Selon une récente étude menée par Kaspersky, les violations des politiques de sécurité de l'information d'une organisation par ses employés sont aussi dangereuses que les attaques de cyberpirates externes à l’organisation.
En France, au cours des deux dernières années, 21 % des cyberincidents survenus dans les entreprises ont été provoqués par des employés qui ont intentionnellement violé les protocoles de sécurité. Ce chiffre est presque égal aux dommages causés par les violations de la cybersécurité, dont 22 % sont dues à des piratages informatiques.
La perception selon laquelle l'erreur humaine est l'une des principales causes des cyberincidents dans les entreprises est bien établie. Mais les choses ne sont pas aussi tranchées. Le niveau de cybersécurité d’une organisation dépend de nombreux facteurs dont il n’est pas si simple de rendre compte. C'est pourquoi Kaspersky a mené une étude[1] pour connaître l'opinion des professionnels de la sécurité informatique travaillant pour des PME et des grandes entreprises du monde entier sur le rôle joué par les employés sur la cybersécurité d'une entreprise. L'étude visait à recueillir des informations sur les différents groupes de personnes influençant la cybersécurité, en tenant compte à la fois du personnel interne et des acteurs externes.
L'étude de Kaspersky a révélé que, outre les erreurs involontaires, les violations de la politique de sécurité de l'information par les employés constituaient l'un des plus gros problèmes pour les entreprises. Les personnes interrogées dans des organisations du monde entier ont déclaré que des actions intentionnelles visant à enfreindre les règles de cybersécurité avaient été menées par des employés des services informatiques et non informatiques au cours des deux dernières années.
En France, ces violations de politiques telles que celles commises par les responsables de la sécurité informatique ont été à l'origine de 8 % des cyberincidents survenus au cours des deux dernières années. D'autres professionnels de l'informatique et leurs collègues non informaticiens ont provoqué respectivement 6 % et 7 % des cyberincidents en enfreignant les protocoles de sécurité.
En ce qui concerne le comportement individuel des employés, le problème le plus courant réside dans le fait qu'ils font délibérément ce qui leur est interdit et, inversement, qu'ils ne font pas ce qui est exigé. En France, les personnes interrogées affirment que près d'un quart (21 %) des incidents de cybersécurité survenus au cours des deux dernières années sont dus à l'utilisation de mots de passe faibles ou au fait que ceux-ci n'ont pas été modifiés en temps voulu. La seconde cause (14 %) des atteintes à la cybersécurité est la consultation par le personnel de sites web non sécurisés. Par ailleurs, 14 % des entreprises françaises interrogées déclarent avoir été confrontées à des incidents de cybersécurité dus au fait que les employés n'ont pas mis à jour les logiciels ou les applications utilisés en temps et en heure.
L'utilisation de services ou de dispositifs non sollicités est un autre vecteur important de violation intentionnelle de la politique de sécurité de l'information. En France, 11 % des entreprises ont subi des cyberincidents parce que leurs employés ont utilisé des systèmes non autorisés pour partager des données. Les employés de 21 % des entreprises ont intentionnellement accédé à des données par le biais d'appareils non autorisés, tandis que 11 % du personnel ont envoyé des données à des adresses électroniques personnelles. Une autre action signalée est le déploiement de l'informatique fantôme (Shadow IT) sur les appareils professionnels - 10 % des personnes interrogées indiquent que cela a été à l'origine de leurs cyberincidents.
Fait alarmant, les personnes interrogées en France admettent que, outre le comportement irresponsable déjà mentionné, 18 % des actions malveillantes ont été commises par des employés à des fins d'enrichissement personnel. Autre constatation intéressante, les violations intentionnelles de la politique de sécurité de l'information par les employés constituent un problème relativement important dans les services financiers, comme l'indiquent 34 % des personnes interrogées dans ce secteur.
« Outre les menaces externes à la cybersécurité, de nombreux facteurs internes peuvent conduire à des incidents dans n'importe quelle organisation. Comme le montrent les statistiques, les employés de n'importe quel service, qu'il s'agisse de non-informaticiens ou de professionnels de la sécurité informatique, peuvent avoir une influence négative sur la cybersécurité, que ce soit intentionnellement ou non. C'est pourquoi il est important de prendre en compte les méthodes de prévention des violations de la politique de sécurité informatique lors de la mise en place des dispositifs et des mesures de sécurité, c'est-à-dire de mettre en œuvre une approche intégrée de la cybersécurité. D'après nos recherches à l’échelle mondiale, outre le fait que 26 % des cyberincidents sont dus à des violations des politiques de sécurité de l'information, 38 % des brèches sont causées par des erreurs humaines. Ces chiffres sont alarmants, et il est nécessaire de promouvoir d’office une culture de la cybersécurité dans les organisations en élaborant et en appliquant des politiques de sécurité, ainsi qu'en sensibilisant les employés à la cybersécurité. Ainsi, le personnel abordera les règles de manière plus responsable et comprendra clairement les conséquences possibles de leurs violations", commente Alexey Vovk, responsable de la sécurité de l'information chez Kaspersky.
Pour protéger l'infrastructure de votre entreprise des conséquences des violations des politiques de sécurité de l'information commises par les employés, Kaspersky recommande ce qui suit :
Utiliser des produits de cybersécurité dotés de fonctionnalités de contrôle des applications, du Web et des périphériques, tels que Kaspersky Endpoint Security for Business et Kaspersky Endpoint Security Cloud. Cette fonctionnalité peut limiter l'utilisation d'applications, de sites Web et de périphériques non sollicités, réduisant ainsi les risques d'infection.
La fonction Advanced Anomaly Control de Kaspersky Endpoint Security for Business Advanced, Kaspersky Total Security for Business et Kaspersky Endpoint Detection and Response Optimum aide à prévenir les activités potentiellement dangereuses qui sont " hors normes ", qu'elles soient entreprises par l'utilisateur ou initiées par l'attaquant qui a déjà pris le contrôle du système.
Contrôlez les transferts de données dans les deux sens - à l'intérieur et à l'extérieur du système, car cela comporte également des risques. Avec Kaspersky Endpoint Security Cloud, Kaspersky Security for Mail Server et Kaspersky Security for Microsoft Office 365, les problèmes de ce type peuvent être résolus grâce à la découverte des données et à la fonction de filtrage du contenu.
Kaspersky Security for Internet Gateway dispose également d'une fonction de filtrage de contenu, afin d'empêcher la transmission de données non sollicitées, indépendamment de leur type, de l'état de protection de la plateforme ou du comportement de l'utilisateur au niveau des points d'extrémité à l'intérieur du réseau.
Le rapport complet et d'autres informations sur le facteur humain dans la cybersécurité sont disponibles ici.
[1] L'enquête a été menée dans 19 pays : Brésil, Chili, Chine, Colombie, France, Allemagne, Inde, Indonésie, Japon, Kazakhstan, Mexique, Russie, Arabie Saoudite, Afrique du Sud, Espagne, Turquie, EAU, Royaume-Uni et États-Unis.