence.

Une personne découvre qu'un de ses comptes utilisateur, non lié au travail, est potentiellement corrompu (mot de passe sur haveIbeenPawned par exemple) -- le compte est quand même lié à une utilisation sur la machine, donc cette personne prévient la sécurité de son employeur
Celui-ci réagit en bloquant tous ses comptes, et en faisant des scans pendant 1 semaine. La personne a dû se justifier plusieurs fois, auprès de différentes personnes pas agréables du tout. Et pendant ce temps, impossible de travailler bien sûr.

Tout le monde étant au courant de cette "mésaventure", que va-t-il se passer la prochaine fois qu'une personne aura connaissance d'un compte potentiellement problématique ?? Elle ne va rien dire, car pas envie de passer une (très) sale semaine.
2  0 
Avatar de smarties
Expert confirmé https://www.developpez.com
Le 17/06/2021 à 15:43
Pour moi l'employeur doit au minimum :
- fournir le matériel
- configurer correctement l'OS en matière de sécurité, empêcher l'installation de logiciel tiers non approuvé par le service informatique (pas pour les devs, techniciens, ...)
- avoir un VPN

Pour aller plus loin :
- avoir une solution Office accessible via VPN (ex : OnlyOffice) comme ça ça limite le risque avec les macros
- être sous Linux
0  0 
Avatar de walfrat
Membre émérite https://www.developpez.com
Le 18/06/2021 à 15:03
Citation Envoyé par smarties Voir le message
Pour moi l'employeur doit au minimum :

Pour aller plus loin :
- avoir une solution Office accessible via VPN (ex : OnlyOffice) comme ça ça limite le risque avec les macros
- être sous Linux
Les macros sont désactivés par défaut. Enfin il ne faut pas oublier que si Windows est si souvent attaqué par des pirates, c'est parce que c'est le système le plus répandu, pas nécessairement moins sécurisé qu'un Ubuntu.

Pour avoir reçu des formations sur le sujet voici comment je le ressens : on nous remet tous sur les dos. Oh oui y'a des "point de contacts" pour avoir plus d'info, ça n'empêche pas qu'on demande à une équipe de 10 personnes (dans une boîte de 10k+) de faire :
  • Leur métier correctement, et c'est déjà pas toujours gagné
  • Connaître les problème de RGPD
  • Connaitre les problèmes lié à l'export
  • Conntaître les problème lié à la gestion des données
  • Connaître les problématiques de sécurité physique/informatique
  • Les histoires liés à la consommations d'énergie
  • ...


Bref on nous en demande toujours plus en dehors de notre métier et j'ai pas l'impression d'être vraiment supporté en la matière a coup de vidéo de formation toute faite et de "points de contact".

J'attendrais plutôt une vrai solution organisationnelle qui n'étouffe pas non plus les projets sous des mois de bureaucratie avant de pouvoir faire quelque chose.
0  0