D’après une récente étude menée par IDC France, 70% des entreprises de plus de 500 salariés ont augmenté leurs investissements dans la cybersécurité contre 45% en 2020. Cette augmentation des dépenses va de pair avec l’augmentation massive du nombre de cyberattaques qui impose aux entreprises de travailler sur deux volets : la sécurisation du SI et la sensibilisation des employés. Si le premier est dans l’ensemble bien géré, le second donne du fil à retordre à la DSI. Preuve en est, 90% des cyberattaques réussies sont dues à une erreur humaine malgré les actions de sensibilisation menées. Et voici les principales raisons pour lesquelles elles échouent : 

Parce que la sensibilisation travaille la connaissance et non les réflexes

La formation est l’un des principaux moyens utilisés par les entreprises pour sensibiliser leurs collaborateurs à la cybersécurité. Aussi pertinente et ludique soit-elle, elle rencontre néanmoins deux limites. 

La première, c’est qu’elle repose sur l’acquisition de connaissances. Or nous pouvons le constater dans la vie quotidienne, la simple possession de connaissances ne permet pas toujours de prendre une décision éclairée au moment T. Il y a une vraie distinction à établir entre le fait de connaître quelque chose et avoir l’habitude de réagir face à cette chose. En cas d’incendie électrique par exemple, 1 personne sur 3 aura tendance à jeter son verre d’eau à portée de main sur les flammes alors qu’on le sait, l’apport d’eau ne fait qu’attiser le feu électrique. Face à une situation de stress intense, notre cerveau peut alors court-circuiter la logique, oublier les connaissances et ne réagir que par reflexe émotionnel ou intuitif. 

La deuxième limite de la formation, c’est notre capacité à la mémoriser. La courbe de l’oubli mise en évidence par le philosophe allemand Hermann Ebbinghaus démontre que l’on perd plus de 50% de l’information mémorisée après seulement deux jours puis la totalité au bout d’un mois. Le micro-learning est une approche plus efficace dans la mesure où l’information est moins dense et répétée plusieurs fois dans le temps. 

Parce que les mauvaises habitudes des employés ont la vie dure

Le manque d’intérêt pour les sujets cyber et l’absence de méfiance liée au contexte professionnel peuvent entraîner des comportements négligents chez les employés. Parmi les mauvaises habitudes les plus fréquentes on trouve : 

  • La faiblesse des mots de passe : de nombreux utilisateurs se contentent de changer un seul caractère lors de la réinitialisation de mots de passe et/ou utilisent les mêmes mots de passe dans le domaine privé ou professionnel 
  • L’ouverture de pièces-jointes ou le clic sur des liens malveillants 
  • L’absence de mises à jour régulières des appareils ou logiciels 
  • La connexion aux données de l’entreprise via des points d’accès wifi publics 
  • Le mélange des usages privés et professionnels sur les devices 
  • L’absence de vigilance lors de la navigation web 

Parce qu’il y a une méconnaissance des risques et des responsabilités

Les salariés ne mesurent pas toujours les risques qu’ils font encourir à leur entreprise et ne sont pas toujours conscients de leur propre responsabilité. Les risques engendrés par une cyberattaque peuvent être graves (pertes financières, interruption de l’activité, perte de données sensibles, mauvaise réputation de l’entreprise…) et une procédure disciplinaire, voire une poursuite pénale, peuvent éventuellement être engagées.  

L’objectif n’est bien sûr pas de sensibiliser les collaborateurs par la peur, mais de leur rappeler que la cybersécurité n’est plus la seule responsabilité du département informatique : elle est l’affaire de tous.  

Parce que les attaques de phishing sont de plus en plus sophistiquées

Non seulement les attaques de phishing sont en constante augmentation (elles étaient en hausse de 61% entre 2021 et 2022), mais elles sont également de mieux en mieux élaborées. Plutôt que d’inonder un grand nombre d’utilisateurs avec une communication générique, les hackeurs ciblent un nombre restreint d’utilisateurs et jouent sur la personnalisation du message : on parle alors de spearphishing.  

Cette variante du phishing consiste à exploiter les techniques d’ingénierie sociale, comme les biais cognitifs, pour manipuler les cibles et les faire agir selon un scénario qui repose toujours sur deux arguments : c’est urgent et confidentiel. Parmi les biais cognitifs les plus utilisés on peut citer : 

  • le biais de familiarité, qui nous pousse à faire confiance à des personnes auxquelles nous avons déjà été présentées. Un hackeur peut par exemple se présenter au téléphone comme un organisme de formation et envoyer un mail de phishing quelques minutes plus tard à l’utilisateur. Ce dernier, parce qu’il se souviendra de l’échange et aura l’impression de connaître l’interlocuteur, cliquera sur le lien du mail sans se méfier. 
  • le biais d’autorité, qui nous pousse à faire confiance de manière aveugle à des personnes généralement haut placées. Dans ce cas, un hackeur peut se faire passer pour le directeur d’une entreprise et demander à la DAF d’effectuer un virement urgent pour un client.  

Parce que les risques sont accrus avec le télétravail

Le recours massif au télétravail pendant et après le Covid-19 a entraîné une explosion des attaques informatiques. L’adoption rapide de ce nouveau mode de travail a contraint les DSI à s’adapter encore plus rapidement à la mobilité des collaborateurs en renforçant la sécurisation des réseaux et des données et en mettant en place des solutions de gestion de la mobilité (EMM). 

Malgré tout, le risque 0 n’existe pas et certaines mauvaises habitudes des utilisateurs continuent de représenter un risque. On pense typiquement aux utilisateurs qui mélangent encore trop souvent les usages et les appareils professionnels et personnels, qui réalisent par exemple des achats ou des téléchargements sur l’ordinateur de l’entreprise ou qui, inversement, stockent des données de leur organisation sur leur ordinateur personnel.

Que faire alors ?

Chez HELPLINE, nous sommes très conscients de ces 5 raisons qui rendent la sensibilisation classique à la cybersécurité insuffisante. Nous entendons régulièrement de la bouche des RSSI de nos clients : « Nous avons le bon message, mais c’est le canal de communication à l’utilisateur qui manque d’efficacité. ». Ce à quoi ils ajoutent : « Nous sommes inaudibles par mail ou sur des formations uniques et ponctuelles. ».  
 
Notre réponse est alors simple. Puisqu’il s’agit d’accompagner l’utilisateur sur ses réflexes au quotidien plutôt que sur sa connaissance une fois par an, puisqu’il s’agit de régularité, de répétabilité et de messages personnalisés, qui de mieux que le Service Desk pour le faire ?  
 
1 – Nos Services Desks parlent au maillon faible de l’entreprise : les utilisateurs qui ont le plus besoin d’aide informatique sont aussi ceux qui sont les plus vulnérables en termes de risque Cyber. 

2 – Nos Services Desks savent par définition être spécifiques car nous savons à qui nous nous adressons. Nous pouvons donc par défaut personnaliser le message en fonction de ses enjeux et de ses risques d’attaque. 

3 – Nos Services Desks sont outillés et leur activité traçable de fond en comble. Les cyber-assurances ou organismes certificateurs ont besoin de preuves ou de statistiques précises ? Tout est suivi et reparti par département ou par population d’utilisateurs.  
 
Si vous souhaitez en savoir plus sur notre offre et que nous réalisions un premier diagnostic ensemble :