Le facteur humain : le plus grand risque en matière de sécurité informatique

Attaques de phishing, courriels contaminés par des virus et des chevaux de Troie, ingénierie sociale et failles de sécurité dans les logiciels – la liste des attaques numériques est longue. Tout comme les possibilités de défense. Mais en fin de compte, dans de nombreux cas, un seul facteur décide si une attaque de système peut être évitée ou non : l’être humain. Le comportement humain est le porteur de risques et la première cause de dommages en matière de sécurité informatique.

Selon une étude de VMware, 56 % des décideurs informatiques estiment que les employés sont peu sensibilisés et peu informés en matière de sécurité informatique. Onze pour cent des employés déclarent qu’ils violeraient les politiques de sécurité de l’entreprise afin de pouvoir faire leur travail efficacement. Selon les médias, les erreurs commises par les employés sont responsables de plus de la moitié des problèmes de sécurité informatique.

La raison ? Kevin Mitnick, anciennement le pirate informatique le plus recherché des États-Unis et aujourd’hui expert en ingénierie sociale, résume la situation : les gens peuvent être dupés. La curiosité, la crédulité et l’insouciance ouvrent la porte des zones sensibles aux cybercriminels. Une infrastructure informatique mal protégée, des logiciels qui offrent des possibilités d’exploitation ou d’autres vulnérabilités techniques sont problématiques pour les entreprises. Cependant, le facteur humain est considéré comme le maillon faible de nombreuses attaques de ces dernières années et a participé à la création des failles de sécurité en question et le fait encore aujourd’hui.

Il est urgent de dispenser une éducation à la sécurité informatique et de trouver de nouveaux moyens de sensibiliser efficacement les employés. Ceux qui veulent créer une sensibilisation à la sécurité dans l’entreprise doivent « emmener » leurs employés, les former et les sensibiliser en permanence.

Les employés doivent identifier et se défendre contre les menaces

Les mesures de protection à prendre doivent être aussi complètes que possible. Les mesures individuelles ne fournissent qu’une protection superficielle. Tous les employés doivent être capables de reconnaître de telles attaques. Une sécurité d’entreprise réussie passe donc aussi par des utilisateurs capables de reconnaître les menaces et de s’en défendre avec du bon sens et des connaissances et compétences solides. Les directives organisationnelles formelles, la gestion des mots de passe, les bulletins d’information internes, les dépliants ou les formats de conférence et de formation éprouvés sont des moyens bien connus de sensibilisation à la sécurité informatique. Les formats interactifs, tels que les jeux de simulation ou les « matchs », constituent un complément utile. Ceux qui font l’expérience directe du danger que peut représenter leur propre comportement traverseront la vie quotidienne avec des yeux plus ouverts à l’avenir.

Les employés doivent être largement sensibilisés à la question de la sécurité informatique, une sensibilisation qui va au-delà des aspects techniques et des mesures organisationnelles telles qu’une personne de contact permanente pour la sécurité informatique. Toutefois, le tact est également de mise ici. Une culture de la peur, faite de règlements et d’interdictions, n’est utile à personne ; elle ne fait que renforcer le sentiment d’insécurité. C’est une question d’équilibre dans l’interaction entre la culture d’entreprise et la culture de sécurité. L’astuce consiste à promouvoir efficacement les actions axées sur la sécurité et à sensibiliser aux risques. Et de le faire parmi les personnes dans les organisations.

Protégez vos données d’entreprise en déplacement