Yubico, spécialiste des clés de sécurité pour l’authentification matérielle, annonce les résultats d’une étude approfondie sur les comportements actuels et l’adaptabilité à la cybersécurité d’entreprise à domicile, la formation des employés et la prise en charge à l’ère du travail hybride au niveau mondial. Dans le cadre de cette étude, 3 006 employés, chefs d’entreprise et cadres supérieurs de grandes entreprises (comptant plus de 250 employés) au Royaume-Uni, en France et en Allemagne ont été interrogés à propos du travail à distance et de l’utilisation d’appareils professionnels.
Les conclusions du rapport fournissent de précieuses informations concernant l’utilisation d’appareils professionnels à des fins personnelles, le partage et la mémorisation des mots de passe professionnels, l’adoption de l’authentification à deux facteurs (2FA) et d’autres mesures de sécurité, ainsi que la façon dont les entreprises y font face. Les données révèlent que, depuis le début de la pandémie, les employés adoptent de mauvaises pratiques en matière de cybersécurité sur les appareils fournis par leur employeur, les chefs d’entreprise et les cadres supérieurs étant les pires élèves. Dans le même temps, les entreprises négligent les meilleures pratiques en matière de cybersécurité qui doivent être appliquées aux environnements extérieurs au bureau. Moins d’un quart des personnes interrogées admettent avoir déployé une authentification 2FA depuis le début de la pandémie et, même dans ce cas, beaucoup utilisent des formes moins sûres et moins conviviales de 2FA, comme les applications d’authentification mobile et les codes d’accès uniques par SMS.
« L'étude montre que de nombreuses organisations sont encore en train de trouver leurs marques dans ces nouveaux environnements de travail, essentiellement virtuels, et si cette flexibilité peut offrir de nouvelles opportunités aux entreprises et aux employés, elles ne doivent pas ignorer les risques croissants de cybersécurité qui en découlent, explique Stina Ehrensvärd, PDG et fondatrice de Yubico. Les acteurs de la menace trouvent des moyens nouveaux et innovants de compromettre les défenses des entreprises, ce qui nécessite des solutions de sécurité modernes comme la YubiKey. Une étude réalisée par Google souligne en effet les avantages notables et le retour sur investissement de l'authentification matérielle YubiKey ainsi que sur le travail de normalisation que nous avons mené. »
Voici les principales conclusions de l’étude :
- 54 % des employés utilisent les mêmes mots de passe sur plusieurs comptes professionnels. 22 % des répondants prennent toujours note de leurs mots de passe, dont 41 % des chefs d’entreprises et 32 % des cadres supérieurs.
- 42 % des personnes interrogées admettent utiliser quotidiennement des appareils professionnels à des fins personnelles lorsqu’elles travaillent à domicile. Parmi celles-ci, 29 % utilisent des appareils professionnels pour effectuer des opérations bancaires et des achats, et 7 % reconnaissent accéder à des services de streaming illégaux.
- Les employés de haut rang figurent parmi les plus mauvais élèves, puisque 44 % des chefs d’entreprise et 39 % des cadres supérieurs admettent exécuter des tâches personnelles sur des appareils professionnels tous les jours depuis qu’ils travaillent à domicile, et près d’un quart (23 %) des chefs d’entreprise et 15 % des cadres supérieurs les utilisent pour du streaming ou du visionnage de télévision illégal.
- Un an après le début de la pandémie et la mise en place de politiques de travail à domicile, 37 % des employés, tous secteurs confondus, n’ont pas encore reçu de formation à la cybersécurité dans le cadre du télétravail, ce qui laisse les entreprises largement exposées à des risques en constante évolution.
- 43 % des employés estiment que la cybersécurité ne relève pas de la responsabilité du personnel, près des deux tiers (60%) jugeant qu’elle doit être gérée par les équipes IT. Cependant, les données suggèrent que les services IT ne répondent pas aux attentes des employés. À peine 37 % d’entre eux ont le sentiment d’être plus soutenus par l’IT que lorsqu’ils travaillaient sur site avec l’équipe de cybersécurité de leur entreprise à leurs côtés.
- Dans le même temps, faute d’une culture de sécurité descendante axée sur la prise en charge, les employés se sentent plus anxieux ou stressés lorsqu’ils sont confrontés à des problèmes informatiques ou de sécurité. Ils sont 51 % à essayer de résoudre eux-mêmes leurs problèmes informatiques au lieu de contacter le service IT, et 40 % de ceux qui ont cliqué sur un lien suspect n’en informeraient pas immédiatement ce dernier.
- Bien que la technologie 2FA constitue la meilleure ligne de défense contre les prises de contrôle de comptes, seuls 22 % des répondants indiquent que leur entreprise l’a instaurée depuis le début de la pandémie.
- Même parmi les organisations qui ont mis en place l’authentification à deux facteurs, seul un peu plus d’un quart (27 %) utilise des clés de sécurité matérielles conformes à la norme FIDO, qui offrent la forme la plus avancée de protection contre le phishing, tandis que les autres s’appuient sur des solutions plus vulnérables et obsolètes, telles que les applications d’authentification mobile (54 %) et les codes d’accès uniques par SMS (47 %).
Principaux chiffres par pays
Au Royaume-Uni :
- Les chefs d’entreprise britanniques sont plus stricts que leurs homologues allemands et français en ce qui concerne l’utilisation d’appareils professionnels à des fins personnelles. En revanche, les employés installés au Royaume-Uni sont plus laxistes : ils sont 20 % de plus à admettre utiliser des appareils professionnels à des fins personnelles lorsqu’ils travaillent à domicile.
- Dans le même temps, les personnes interrogées au Royaume-Uni se sentent moins soutenues par le service IT que celles situées en Europe – mais elles sont également les plus confiantes dans leur propre capacité à repérer les attaques par phishing, 80 % des employés indiquant être en mesure d’identifier une tentative d’intrusion.
- Les principales habitudes des employés pour 2021 :
- 73 % des chefs d’entreprise et 71 % des cadres supérieurs autorisent des tiers à utiliser des appareils professionnels.
- 42 % des répondants se sentent plus exposés aux cybermenaces lorsqu’ils travaillent à domicile, 39 % d’entre eux estiment ne pas être soutenus par le service IT.
- 62 % des personnes interrogées n’ont pas suivi de formation à la cybersécurité dans le cadre du travail à distance.
- S’ils ont cliqué sur un lien suspect au cours de leur travail, 16 % s’en rendent compte par eux-mêmes, tandis que 12 % « demandent à Google ».
- 22 % utiliseraient à nouveau le même identifiant de messagerie professionnelle après une violation de la sécurité, tandis que 31 % partageraient les mots de passe de messagerie professionnelle.
- 62 % préfèrent se faire subtiliser leurs informations d’identification professionnelles plutôt que leurs données personnelles.
- Les appareils professionnels servent principalement aux activités personnelles suivantes : lecture d’articles, 36 % ; administratif, 36 % ; achats, 36 % ; opérations bancaires, 30 % ; médias sociaux, 28 % ; jeux, 15 %.
En France :
Une attitude laxiste à l’égard de la cybersécurité n’est pas l’apanage des employés français, mais certaines de leurs actions et convictions sont préoccupantes.
Parmi les personnes qui espèrent continuer à travailler à distance après la pandémie, 26 % ignorent les mises à jour des logiciels et des systèmes d’exploitation de leurs appareils professionnels. Celles-ci sont pourtant essentielles pour faire barrage aux cybermenaces.
Alors que 59 % des personnes interrogées en France estiment que le service IT devrait être entièrement responsable de la cybersécurité, 63 % d’entre elles pensent que les employés qui travaillent à domicile devraient être davantage impliqués. Seulement 30 % des répondants affirment avoir reçu une formation en matière de sécurité, et 36 % ont le sentiment d’être moins soutenus par le service IT que lorsqu’ils travaillent au bureau.
C’est probablement la raison pour laquelle 48 % des employés tentent de résoudre les problèmes informatiques par eux-mêmes, plutôt que d’en informer le service IT, et ce pourcentage s’élève à 69 % pour les chefs d’entreprise et les cadres supérieurs. Comme nous l’avons vu, cela peut être lié à un excès de confiance dans la détection des attaques de phishing, 67 % des employés français estimant être en mesure d’en identifier une.
Parmi les nouvelles politiques de cybersécurité mises en œuvre depuis le passage au travail à domicile, la moitié des entreprises françaises (50 %) imposent l’utilisation d’un VPN pour accéder au réseau de l’entreprise, 33 % exigent l’utilisation de mots de passe plus forts, tandis que 30 % demandent des mises à jour plus fréquentes des mots de passe. Seuls 19 % prescrivent l’authentification 2FA. Par ailleurs, 57 % des employés français considèrent que les exigences en matière d’authentification unique (Single Sign On – SSO) sont lourdes ou perturbent leur flux de travail ; ce chiffre est de 54 % pour la double authentification.
Parmi les principales habitudes révélées :
- Utilisation d’appareils professionnels à des fins personnelles sur une base quotidienne : pré-Covid, 41 % ; post-Covid, 53 %.
- 37 % des Français indiquent utiliser leurs appareils professionnels à des fins personnelles pour gérer de l’administratif, 35 % pour lire des articles, 27 % pour effectuer des opérations bancaires, 10 % pour des jeux ou encore 10 % pour du streaming illégal.
- Utilisation d’appareils personnels à des fins professionnelles sur une base quotidienne : pré-Covid 30 % ; post-Covid 42 %.
- 78 % des chefs d’entreprises et 70 % des cadres supérieurs autorisent des tiers à utiliser leur appareil professionnel.
- 40 % des employés se sentent plus exposés aux cybermenaces depuis qu’ils travaillent à domicile et 36 % estiment ne pas être soutenus par le service IT.
- 30 % des répondants ont suivi une formation sur la cybersécurité dans le cadre du travail à distance.
- 23 % des répondants mémorisent les mots de passe professionnels en les notant, 14 % utilisent un gestionnaire de mots de passe, 11 % les enregistrent dans un document sur l’appareil tandis que 11 % utilisent le même mot de passe pour plusieurs comptes.
- 23 % des Français utiliseraient à nouveau le même identifiant professionnel après une violation de données et 28 % partagent les mots de passe des e-mails professionnels.
- 67 % des répondants sont sûrs de pouvoir repérer une tentative de phishing.
- 75 % des personnes interrogées préfèrent se faire subtiliser leurs informations d’identification professionnelles plutôt que leurs données personnelles.
En Allemagne :
En Allemagne, certains employés ont adopté une approche plus stricte de la cybersécurité pendant la pandémie.
Alors que l’utilisation d’appareils professionnels à des fins personnelles sur une base quotidienne a globalement augmenté, la proportion de personnes se livrant à cette pratique, qui travaillaient déjà à domicile avant la pandémie, a chuté de 42 % à 34 %, ce qui suggère qu’elles sont plus conscientes du risque accru.
De même que pour l’ensemble des réponses, les chefs d’entreprise ne sont pas à la hauteur en matière de sécurité : un quart des chefs d’entreprise établis en Allemagne admettent avoir utilisé des appareils professionnels pour du streaming illégal.
Seuls 35 % des personnes interrogées déclarent avoir reçu une formation à la cybersécurité de la part de leur employeur. Cela inclut la moitié des cadres supérieurs, mais seulement un quart des employés de premier échelon.
L’application des correctifs est également inadéquate ; les mises à jour importantes sur les appareils professionnels sont fortement négligées : en moyenne, seuls 11 % des répondants tiennent leurs appareils professionnels à jour, un chiffre qui passe à 27 % pour les travailleurs à domicile. En outre, les personnes interrogées en Allemagne sont très confiantes dans leur capacité à repérer une tentative de phishing, 71 % des employés déclarant être très confiants ou assez confiants.
Voici les principales habitudes révélées :
- Utilisation personnelle quotidienne d’appareils professionnels : pré-Covid, 21 % ; post-Covid, 30 %.
- 48 % des Allemands indiquent utiliser leurs appareils professionnels à des fins personnelles pour lire des articles, naviguer sur les médias sociaux (40 %), gérer de l’administratif (34 %), réaliser des opérations bancaires (31 %), des achats en ligne (31 %) ou jouer (19 %).
- Utilisation d’appareils personnels à des fins professionnelles sur une base quotidienne : pré-Covid 19 % ; post-Covid 28 %.
- 90 % des chefs d’entreprise et 65 % des cadres supérieurs autorisent des tiers à utiliser leur appareil professionnel.
- 36 % des répondants se sentent plus exposés aux cybermenaces depuis qu’ils travaillent à domicile et 32 % estiment ne pas être soutenus par le service IT.
- 35 % des Allemands ont suivi une formation sur la cybersécurité dans le cadre du travail à distance.
- En cas de clic sur un lien suspect pendant le travail, 59 % en informent le service IT dès que possible et 18 % « demandent à Google ».
- 23 % des répondants mémorisent les mots de passe professionnels en les notant, 21 % utilisent un gestionnaire de mots de passe, 12 % les enregistrent dans un document sur l’appareil et 8 % utilisent le même mot de passe pour plusieurs comptes.
- 21 % utiliseraient à nouveau le même identifiant professionnel après une violation de données.
- 69 % ne partagent jamais les mots de passe des e-mails professionnels.
- 71 % sont sûrs de pouvoir repérer une tentative de phishing.
- 63 % préfèrent se faire subtiliser leurs informations d’identification professionnelles plutôt que leurs données personnelles.
Méthodologie
L’enquête a été menée par le cabinet d’études indépendant Censuswide auprès de 3 006 employés de grandes entreprises (plus de 250 employés) au Royaume-Uni, en France et en Allemagne entre le 19 février 2021 et le 3 mars 2021. Ces employés ont été amenés à travailler à domicile à un moment ou un autre et disposent d’un appareil fourni par leur employeur.
Censuswide respecte les directives et emploie des membres de la Market Research Society qui se fonde sur les principes de l’ESOMAR.
À propos de Yubico
Yubico met au point les nouveaux standards pour un accès simple et sécurisé aux ordinateurs, appareils mobiles, serveurs et comptes Internet. Grâce à sa Yubikey, Yubico propose une protection matérielle solide, d’un simple toucher, sur un nombre illimité de systèmes informatiques et de services en ligne. Le YubiHSM, module de sécurité matérielle ultraportable de Yubico protège les données sensibles stockées dans les serveurs.
Source : Yubico
Et vous ?
Trouvez-vous cette étude pertinente ou pas ?
Comment décririez-vous le comportement du personnel au sein de votre organisation par rapport à la sécurité des données de l'entreprise ?
Voir aussi :
89 % des RSSI pensent que les microservices, les conteneurs et Kubernetes ont créé des angles morts en matière de sécurité des applications, selon une récente étude de Dynatrace
Censuswide : près de la moitié des victimes de ransomware sont à nouveau touchées par le même attaquant, après avoir payé la première rançon
Plus de 75 % des données volées contiennent des informations à caractère personnel, d'après une étude de la société de cybersécurité Imperva