Les salariés adoptent des comportements risqués susceptibles de mettre en péril la sécurité numérique de leur entreprise, et ce bien qu’ils aient conscience des dangers. C’est ce que révèle une enquête internationale réalisée auprès de plus de 8000 salariés.
ThycoticCentrify, fournisseur de solutions de sécurité des identités dans le cloud issu de la fusion des leaders de la gestion des accès à privilèges (PAM, Privileged Access Management) Thycotic et Centrify, a commandé au cabinet indépendant d’études de marché Sapio Research la réalisation d’une enquête auprès de salariés à travers le monde, afin de découvrir si ceux-ci observent les bonnes pratiques en matière de cybersécurité.
Les résultats de cette enquête sont d’autant plus préoccupants sur fond de travail à distance ou hybride. En effet, 79 % des participants (77% en France) déclarent s’être livrés à au moins une activité à risque l’an dernier. 35 % d’entre eux (29% en France) ont ainsi enregistré des mots de passe dans leur navigateur, à peu près autant (32 %) ont utilisé le même mot de passe pour accéder à plusieurs sites et 23 % (18% en France) ont connecté un appareil personnel au réseau de leur entreprise.
Bien que la quasi-totalité des participants à l’enquête (98 %)* soient conscients du risque présenté par des actions individuelles telles qu’un clic sur des liens provenant de sources inconnues ou la communication d’identifiants à des collègues, seuls 16 % d’entre eux (13% en France) jugent leur entreprise très exposée au danger d’une cyberattaque.
Joseph Carson, Chief Security Scientist et RSSI consultatif chez ThycoticCentrify, commente : « Les professionnels de la cybersécurité savent comment leurs collègues devraient se comporter pour assurer la protection de leurs équipements et de l’entreprise dans son ensemble. Mais leur message passe-t-il ? »
« Nous exhortons donc les employeurs à redoubler d’efforts pour encourager parmi leur personnel les meilleures pratiques possibles dans le domaine de la sécurité numérique et lui rappeler les risques pour leur réseau. Une attaque de ransomware ou un piratage de grande ampleur a de lourdes conséquences qui peuvent durer des années. Chaque entreprise doit mettre en place des processus de sécurité et faire en sorte qu’ils trouvent un écho auprès de ses salariés. »
A peine 44 % des participants (30% en France) à l’enquête ont reçu une formation à la cybersécurité l’an dernier, c’est-à-dire que plus de la moitié des salariés interrogés ont été livrés à eux-mêmes face au paysage redoutable des menaces que crée le télétravail. Les petites entreprises sont les moins nombreuses à avoir dispensé ce type de formation à leur personnel l’an dernier.
« Le travail à distance ou hybride pose également un problème particulier en matière de sécurité, par conséquent les entreprises doivent veiller à inculquer les bonnes pratiques à leurs collaborateurs où qu’ils travaillent », ajoute Joseph Carson.
Les salariés sont plus enclins à juger élevé le cyberrisque pour leur entreprise (55 % contre 43 %) s’ils ont bénéficié d’une formation, signe qu’ils comprennent mieux les risques.
Sachant qu’il est dangereux pour leur entreprise de cliquer sur des liens provenant de sources inconnues, seuls 16 % des participants (13% en France) à l’enquête estiment que celle-ci est très exposée aux cyberattaques, une proportion contredite par les 79 % de salariés interrogés (76% en France) qui ont observé une augmentation du nombre de messages frauduleux et de phishing l’an passé.
Autres résultats marquants ! :
Les salariés des PME sont les moins susceptibles d’avoir reçu une formation à la cybersécurité l’an dernier.
Près de la moitié (47 %) des participants travaillant dans des entreprises de plus de 5000 salariés ont suivi une formation au cours des 12 derniers mois, contre 20 % dans les entreprises de moins de 10 salariés et 32 % dans celles comptant entre 11 et 50 salariés.
Les salariés des petites entreprises jugent le cyberrisque plus faible : à peine 37 % de ceux des entreprises de 1 à 10 salariés estiment ce risque élevé, contre 50 % dans les entreprises de plus de 100 salariés.
Les petites entreprises sont également moins nombreuses que les grandes à avoir mis en place des mesures de protection telles que l’authentification multifacteur (MFA) ou des réseaux privés virtuels (VPN).
L’enquête révèle un sens aigu de la responsabilité chez les salariés : 86 % (80% en France) reconnaissent avoir une responsabilité personnelle pour veiller à ne pas exposer leur entreprise aux cybermenaces mais 51 % (55% en France) pensent néanmoins que la protection de l’entreprise est du seul ressort de l’informatique.
ThycoticCentrify a confié la réalisation de cette enquête au cabinet indépendant d’études de marché Sapio Research. Ce dernier a interrogé plus de 8000 salariés (dont 81 % à plein temps et 19 % à temps partiel) sur leurs attitudes en matière de cybersécurité.
L’échantillon des participants était réparti entre les pays suivants :
Royaume-Uni et Irlande (1005)
Suède (500)
Pays-Bas (502)
France (501)
Espagne (501)
Allemagne (1000)
Australie et Nouvelle-Zélande (1000)
Singapour et Malaisie (501)
Inde (506)
Japon (512)
Etats-Unis (1004)
Canada (509)
Les entretiens ont été menés en juin 2021 à l’issue d’un rigoureux processus de sélection à plusieurs niveaux de sorte que seuls des participants pertinents soient retenus.
*98 % du nombre global de participants à l’enquête ont répondu « risque élevé » ou « risque très élevé ».