Le mois de la sensibilisation à la cybersécurité a-t-il porté ses fruits ?
C’est une question qui mérite d’être posée, d’autant qu’octobre en tant que Mois de la sensibilisation à la cybersécurité en est à sa deuxième décennie. À une époque où les cybercriminels intensifient sans cesse leurs attaques, l'utilisateur averti reste le meilleur rempart. Mais savoir et agir sont deux choses différentes. Si certains indicateurs montrent que les utilisateurs sont plus conscients des bonnes pratiques de cybersécurité, d'autres, appartenant à des catégories surprenantes, ne se soucient pas suffisamment de les suivre. Acronis, spécialiste de la cybersécurité décrypte et propose un éclairage sur le sujet.
La sensibilisation à la cybersécurité dépassera-t-elle un jour le stade du simple « faites attention à ce sur quoi vous cliquez » ? Que peuvent faire les entreprises pour améliorer les comportements de leurs collaborateurs en matière de cybersécurité ? Les réponses vont au-delà de la simple sensibilisation.
Quelle efficacité de la sensibilisation à la cybersécurité
Dans un article publié en octobre 2023, Cybersecurity Tribe a cité un CISO anonyme qui résume la valeur discutable du Mois de la sensibilisation à la cybersécurité : « Nous commettons toujours les mêmes erreurs stupides qu'il y a 20 ans. »
Mais est-ce vraiment le cas ? Il semble que les quelques mois de sensibilisation à la cybersécurité organisés au début des années 2020 aient porté leurs fruits. Un indicateur global montre des progrès positifs : le pourcentage de violations de données impliquant un « élément humain » le plus souvent, un utilisateur qui clique sur un lien malveillant. En 2022, le rapport Verizon Data Breach Investigations Report a révélé que l'élément humain était impliqué dans 82 % des violations dans le monde. En 2023, le chiffre était de 74 %. Dans le rapport de 2024, ce chiffre est tombé à 68 %.
Tout cela est encourageant, n'est-ce pas ? Comme l'a suggéré le CISO anonyme, la sensibilisation à la cybersécurité, ou plus précisément à la modification des comportements, a encore du chemin à faire.
Prenons par exemple l'authentification multifacteur (MFA), un moyen de lutte contre les cyberattaques relativement simple, mais généralement efficace. En 2022, une étude du Cyber Readiness Institute a révélé que 54 % des MSP n'avaient pas implémenté l'authentification multifacteur. Ce chiffre a peut-être diminué en quelques mois de sensibilisation à la cybersécurité.
Ensuite, les mots de passe demeurent un domaine de la cybersécurité que de nombreux utilisateurs ne parviennent pas à gérer. Le premier d'une liste de six erreurs à éviter en matière de cybersécurité publiée par Google est « Utiliser le même mot de passe partout ».
Mais que font la plupart des utilisateurs ? Selon Security.org, environ une personne sur cinq utilise quelques mêmes mots de passe pour tous ses comptes, et près de 30 % utilisent le mot de passe de leur gestionnaire de mots de passe pour d'autres comptes (ce qui est une mauvaise pratique). Ce chiffre de 30 % pour 2023 est en hausse par rapport à 19 % en 2021. En outre, un quart des utilisateurs conservent leurs mots de passe dans des notes (non sécurisées) sur leurs ordinateurs ou terminaux mobiles. Cet indicateur est resté stable entre 2022 et 2023.
La différence entre la formation et la culture de la cybersécurité
L'un des objectifs de la formation à la sécurité est de mettre un terme à ces mauvaises habitudes. Et cela aide indéniablement. Mais la formation en elle-même n'est pas le problème. C'est ce que les utilisateurs choisissent ou non de faire avec.
Par exemple, la National Cybersecurity Alliance a constaté que les utilisateurs ayant suivi le plus de formations en matière de sécurité avaient généralement les comportements en ligne les plus dangereux et étaient les plus exposés aux cyberattaques. Voici un extrait assez accablant des conclusions de l'étude menée par l'Alliance dans six pays (États-Unis, Royaume-Uni, Canada, Allemagne, France et Nouvelle-Zélande) :
« De manière étonnante, 43 % des membres de la génération Z et 36 % des millennials ont déclaré avoir été victimes de cyberattaques, soit un pourcentage bien plus élevé que pour les personnes du groupe des silencieux (20 %) et des baby-boomers (15 %) qui n'ont pas suivi de formation à la cybersécurité. Dans le même temps, ces « natifs du numérique » sont deux fois plus nombreux à ne pas reconnaître l'importance de la sécurité. Cela se reflète dans leurs habitudes en ligne, puisque la moitié des membres de la génération Z et 41 % des millennials admettent utiliser des informations personnelles (noms de famille, dates et lieux, par exemple) lorsqu'ils créent des mots de passe. »
De nombreux utilisateurs, notamment les plus jeunes, qui devraient pourtant savoir comment se protéger, ne prennent pas la peine de suivre les bonnes pratiques de cybersécurité. Il est peut-être révélateur que 39 % des sondés par l'Alliance ont déclaré être frustrés par le processus de sécurisation de leurs activités en ligne, et 37 % le trouvent intimidant.
Créer une culture de la cybersécurité
Il n'est pas un secret que l'adoption de bonnes pratiques de cybersécurité est une corvée pour nombre d'utilisateurs. L'authentification multifacteur ajoute une étape supplémentaire pour l'accès à des informations critiques. Pourtant chaque e-mail est une mine électronique potentielle et doit être traité comme tel. Même les méthodes de communication autrefois fiables, telles que le téléphone ou la visioconférence, peuvent être utilisées pour diffuser des deepfakes. Cela suffit à décourager de nombreux utilisateurs qui finissent par renoncer à protéger leurs données.
Cela n'est bien sûr pas une option ni pour eux, ni pour leur entreprise. Il est essentiel de pratiquer une bonne hygiène informatique, et les collaborateurs doivent en être conscients. La formation est utile et nécessaire, mais elle ne doit pas se suffire à elle seule. Après tout, les participants tendent à terminer leur formation le plus rapidement possible, quel que soit le sujet.
Les employeurs doivent créer une culture de la cybersécurité qui inclut, mais ne se limite pas à, la formation à la sécurité.
Voici quelques pratiques de base qui peuvent aider les entreprises :
Expliquer aux collaborateurs les conséquences réelles d'une cyberattaque
Les chiffres effrayants et les récits de cyberattaques d'envergure finissent par lasser les utilisateurs. Les dirigeants d'entreprise et les responsables informatiques doivent informer les collaborateurs que la cybersécurité est l'affaire de tous et que les cyberattaques peuvent causer des dommages suffisamment importants pour réduire, voire supprimer, des emplois et des salaires.
Il ne s'agit pas de menacer de licencier les collaborateurs victimes d'attaques. Il s'agit de faire comprendre à chacun qu'une cyberattaque peut paralyser une entreprise entière, parfois de manière irréversible. C'est ainsi leur emploi qui est menacé tous les jours. Dans ce cas, l'authentification multifacteur ou la création d'un mot de passe unique ne semblent pas être une tâche si fastidieuse.
Parler ouvertement de cybersécurité tous les jours
Personne n'a envie de jouer les mouchards pour dénoncer les collaborateurs qui ne verrouillent pas l'accès à leur ordinateur portable avant de quitter le bureau. Ce n'est d'ailleurs pas le sujet. L'idée est de faire de la cybersécurité un sujet de conversation quotidienne, y compris lors des réunions d'équipe, des entretiens individuels avec les managers et même des réunions d'entreprise.
Sans vouloir faire la morale à vos collaborateurs pour qu'ils adoptent de bonnes pratiques en matière de cybersécurité, rappelez-leur l'importance cruciale de la cybersécurité et le rôle que vous jouez tous pour rester en sécurité en ligne. C'est un exercice d'équipe comme il en existe tant dans le monde professionnel, et tout le monde doit y participer pour le bien du groupe. Présentez la cybersécurité comme une pratique positive plutôt que comme un frein ou un obstacle. Répondez aux questions. Encouragez la curiosité et les retours d'expérience.
Montrer l'exemple
Personne ne doit connaître votre mot de passe, bien entendu. Cependant, les dirigeants d'entreprise et les responsables informatiques peuvent toujours adopter de bonnes pratiques d'hygiène de la cybersécurité en public. Utilisez l'authentification multifacteur dans les réunions, lorsque cela est possible. Envoyez des avertissements concernant les e-mails suspects dès que vous les recevez (mais ne les transférez pas, bien entendu). Fournissez un gestionnaire de mots de passe aux utilisateurs et formez-les à l'utiliser.
Il est essentiel de montrer que la cybersécurité n'est pas uniquement une question de responsabilité du service informatique, mais bien une responsabilité partagée par tous, du PDG aux stagiaires d'été. Faites tout ce qui est en votre pouvoir pour faire connaître votre propre engagement en faveur de la cybersécurité et pour encourager les autres à en faire autant. L'idée n'est pas de mettre en place un État policier, mais de favoriser un sentiment d'appartenance et de travail d'équipe.
Adopter la technologie adaptée
Malgré tous vos efforts et ceux de vos collaborateurs, les risques ne disparaîtront pas. Les cybercriminels perfectionnent en permanence leurs techniques, avec l'aide de l'intelligence artificielle, et multiplient les attaques.
Proposez des formations de sensibilisation à la cybersécurité. Il ne s'agit pas d'une solution miracle pour maintenir une culture de la cybersécurité, mais d'une obligation nécessaire pour toute organisation qui souhaite renforcer ses défenses. Utilisée à bon escient, c'est une base solide pour bâtir une culture de la cybersécurité.
La formation de sensibilisation à la sécurité n'est pas difficile à implémenter. Vous pouvez même utiliser un logiciel pour automatiser et planifier les sessions de formation. Vous pouvez également vous en servir pour rappeler régulièrement aux collaborateurs les bonnes pratiques de cybersécurité. La clé est de considérer la formation comme un élément central d'une culture de la sécurité plus large.
Le Mois de la sensibilisation à la cybersécurité est encore en phase de développement et en attente de résultats mesurables. Mais les tendances mondiales n'ont pas de réelle importance pour votre entreprise. Ce qui importe, c'est le comportement de vos collaborateurs en ligne, et vous pouvez faire beaucoup pour les orienter dans la bonne direction.