Le facteur humain dans la sécurité informatique : quand le manque de réactivité rime avec vulnérabilité

Chaque fin d'exercice fiscal, le budget est au centre des préoccupations de millions de personnes sur le marché du travail. La sécurité des données est le domaine par excellence dans lequel les dépenses sont hors de contrôle. On estime que dans deux ans, les entreprises dépenseront la somme exorbitante de 1 000 milliards de dollars en cybersécurité. Un tel chiffre n'a rien d'exagéré : en 2018 en effet, la cybercriminalité a causé 1 000 milliards de dollars de dommages et ce coût devrait atteindre 6 000 milliards de dollars d'ici 2021.

Si les entreprises continuent de consacrer des sommes d'argent astronomiques au traitement et à la technologie, le casse-tête de la cybersécurité comporte un troisième élément qui n'obtient pourtant que peu d'investissement : le personnel. En fait, 90 % des cyberattaques et des violations de données résultent d'un comportement ou d'une erreur humaine, et non d'une défaillance technologique.

L'engagement des employés : un réel problème pour l'informatique

Si un certain nombre d'erreurs humaines sont inévitables, la mobilisation accrue des employés peut permettre de remédier efficacement à la violation délibérée des protocoles de sécurité et de prévenir les incidents de sécurité causés par une négligence.

Le manque de réactivité des employés est en réalité l'un des principaux problèmes de sécurité d'une entreprise. Une étude menée en 2016 a révélé que 22 % des violations de données étaient le résultat d'activités malveillantes d'employés, et 65 % de négligences. Les employés non mobilisés sont plus sensibles à une manipulation extérieure, davantage susceptibles de causer la vulnérabilité des systèmes en raison d'une négligence et plus exposés aux fuites d'informations confidentielles de l'entreprise. En fait, les employés sont cinq fois plus susceptibles de dérober des données lorsqu'ils ne sont pas mobilisés.

Trois raisons courantes expliquant l'indifférence des employés à l'égard de la sécurité informatique :

Wrike, partenaire des entreprises leaders en France

Faites évoluer votre gestion du travail collaboratif au niveau supérieur : essayez Wrike gratuitement.

E-mail professionnel Responsable de groupe, Chef, Coordinateur Email professionnel

Je me lance ! Server error. We're really sorry. Wait a few minutes and try again.

1. Le changement de mentalités sur la propriété et la confidentialité des données

La Génération Y, qui a grandi avec Internet, est à l'aise avec cet outil qui imprègne tous les aspects de sa vie. De plus, l'explosion des médias sociaux a créé une culture de partage. En effet, sans vraiment savoir qui est de l'autre côté de l'écran, les personnes partagent les détails les plus personnels et privés sur leur vie à la maison comme au travail.

Il en résulte un faible taux d'adoption des procédures de sécurité des données mises en place par les entreprises. La Génération Y réutilise les mots de passe plus que tout autre groupe démographique, et 60 % acceptent les connexions avec des inconnus « la plupart du temps ». Il semble également y avoir un désaccord concernant l'appartenance des données créées sur le lieu de travail. 72 % de la Génération Y estiment que les données sur lesquelles elle travaille lui appartiennent, tandis que seulement 41 % des baby-boomers partagent cette opinion.

2. Un sujet sensible et compliqué

La rapidité des progrès technologiques dépasse notre capacité d'adaptation. C'est pourquoi les entreprises ont mis en place des protocoles de sécurité à évolution constante permettant de contrôler l'accès aux données sensibles. L'authentification à deux facteurs, les VPN, la gestion des appareils mobiles et d'autres technologies et programmes peuvent être difficiles à comprendre pour la plupart des utilisateurs.

La majorité des utilisateurs d'Internet ne comprend tout simplement pas les dernières normes et meilleures pratiques de sécurité. De plus, certains programmes de sécurité impliquent l'installation d'applications ou l'accès à des appareils personnels. Au final, les employés se sentent mal à l'aise face à cette atteinte à leur vie privée.

3. Une communication et une collaboration de mauvaise qualité avec les services informatiques

Les équipes informatiques ont beau élaborer les meilleurs plans de sécurité qui soient, leurs efforts restent vains si ces derniers ne sont pas compris du reste de l'organisation. Il est donc essentiel qu'elles fassent prendre conscience des problèmes de sécurité et invitent tous les membres de l'entreprise à travailler ensemble pour éviter les pertes ou les violations de données.

Les difficultés surviennent lorsque ces informations ne sont pas communiquées de manière compréhensible pour les employés non techniques, ou lorsque les personnes ne se sentent pas impliquées dans les discussions. Depuis toujours, les équipes informatiques ne sont pas suffisamment formées à communiquer avec les personnes, puisqu'elles consacrent une grande partie de leur temps à la technologie et aux processus plutôt qu'à la communication et à la collaboration.

[postbanner]

Trois façons d'améliorer la mobilisation des employés et de prévenir la perte ou le vol de données

1. Rappeler aux employés d'être plus vigilants

Chaque membre de l'organisation doit contribuer à protéger les données des violations. Lorsque les employés sont mobilisés et ressentent l'obligation de se protéger mutuellement, ils sont plus disposés à participer à des programmes de sécurité et font preuve d'une plus grande prudence dans la manière dont ils traitent les informations sensibles. En effet, quand tous les membres d'une organisation, et pas seulement l'équipe informatique, s'attachent à préserver la sécurité, les entreprises peuvent réduire considérablement leurs risques.

2. Aider les équipes informatiques à mieux transmettre les informations

Il est aujourd'hui important de s'assurer au minimum que les systèmes techniques fonctionnent correctement et que des garanties sont en place en matière de cybersécurité. Un responsable informatique mobilisé doit prendre le temps de former les employés et de collaborer avec les responsables des services pour s'assurer que tout un chacun est conscient des dangers et sait comment se protéger.
Les équipes informatiques mobilisées collaborent avec leurs collègues des services de communication pour promouvoir les initiatives de sécurité et en améliorer l'adoption. Un tel investissement aide ainsi les organisations à être mieux préparées à faire face aux menaces internes ou externes.

3. Dissuader le vol de données

Une équipe mobilisée qui se soucie de protéger l'entreprise et les autres est moins susceptible de participer au vol de données. Les employés mobilisés sont plus enclins à connaître et à respecter les directives de l'entreprise en matière de traitement des données et davantage conscients des conséquences d'une violation de ces instructions.

Comment les responsables informatiques peuvent améliorer la mobilisation des employés sur les questions de sécurité

1. Souligner l'impact commercial

Les employés non techniques ont parfois du mal à comprendre comment se produisent les violations de sécurité et les ravages qu'elles peuvent causer. Les responsables informatiques doivent savoir utiliser le langage de ces employés et définir les menaces de manière compréhensible pour eux.

Mettez l'accent sur le risque commercial potentiel et les perturbations que les attaques et le vol peuvent provoquer. Dans la mesure du possible, indiquez l'impact financier de façon aussi concrète que possible. Lorsque les employés, en particulier les cadres, peuvent visualiser l'impact direct des violations sur leur travail, ils sont plus susceptibles de suivre les recommandations et les directives de sécurité qui leur sont transmises.

2. Souligner le risque personnel

Bien qu'il revienne à chaque employé de se préoccuper des conséquences pour l'entreprise d'une menace de sécurité, certaines personnes se sentiront toujours moins concernées par ces questions.

La solution est ici d'attirer l'attention sur la menace personnelle qu'une atteinte à la sécurité pourrait poser à chaque employé. Outre les données commerciales, les entreprises gèrent une quantité astronomique de données personnelles concernant chacun de leurs employés et leurs familles. Les numéros de sécurité sociale, adresses, numéros de téléphone, noms de famille, etc. peuvent tous être stockés sur les réseaux de l'entreprise et sont tout aussi vulnérables que les données de l'entreprise. Le respect des normes de cybersécurité est donc dans l'intérêt de tous

3. Former votre équipe informatique à communiquer et collaborer efficacement

Afin que les plans et processus de sécurité soient adoptés, ils doivent être compris et accessibles à l'ensemble de l'entreprise. Vous devez donc investir dans la formation à la communication de vos équipes informatiques, afin qu'elles puissent mieux collaborer avec d'autres services. Travaillez avec le personnel des services de communication afin de sensibiliser vos employés aux initiatives de sécurité. Utilisez un logiciel de gestion du travail collaboratif pour aligner les utilisateurs sur les procédures et processus de sécurité.

L'utilisation d'un outil tel que Wrike comme source d'informations unique fournit un seul emplacement pour la documentation importante qui peut être mis à jour automatiquement. En outre, les outils de gestion du travail collaboratif permettent une collaboration fluide tout en protégeant les informations sensibles.

Les employés mobilisés sont votre meilleure défense

La cybersécurité nécessite une approche en trois volets associant la technologie, les processus et les personnes. Les responsables informatiques ne risquent pas de s'ennuyer. Nous vivons en effet dans un monde complexe et en pleine mutation, où de nouvelles menaces pour la sécurité apparaissent chaque jour. Outre la sécurité des entreprises, les responsables informatiques doivent également favoriser l'innovation et la libre circulation des données entre les équipes.

En matière de protection des organisations contre les menaces internes et externes, promouvoir l'adoption d'initiatives de sécurité et de réduction des risques via une meilleure mobilisation des employés est l'un des meilleurs investissements qu'un responsable informatique puisse faire.

Guide pour les débutants sur les méthodologies de gestion de projet

Qu’est-ce que Scrum ? Qu’est-ce que PRiSM ? Et en quoi sont-ils différents de PRINCE2 ?

Nom de famille Veuillez saisir une valeur Email professionnel

Chef de groupe, Leader, Coordinateur Veuillez saisir une valeur Email professionnel

E-mail professionnel Responsable de groupe, Chef, Coordinateur Email professionnel

Téléphone Veuillez saisir votre numéro de téléphone Email professionnel

Afghanistan Albanie Algérie Samoa américaines Andorre Angola Anguilla Antarctique Antigua-et-Barbuda Argentine Arménie Aruba Australie Autriche Azerbaïdjan Bahamas Bahreïn Bangladesh Barbade Biélorussie Belgique Belize Bénin Bermudes Bhoutan Bolivie Pays-Bas caribéens Bosnie-Herzégovine Botswana Île Bouvet Brésil Territoire britannique de l’océan Indien Brunéi Darussalam Bulgarie Burkina Faso Burundi Cambodge Cameroun Canada Cap-Vert Îles Caïmans République centrafricaine Tchad Chili Chine Île Christmas Îles Cocos Colombie Comores Congo-Brazzaville Congo-Kinshasa Îles Cook Costa Rica Côte d’Ivoire Croatie Cuba Curaçao Chypre Tchéquie Danemark Djibouti Dominique République dominicaine Équateur Égypte Salvador Guinée équatoriale Érythrée Estonie Éthiopie Îles Malouines Îles Féroé Fidji Finlande France Guyane française Polynésie française Terres australes françaises Gabon Gambie Géorgie Allemagne Ghana Gibraltar Grèce Groenland Grenade Guadeloupe Guam Guatemala Guernesey Guinée Guinée-Bissau Guyana Haïti Îles Heard et McDonald État de la Cité du Vatican Honduras R.A.S. chinoise de Hong Kong Hongrie Islande Inde Indonésie Iran Irak Irlande Île de Man Israël Italie Jamaïque Japon Jersey Jordanie Kazakhstan Kenya Kiribati Corée du Nord Corée du Sud Koweït Kirghizistan Laos Lettonie Liban Lesotho Libéria Libye Liechtenstein Lituanie Luxembourg R.A.S. chinoise de Macao Macédoine Madagascar Malawi Malaisie Maldives Mali Malte Îles Marshall Martinique Mauritanie Maurice Mayotte Mexique États fédérés de Micronésie Moldavie Monaco Mongolie Monténégro Montserrat Maroc Mozambique Myanmar (Birmanie) Namibie Nauru Népal Pays-Bas Nouvelle-Calédonie Nouvelle-Zélande Nicaragua Niger Nigéria Niue Île Norfolk Îles Mariannes du Nord Norvège Oman Pakistan Palaos Territoires palestiniens Panama Papouasie-Nouvelle-Guinée Paraguay Pérou Philippines Îles Pitcairn Pologne Portugal Porto Rico Qatar La Réunion Roumanie Russie Rwanda Saint-Barthélemy Sainte-Hélène Saint-Christophe-et-Niévès Sainte-Lucie Saint-Martin Saint-Pierre-et-Miquelon Saint-Vincent-et-les-Grenadines Samoa Saint-Marin Sao Tomé-et-Principe Arabie saoudite Sénégal Serbie Seychelles Sierra Leone Singapour Saint-Martin (partie néerlandaise) Slovaquie Slovénie Îles Salomon Somalie Afrique du Sud Géorgie du Sud et îles Sandwich du Sud Soudan du Sud Espagne Sri Lanka Soudan Suriname Svalbard et Jan Mayen Swaziland Suède Suisse Syrie Taïwan Tadjikistan Tanzanie Thaïlande Timor oriental Togo Tokélaou Tonga Trinité-et-Tobago Tunisie Turquie Turkménistan Îles Turques-et-Caïques Tuvalu Ouganda Ukraine Émirats arabes unis Royaume-Uni États-Unis Îles mineures éloignées des États-Unis Uruguay Ouzbékistan Vanuatu Venezuela Vietnam Îles Vierges britanniques Îles Vierges des États-Unis Wallis-et-Futuna Sahara occidental Yémen Zambie Zimbabwe Veuillez sélectionner une option

1-49 50-99 100-249 250-499 500-999 1,000-1,999 2,000-4,999 5,000-9,999 10,000+ Veuillez sélectionner une option

Marketing Gestion de projet/programme Services professionnels Informatique et ingénierie Autre Veuillez sélectionner une option

Gestion de projet Gestion de portefeuille/programme Gestion de produits Gestion de projet/programme marketing Services professionnels et de conseil Comptabilité, finance et audits Service client/Assistance clientèle Services informatiques Développement de logiciels/sites Web Analyse, recherche et science des données Création Marketing d'entreprise et RP Directeur des recettes Marketing numérique Contenu Terrain/Comptes stratégiques Marketing Produits Vente et gestion de compte RH Tâches administratives Formation Autre Veuillez sélectionner une option

Responsable de groupe, Chef, Coordinateur Vice-président, directeur Directeur, Sr. Directeur, Directeur Associé Responsable d'équipe, chef, coordinateur Responsable / Manager, Spécialiste, Expert Autre Veuillez sélectionner une option

En remplissant et en envoyant ce formulaire, je reconnais avoir pris connaissance de la politique de confidentialité de Wrike.

Oui, je souhaite recevoir des messages de Wrike contenant les actualités, les offres et les promotions Veuillez accepter la politique pour continuer

Je souhaiterais que l'on m'informe des promotions Wrike par téléphone. Veuillez accepter la politique pour continuer

Obtenir Server error. We're really sorry. Wait a few minutes and try again.

Nous vous remercions de l’intérêt que vous portez à notre e-book!

Téléchargez-le maintenant

Nous avons également envoyé le lien de l'eBook à votre e-mail pour votre commodité.