Une étude publiée par KnowBe4 montre que 75 % des professionnels de la sécurité ont vu des employés adopter des comportements risqués au travail et que 62 % admettent avoir eux-mêmes des comportements risqués.L'enquête Infosecurity Europe 2024 de KnowBe4 a recueilli des informations sur les questions de cybersécurité qui sont au cœur des préoccupations des professionnels de la sécurité. Cette étude s'est penchée sur les comportements à risque observés sur le lieu de travail, ainsi que sur les types de comportements à risque que les professionnels de la sécurité ont admis avoir commis.
Les résultats de l'enquête montrent que les trois quarts (75 %) des professionnels de la sécurité ont vu des employés adopter des comportements à risque sur leur lieu de travail.
Les comportements à risque observés par les professionnels de la sécurité sur le lieu de travail comprennent l'utilisation de services de divertissement ou de streaming, plus de la moitié d'entre eux (51 %) déclarant avoir été témoins de cette habitude. Parmi les autres comportements repérés figurent le partage d'informations personnelles (44 %), l'utilisation de la GenAI au sein de l'organisation (38 %), l'utilisation de supports amovibles non autorisés comme les clés USB (37 %), l'ouverture de pièces jointes malveillantes dans les courriels (36 %) et l'utilisation de sites de jeux d'argent sur le lieu de travail (35 %).
« La nature multiforme des défis de cybersécurité auxquels sont confrontées les organisations apparaît clairement à la lecture des résultats de l'enquête », déclare Javvad Malik, principal défenseur de la sensibilisation à la sécurité chez KnowBe4. « Alors que les avancées technologiques comme l'IA et les deepfakes présentent de nouveaux risques, le facteur humain reste une pièce essentielle du puzzle de la cybersécurité et s'attaquer à ces comportements à risque est impératif dans les lieux de travail d'aujourd'hui. »
Les résultats ci-dessus concernent les comportements à risque en matière de sécurité, adoptés par des employés n'appartenant pas au secteur de la sécurité.
Fait alarmant, près des deux tiers (62 %) des professionnels de la sécurité ont admis avoir eux-mêmes adopté le même type de comportement à risque.
Les types de comportements à risque adoptés par les professionnels de la sécurité sur le lieu de travail comprennent l'utilisation de services de divertissement ou de streaming (33 %), l'utilisation de la GenAI au sein de l'organisation (31 %), le partage d'informations personnelles (14 %), l'utilisation de sites web de jeux d'argent ou de hasard au travail (10 %) et l'utilisation de sites web de divertissements pour adultes (2 %).
« Si l'on considère que la majorité des atteintes à la sécurité dans le monde (68 %) sont dues à des actions humaines non malveillantes, telles que des erreurs ou une vulnérabilité aux attaques d'ingénierie sociale, un mauvais comportement en matière de sécurité peut manifestement exposer les organisations à des cybermenaces, ce qui souligne le rôle essentiel d'une formation efficace en matière de sensibilisation à la sécurité. », déclare Javvad Malik.
M. Malik rajoute :
Les organisations doivent rester à l'écoute des dernières tendances et innovations en matière de cybersécurité, en investissant dans des technologies et des stratégies de pointe pour garder une longueur d'avance sur l'évolution des menaces.
Toutefois, ces résultats montrent que les comportements à risque sur le lieu de travail restent un problème sérieux, ce qui témoigne d'une faible culture de la sécurité. Pour cultiver une solide culture de la sécurité, il ne suffit pas d'éduquer le personnel sur les cybermenaces. En leur apprenant à réagir et à identifier les menaces, ainsi qu'à identifier les comportements à risque et à en expliquer les raisons, on contribue à la prévention de ces comportements et on renforce la protection de l'organisation. La culture de la sécurité exige un changement d'attitude, de comportement, d'approche et de perception des responsabilités. Il doit s'agir d'une priorité à l'échelle de l'organisation si l'on veut obtenir un changement visible.
Pour naviguer dans ce paysage complexe, les organisations doivent donner la priorité au développement d'une solide culture de la sécurité, où la cybersécurité est ancrée dans le tissu de l'organisation et où chacun joue un rôle dans le maintien d'un environnement sécurisé. Cela implique de responsabiliser les professionnels de la sécurité, de fournir une formation efficace et de favoriser une communication et une collaboration ouvertes à tous les niveaux de l'organisation. Une formation et un accompagnement adéquats permettent de réduire le risque humain qui existe dans toutes les organisations et de protéger non seulement les organisations, mais aussi les employés contre la cybercriminalité.
KnowBe4, fournisseur de la plus grande plateforme de formation à la sensibilisation à la sécurité et de simulation d'hameçonnage au monde, est utilisée par plus de 65 000 organisations dans le monde entier. Fondée par Stu Sjouwerman, spécialiste des technologies de l'information et de la sécurité des données, KnowBe4 aide les organisations à aborder l'élément humain de la sécurité en les sensibilisant aux ransomwares, à la fraude des PDG et à d'autres tactiques d'ingénierie sociale grâce à une approche nouvelle de la formation à la sensibilisation à la sécurité.
Le regretté Kevin Mitnick, spécialiste de la cybersécurité de renommée internationale et Chief Hacking Officer de KnowBe4, a contribué à la conception de la formation KnowBe4 en s'inspirant de ses tactiques d'ingénierie sociale bien documentées. Des dizaines de milliers d'organisations comptent sur KnowBe4 pour mobiliser leurs utilisateurs finaux en tant que dernière ligne de défense et font confiance à la plateforme KnowBe4 pour renforcer leur culture de la sécurité et réduire les risques humains.
Source : KnowBe4
Et vous ?
Quel est votre avis sur le sujet ? Trouvez-vous les conclusions de cette étude de KnowBe4 crédibles ou pertinentes ?Voir aussi :
74 % des cyberattaques sont causées par des facteurs humains, notamment des erreurs, le vol d'informations d'identification, l'utilisation abusive de privilèges d'accès ou l'ingénierie sociale La majorité des entreprises ne sont pas préparées aux menaces internes, seuls 21 % des répondants déclarent avoir mis en place un programme opérationnel de lutte contre les menaces internes 
