Les internautes privilégient de cacher leurs erreurs sous le tapis de souris, plutôt que de déclarer un incident.
Une étude Fujitsu démontre que les utilisateurs ont encore plus de réticences à remonter des incidents informatiques quand ceux-ci ont lieu sur leur lieu de travail.
Cette étude intitulée « Building a Cyber Smart Culture » explique que la prise de conscience des risques cyber a grandement évoluée ces dernières années.
Notamment, depuis l’épidémie de COVID-19 où le télétravail est imposé pour tous et où la distinction des usages personnels et professionnels est mince.
Les organisations n’ayant pas encore effectué leur transition numérique se sont retrouvées contraintes de fonctionner uniquement par informatique et à distance.
Les comportements sécurisants ont dû devenir une seconde nature pour les employés. Les RSSI et DSI ont dû former en un laps de temps très court leurs collaborateurs. Une chose s’étant avérée fructueuse pour certains, s’est révélée contre productive pour d’autres, qui ont déclaré que leur sécurité informatique a nettement décliné depuis le confinement.
D’ailleurs, cette étude a démontré que les utilisateurs étaient peu enclins à signaler les incidents de cybersécurité dans leur cadre professionnel :
« Selon notre étude mondiale, les employés ont partagé que :
- 54 % ont admis avoir contourné les politiques de sécurité pour suivre le rythme des changements importants.
- 48% sont réticents à signaler les menaces qu’ils trouvent.
- 45% pensent que la plupart des membres de leur organisation pensent que la cybersécurité n’a rien à voir avec eux.
- 61 % pensent que leur formation actuelle en matière de cybersécurité est inefficace : l’ennui, le manque de ciblage et le contenu générique contribuent à un manque de sentiment de propriété. »
Comment faire prendre conscience à vos utilisateurs du rôle qu’ils ont à jouer ?
Le magazine cio-online.com explique que “beaucoup reste à faire en matière de sensibilisation, en particulier pour inciter les utilisateurs à jouer un rôle actif dans la lutte contre les cybermenaces”.
Cela démontre clairement que les actions de sensibilisation aux risques cyber ne sont pas suffisantes :
« Les experts techniques jugent les formations en ligne efficaces à 64%, ils ne sont que 45% côté métier.
Les taux chutent encore plus avec des formations adaptées aux rôles, pourtant plus pertinentes en théorie :
43% d’efficacité pour les rôles techniques,
29% seulement chez les non-techniques.
Du côté des mesures les plus plébiscitées par les profils techniques figurent les alertes et rappels contextuels, appréciés par 62% des métiers et 73% des rôles techniques, ainsi que les formations spécifiquement axées sur le télétravail, jugées efficaces par 53% des non-techniques et 69% des techniciens.
Côté métier, la préférence va nettement aux approches ludiques, appréciées par 69% contre 60% des rôles techniques,
ainsi qu’aux rappels physiques ou numériques (posters et signaux), qui séduisent 66% des rôles non techniques et 58% des techniciens. »
En ce sens, vous, décideur, pouvez enseigner les bases de la sécurité informatique à vos utilisateurs au sein de votre organisation. Nos conseils :
- Mettez en place des solutions techniques (anti-spam, pare-feu, anti-virus …) pour protéger votre matériel.
- Optez également pour des solutions organisationnelles telles qu’Avant de Cliquer pour sensibiliser l’humain. Formez vos équipes aux risques d’internet, aux bons comportements, et aidez-les à les adopter au quotidien pour limiter les risques. Renseignez-les sur l’attitude à adopter face au danger, car le risque zéro n’existe pas. C’est pourquoi former l’humain demeure une protection primordiale.
