Cybersécurité : quand les salariés sont la clé
En 2021, plus d’une entreprise française sur deux a subi au moins une cyberattaque selon le Cesin (Club des Experts de la Sécurité de l'Information et du Numérique). Entreprises de tous secteurs, hôpitaux et collectivités territoriales figurent parmi les acteurs les plus touchés. Le phishing, hameçonnage en français, occupe la première place des méthodes frauduleuses utilisées.
Un manque de sécurité associé au télétravail de masse
Depuis la crise liée au Covid-19, le télétravail est devenu une norme. Une aubaine pour les auteurs de cyberattaques qui profitent de la faible protection des réseaux de chacun. Dans le sillage de la pandémie, les demandes d’assistance ont ainsi cru de 65% en 2021. Parmi les victimes, 60 % des petites entreprises cibles d'une cyberattaque font faillite dans les six mois qui suivent. Fin 2022, Ipsos et Terranova Security signaient une étude qui vient compléter les multiples rapports en la matière. Dédiée aux niveaux de connaissance des actifs, relatifs à la cybersécurité dans les PME et TPE, l’enquête démontre notamment que plus la taille de l’entreprise est petite, plus son taux de protection est faible. Selon Dalila Ben Attia, directrice générale de Terranova Security France, "68% des télétravailleurs déclarent avoir besoin de plus de soutien de la part de leur entreprise pour être en sécurité, notamment en situation de télétravail". Elle constate un manque de matériel, tel que la mise à disposition de VPN, qui va de pair avec des réflexes lacunaires en matière de protection. Car la faible conscience des risques prend son ancrage dans les habitudes personnelles. Pour Anselme Laubier, directeur d’études chez Ipsos et responsable de l’enquête, "les fondamentaux n’y sont pas. Dans la sphère privée, seuls 39% des sondés affirmaient utiliser un mot de passe unique pour chaque compte et 53% ne pas vérifier l’origine des SMS et e-mails non sollicités qu’ils reçoivent."
"La cybersécurité est le fruit d’un travail commun, et les salariés ne savent pas toujours par quel bout prendre le problème"
De l’intérêt de la formation
"La cybersécurité est le fruit d’un travail commun, et les salariés ne savent pas toujours par quel bout prendre le problème", constate Anselme Laubier. Pourtant, certains mécanismes simples ont fait leurs preuves depuis des années. Définir des mots de passes complexes pour chacun de ses comptes, vérifier la fiabilité de l’expéditeur, verrouiller sa station de travail, se méfier des demandes inhabituelles y participent… Mais "pour que le comportement d’un utilisateur change, il est essentiel de répéter le message", indique Dalila Ben Attia, "les bons réflexes en cybersécurité ne sont pas innés, ils s’acquièrent avec le temps". Outre certains préceptes clés, les programmes de formation constituent une étape importante. À condition de respecter les besoins des salariés, avec des contenus courts, ludiques et interactifs. Enfin, une expérience antérieure de cyberattaque représente une plus-value dans l’éducation du personnel. Ainsi, les employés de PME et TPE déjà touchées par un incident sont 7 sur 10 à désormais vérifier l’origine d’un e-mail.
Un aide logicielle
En plus de responsabiliser les salariés, il est également possible de leur fournir des outils d’assistance. Récemment, les solutions de protection de messagerie se sont multipliées. Elles permettent notamment d’éliminer les envois robotisés. Grâce à des technologies basées sur l'intelligence artificielle, ces logiciels assurent une action anti-spam, anti-malware mais également anti-phishing. En 2021, la cybercriminalité aurait coûté plus de 6000 milliards de dollars dans le monde entier.
Léa Pierre-Joseph