La distraction et le manque de formation à la sécurité sont les principales raisons pourquoi les employés sont victimes de cyberattaques, plutôt que la sophistication des attaques elles-mêmes, d'après KnowBe4Une nouvelle étude de KnowBe4 montre que la distraction (43 %) et le manque de formation à la sécurité (41 %) sont identifiés comme les principales raisons pour lesquelles les employés sont victimes de cyberattaques, plutôt que la sophistication des attaques elles-mêmes. Près de 90 % des personnes interrogées se disent confiantes dans leur capacité à répondre aux cyberattaques, ce qui semble incompatible avec la fréquence des violations et les vulnérabilités connues. Cette confiance excessive peut être considérée comme un risque en soi.
Les humains représentent la plus grande faille de sécurité. Selon un rapport de Mimecast en 2024, 74 % des cyberattaques sont dues à des facteurs humains, notamment à des erreurs, au vol d'informations d'identification, à l'utilisation abusive de privilèges d'accès ou à l'ingénierie sociale. Plus des deux tiers pensent que les employés mettent l'organisation en danger par l'utilisation abusive du courrier électronique, le partage excessif d'informations de l'entreprise sur les médias sociaux et la navigation négligente sur le web.
Récemment, les professionnels de la cybersécurité ont tiré la sonnette d'alarme, non pas au sujet des cybermenaces de plus en plus sophistiquées, mais au sujet d'un facteur beaucoup plus humain : la distraction. Une nouvelle étude de KnowBe4 montre que la distraction (43 %) et le manque de formation à la sécurité (41 %) sont identifiés comme les principales raisons pour lesquelles les employés sont victimes de cyberattaques, plutôt que la sophistication des attaques elles-mêmes.
Le phishing reste la principale menace (74 %), l'usurpation d'identité de cadres ou de collègues de confiance étant la tactique la plus courante. Les menaces générées par l'IA ne sont pas encore dominantes, mais les craintes concernant leur augmentation sont de plus en plus vives. 60 % des organisations craignent l'augmentation des menaces générées par l'IA, ce qui suggère qu'elles se préparent à faire face aux menaces futures tout en continuant à gérer les risques humains actuels.
L'étude révèle que 65 % des organisations prévoient d'augmenter leur budget consacré à la cybersécurité, les principaux domaines d'investissement étant la sécurité des e-mails et la formation à la sensibilisation à la sécurité. Cependant, il existe un décalage entre l'efficacité perçue des outils basés sur l'IA (32 % pensent qu'ils ont le plus grand impact) et leur priorité en matière de financement (26 %).
Près de 90 % des personnes interrogées se disent confiantes dans leur capacité à répondre aux cyberattaques, ce qui semble incompatible avec la fréquence des violations et les vulnérabilités connues. Cette confiance excessive peut être considérée comme un risque en soi.
« Le cyber-risque ne concerne pas seulement les technologies de pointe, mais aussi la bande passante humaine et la charge cognitive du monde du travail numérique actuel, qui évolue à un rythme effréné », explique Javvad Malik, responsable de la sensibilisation à la cybersécurité chez KnowBe4. « Les résultats soulignent qu'il est essentiel de combler le fossé entre la valeur perçue et l'investissement dans la gestion intégrée des risques humains. La confiance excessive, qui constitue un risque en soi, souligne encore davantage la nécessité de valider les défenses et d'aider les employés à prendre des décisions sûres malgré les distractions, en particulier alors que nous nous préparons à la vague croissante de menaces générées par l'IA. »
Ce rapport confirme les conclusions de l'enquête de CyberArk fin 2024, qui a révélé que 65 % des employés de bureau ont admis contourner les politiques de sécurité de l'entreprise au nom de l'efficacité. L'étude avait montré que les employés pratiquant ce genre de comportement mais qui accèdent à des données sensibles et à des privilèges, exposent leur entreprise à différents dangers. Une autre étude de CyberArk avait indiqué comment l’historique en ligne d’un individu peut constituer une menace pour son employeur comme pour sa vie privée.
Source : Rapport de KnowBe4
Et vous ?
Pensez-vous que ce rapport est crédible ou pertinent ? Quel est votre avis sur le sujet ?Voir aussi :
86 % des employés pensent pouvoir identifier avec certitude les courriels de phishing, mais près de la moitié d'entre eux sont tombés dans le piège Trois conseils pour optimiser la formation sur la cybersécurité dispensée par votre entreprise, par Chrystal Taylor, Head Geek, SolarWinds L'erreur humaine est responsable de 80 % des violations de données signalées en 2021. Chiffre en baisse par rapport à 90 % en 2020, selon CybSafe
Vous avez lu gratuitement 535 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
