Les employés prennent de mauvaises habitudes en matière de sécurité lorsqu'ils travaillent à domicile

Selon le cabinet d'étude Tessian

Les employés prennent de mauvaises habitudes en matière de sécurité lorsqu'ils travaillent à domicile
selon le cabinet d'étude Tessian

La pandémie du Covid-19 a mis les habitudes de travail à rudes épreuves et a forcé la plus grande expérience de télétravail que le monde n’ait jamais connu. Si ce mode de travail a permis aux entreprises de rester plus ou moins productives, Tessian a publié un rapport récemment dans lequel il explique que les employés ont acquis de mauvaises habitudes en matière de cybersécurité en travaillant depuis leur domicile. Le cabinet d'étude indique en effet qu'au moins un employé sur trois a pris de mauvaises habitudes de sécurité en travaillant à distance et que les plus jeunes étaient les "moins soucieux" de la sécurité.

Quels ont été les impacts du télétravail sur la cybersécurité ?

Le travail à domicile a été d'une grande aide aux organisations du monde entier au cours de l'année 2020 qui a été sans doute la période la plus difficile de la crise du Covid-19. Si le retour à la normale se précise progressivement, chaque organisation remodèle désormais sa politique de travail pour être en mesure de gérer efficacement ce type de situation d'urgence à l'avenir. Ainsi, après plus d'un an de travail à distance, presque toutes les entreprises adoptent une structure de travail hybride, permettant aux employés de travailler à domicile ou au bureau. Facebook, Apple, Salesforce, Google, etc., ont tous déjà fait une telle annonce.


Cependant, parallèlement à la montée du télétravail dans le monde, le nombre de violations de données et d'attaques de ransomware a aussi augmenté de façon considérable. À en croire les conclusions du nouveau rapport de Tessian, société spécialisée dans la sécurité des couches humaines, les habitudes qu'adoptent les travailleurs à domicile jouent un rôle important dans cette tendance. À travers une enquête réalisée sur le sujet, Tessian révèle que plus de la moitié des responsables informatiques (56 %) pensent que les employés ont acquis de mauvais comportements en matière de cybersécurité depuis qu'ils travaillent à distance.

En outre, la majorité des professionnels de l'informatique prévoient un pic d'attaques par ransomware et d'escroqueries par phishing ciblées lors de la transition vers le retour au bureau. De même, plus de la moitié (54 %) craignent que le personnel apporte des appareils infectés et des logiciels malveillants sur le lieu de travail. Et leur appréhension semble fondée - 40 % des employés ont déclaré qu'ils prévoyaient de travailler au bureau à partir d'appareils personnels. Par ailleurs, Tessian a observé que plus d'un quart des employés ont peur d'admettre qu'ils ont commis des erreurs qui compromettent la sécurité au travail.

De même, le rapport précise que les jeunes employés sont les plus susceptibles d'admettre qu'ils ont pris des raccourcis en matière de cybersécurité : 51 % des 16-24 ans et 46 % des 25-34 ans déclarent avoir utilisé des solutions de contournement de la sécurité. Le sondage a été réalisé pour Tessian par OnePoll, qui a interrogé 4 000 professionnels en activité et 200 responsables informatiques aux États-Unis et au Royaume-Uni en mai 2021. Voici quelques points clés du rapport publié cette semaine.

Des dirigeants trop optimistes quant au retour au bureau ?

Dans le cadre de l'enquête, Tessian a posé la question suivante : Le retour à un environnement de bureau se traduira-t-il par des pratiques de sécurité plus sûres ? Environ 70 % des responsables informatiques semblent le penser, estimant que le personnel sera plus enclin à suivre les politiques de sécurité de leur organisation en matière de protection et de confidentialité des données lorsqu'il travaille au bureau. Cependant, seuls 57 % des employés sont du même avis.

Les erreurs des employés menacent la cybersécurité

Le rapport estime que les propos des employés sur leurs habitudes en matière de cybersécurité ne sont pas de nature à rassurer les chefs d'entreprise. Tim Sadler, PDG de Tessian, a déclaré : « L'une des conclusions les plus choquantes et les plus alarmantes de l'enquête est le peu de cas que font les employés des erreurs de cybersécurité ». En effet, plus d'un quart des employés admettent avoir commis des erreurs qui ont compromis la sécurité de l'entreprise alors qu'ils travaillaient à domicile - des erreurs dont ils affirment que personne ne sera jamais au courant.

En outre, environ 39 % déclarent que les comportements en matière de cybersécurité qu'ils adoptent lorsqu'ils travaillent à domicile diffèrent de ceux qu'ils adoptent au bureau, la moitié d'entre eux admettant que c'est parce qu'ils ont l'impression d'être surveillés par les services informatiques. Plus encore, seule la moitié d'entre eux ont déclaré qu'ils signalaient toujours au service informatique la réception ou le clic d'un courriel de phishing. La raison ? Sadler a indiqué qu'environ 27 % d'entre eux ont déclaré avoir peur de faire l'objet de mesures disciplinaires ou de devoir suivre une formation plus poussée en matière de sécurité.

Selon Sadler, « c'est [ce comportement des employés] un problème énorme ». Ainsi, il estime que les entreprises doivent comprendre quand et pourquoi les gens font des erreurs afin d'éviter qu'elles ne se transforment en violations de données. Il ajoute que cela n'est pas possible sans visibilité sur le moment et la manière dont ces erreurs se produisent. Cependant, dans un environnement de travail hybride, où les employés sont répartis dans tout le pays et même dans le monde entier, la visibilité du comportement des employés devient plus difficile, mais d'autant plus importante.

Comment se porterait la cybersécurité après le retour ?

En ce qui concerne les inquiétudes liées au retour au travail, 54 % des responsables informatiques craignent que le personnel n'apporte des appareils infectés et des logiciels malveillants sur le lieu de travail. Cette crainte est probablement fondée en raison du nombre d'employés qui prévoient de retourner au bureau avec leurs appareils personnels. La majorité des responsables informatiques (69 %) pensent également que les attaques par ransomware seront plus préoccupantes dans un environnement de travail hybride, les cabinets juridiques et les organismes de santé étant particulièrement inquiets de cette menace.

En sus, environ 67 % d'entre eux prévoient une augmentation des courriels d'hameçonnage ciblés, qui s'ajouteront au nombre croissant d'attaques par hameçonnage auxquelles les organisations sont confrontées. Les responsables informatiques interrogés par Tessian ont également énuméré d'autres inquiétudes quant au retour au bureau. « Le passage à une main-d'œuvre entièrement à distance a été un énorme défi pour les responsables informatiques, mais la prochaine transition vers un modèle de travail hybride devrait être encore plus difficile, en particulier en ce qui concerne le comportement des employés », a prévenu Sadler.

Laprès-Covid : quels conseils pour les dirigeants d'entreprise ?

Sadler a déclaré que les employés sont les gardiens des données et des systèmes, mais attendre d'eux qu'ils soient des experts en sécurité et les effrayer pour qu'ils se conforment ne fonctionnera pas. Le PDG de Tessian estime que les responsables informatiques doivent plutôt donner la priorité à la création d'une culture de la sécurité...