Lorsque les collaborateurs deviennent insensibles aux conseils en matière de sécurité, les équipes informatiques doivent pouvoir être réactives et trouver des solutions pour continuer à protéger l’entreprise des cyberattaques. Benoit Grunemwald, expert en cybersécurité chez Eset France, rappelle les signes révélateurs d’une lassitude de la cybersécurité et comment lutter contre ce phénomène.
Avec l’augmentation des cyber-risques, l’expansion des attaques et la cybercriminalité en pleine croissance, les équipes de sécurité sont naturellement désireuses de limiter les dommages que leurs collègues pourraient causer. En effet, il suffit d’un clic involontaire pour déclencher l’infiltration d’un raçongiciel potentiellement dévastateur. Lorsque le fardeau pesant sur les collaborateurs devient trop lourd, ceux-ci peuvent réagir de manière inattendue, ce qui augmente le cyber-risque dans l’entreprise. Ce phénomène de « lassitude envers la sécurité » peut conduire dans le pire des cas à un comportement imprudent et impulsif. Pour y faire face, la sécurité doit être plus transparente, en limitant le nombre de décisions que les utilisateurs doivent prendre, et en rééquilibrant la protection et la productivité en vue du nouveau monde du travail hybride.
LES SIGNES RÉVÉLATEURS
• Une prise de risque plus importante avec les e-mails d’hameçonnage : par exemple en ouvrant des pièces jointes ou en cliquant sur des liens qui semblent intéressants.
• Une mauvaise gestion des mots de passe, par exemple en réutilisant des identifiants faibles sur plusieurs comptes (selon une étude récente, 43 % des employés admettent partager leurs identifiants.
• La connexion à des réseaux d’entreprise sans utiliser de VPN, bien que cela ne puisse pas toujours être possible dans certaines entreprises.
• L’utilisation de points d’accès WiFi publics non sécurisés lors de leurs déplacements pour se connecter à des comptes d’entreprise sensibles.
• Une mauvaise mise à jour régulière de leurs appareils (une étude du cabinet EY [ex-Ernst & Young] affirme que les employés de la génération Z et de la génération Y sont beaucoup plus susceptibles que leurs collègues plus âgés d’ignorer la nécessité d’appliquer des correctifs).
• La signalisation non immédiate des incidents à leurs responsables ou au service informatique : la même étude d’EY révèle que près d’un cinquième (16 %) des employés essaieraient de traiter une faille présumée par leurs propres moyens, plutôt que d’avertir quelqu’un d’autre.
•L’utilisation des appareils professionnels à des fins personnelles, y compris pour des activités à risque comme les téléchargements sur Internet, les jeux et les achats en ligne (une autre étude affirme que la moitié des employés considèrent désormais leur appareil de travail comme leur propriété personnelle).
• Le contournement de la sécurité par d’autres moyens : un autre rapport révèle que 31 % des employés de bureau âgés de 18 à 24 ans ont essayé de contourner la politique de sécurité.
Comment lutter contre la lassitude envers la sécurité
Le passage rapide et à grande échelle au télétravail en 2020 a déclenché une réaction impulsive dans de nombreuses entreprises. Les équipes informatiques ont cherché à limiter leur exposition aux risques en imposant de nouvelles règles contraignantes à leurs collaborateurs. Il est aujourd’hui temps de revoir ces restrictions, afin de réduire le risque de lassitude à l’égard de la sécurité. Comment ? En écoutant les utilisateurs finaux pour mieux comprendre comment la sécurité affecte les flux de travail et perturbe la productivité. En essayant de concevoir des politiques qui permettent de mieux équilibrer les besoins des collaborateurs et la nécessité de minimiser les cyber-risques. En limitant le nombre de décisions que les utilisateurs doivent prendre en matière de sécurité : il peut s’agir de l’application automatique de correctifs, de l’installation de logiciels de sécurité et de l’administration à distance des ordinateurs portables et des appareils, avec en plus l’utilisation de services de détection et de traitement en arrière-plan afin de contenir les menaces lorsqu’elles percent les défenses du réseau. Il est possible aussi de renforcer la sécurité des mécanismes d’identification tout en réduisant les efforts, grâce à des gestionnaires de mots de passe, l’authentification biométrique en second facteur et l’authentification unique (SSO).
Créer une culture d’entreprise de la sécurité
Dans tous les cas, il faudra éviter de bombarder les utilisateurs avec un trop grand nombre de messages relatifs à la sécurité. Enfin, on peut rendre les formations de sensibilisation à la sécurité plus ludiques, en utilisant de courtes (dix à quinze minutes) sessions avec des simulations en conditions réelles pour modifier les comportements. Pour que la sécurité soit efficace, il est nécessaire de créer une culture dans laquelle chaque collaborateur comprend le rôle crucial qu’il joue dans la protection de l’entreprise et souhaite activement jouer son rôle. Ce genre de culture peut prendre du temps à se construire, mais commence invariablement par la compréhension des causes de la lassitude à l’égard de la sécurité et leur remédiation.