75% des employés ont du mal à identifier les bonnes pratiques et les comportements adéquats en matière de protection des données et de cybersécurité selon une étude récente (1).
Dans tous les domaines mesurés, les résultats sont moins bons que pour l'année 2017. Les domaines qui connaissent une détérioration accrue sont : la capacité à identifier les signes avant-coureurs d'une infection par malware, la détection d’une attaque de phishing et une utilisation sécurisée des réseaux sociaux. Les employés occupant des positions plus importantes dans la hiérarchie ont aussi en général plus de pratiques risquées que les employés moins expérimentés.
Le domaine de la finance est le plus critique. 85% des employés ont des lacunes notables en protection des données et en cybersécurité selon cette même étude. Un chiffre ô combien important du fait de leur statut d'OIV (Opérateur d'Importance Vitale). Ce secteur – qui fait partie de ceux qui doivent être les mieux protégés – est selon cette étude celui où les employés sont le moins éduqué aux bonnes pratiques en matière d'hygiène informatique. Une majorité des investissements massifs du secteur dans la cybersécurité l'est dans des solutions technologiques. La sensibilisation et la formation des employés sont très peu priorisées par le secteur, d'où la hausse des attaques malgré les moyens mis en œuvre.
Le phishing notamment est particulièrement préoccupant étant donné que c'est une porte d'entrée très simple pour des attaquants malveillants. Une seule personne cliquant sur une pièce-jointe infectée peut potentiellement faire courir des risques à l'intégralité du système d'information de l'entreprise. Le vecteur de risque est donc avant tout humain. En effet, le phishing ne disparaît pas avec une solution antivirus onéreuse, c'est la prise de conscience et la sensibilisation des collaborateurs qui permettra de contrer ce type d’attaque, ciblée ou non.
L’importance critique de la protection contre le phishing est à analyser à l’aune d’une étude de Verizon sur les fuites de données, selon laquelle 92% des logiciels malveillants sont administrés par l’envoi d’emails. Selon les décideurs en SSI, le phishing reste le principal problème auquel ils doivent faire face encore aujourd’hui.
L'étude a ensuite classé les répondants en trois catégories :
Risques : ceux dont les pratiques sont risquées pour leur entreprise, ils représentent les trois quarts des salariés interrogés.
Novice : ceux ayant une bonne hygiène informatique de base mais qui gagnerait à aller plus loin, ils représentent 15% des employés.
Héro : Ceux qui participent activement à la sécurisation des données de l'entreprise et qui sont une force pour celle-ci, moins de 10% des salariés font partie de cette catégorie.
Le coût moyen d'une fuite de données atteignant les 4 millions de dollars, les entreprises ne peuvent plus considérer la cybersécurité et la protection de leurs données comme des objectifs de second plan. Malgré cela, l'approche reste souvent relativement amatrice et la cybersécurité est aujourd'hui vu par de nombreux managers comme une entrave à leur liberté. Ce chiffre peut paraître faramineux, mais selon certains calculs, le coût moyen d’une fuite de données pourrait atteindre 150 millions de dollars d’ici 2020.
Les résultats de cette étude montrent que la situation s'est dégradée en un an, résultat inattendu du fait des nombreuses fuites de données qui ont monopolisé l'actualité en 2018 (Facebook, Google+, British Airways, MyFitnessPal, etc.). Ces différents faits divers ne suffisent apparemment pas à générer une prise de conscience chez les dirigeants des grandes entreprises.
La problématique n’est pas d’investir dans des logiciels coûteux ou des solutions clés en main. La principale faille d’un système d’informations est sa composante humaine. Sans une formation adéquate des employés, et des procédures claires à suivre, ce phénomène sera toujours en hausse. La meilleure porte d’entrée dans un SI reste l’ingénierie sociale. Autrement dit, les failles psychologiques et les biais cognitifs des individus sont utilisés pour les pousser à cliquer sur un lien dangereux ou divulguer des informations confidentielles.
Les bonnes pratiques en la matière sont notamment disponibles dans le MOOC de l'ANSSI qui est une très introduction en la matière, ainsi que le guide d’hygiène de l’ANSSI reprenant la majorité des points traités dans le MOOC.
Ayoub Fandi
Membre du Club Cyber de l'AEGE
(1) « 2018 State of Privacy and Security Awareness Report », Media Pro, 2018