Comprendre le Human Risk : le facteur 48%

Le risque cybernétique commence par le comportement humain 

La cybersécurité n'est pas une question de pare-feu et de systèmes de surveillance, c'est une question de personnes. Selon le rapport 2024 Mimecast Exposing Human Risk Report, 48% des employés adoptent un comportement en ligne risqué qui expose leur entreprise à des cybermenaces. Cela signifie que près de la moitié des employés laissent leur entreprise vulnérable aux attaques. 

La ligne de front de la cyberdéfense s'est déplacée. Alors que les menaces externes provenant de pirates informatiques compétents évoluent, l'élément humain interne reste un défi important. Pour y remédier, nous devons comprendre les types de comportements adoptés par les employés, les raisons de l'existence de ces risques et la manière dont les entreprises peuvent y répondre. 

48% des comportements à risque les plus courants des employés 

Le rapport de Mimecast identifie trois comportements clés qui exposent systématiquement les organisations à des risques cybernétiques :

1. Cliquer sur des courriels de phishing : Les employés continuent de tomber dans le piège des liens de phishing, 3% des utilisateurs échouant à la fois aux simulations de phishing et aux attaques réelles de phishing. 
2. Téléchargement ou exécution de malwares : Les employés exécutent involontairement des logiciels qui ouvrent la porte à des acteurs malveillants. 

Violation des règles de navigation sur le web : Qu'il s'agisse de visiter des sites web à risque ou d'ignorer les protocoles informatiques, les erreurs de navigation conduisent souvent à des vulnérabilités. Il est intéressant de noter que si la plupart des comportements à risque sont des incidents isolés, 13% des employés s'engagent dans plusieurs actions à risque, ce qui augmente considérablement leur probabilité de provoquer une violation. 

Le rapport souligne que le risque cybernétique n'est pas réparti de manière égale. Certaines fonctions et certains niveaux d'ancienneté sont plus exposés que d'autres. 

• Les cadres sont le groupe le plus ciblé, mais aussi le moins susceptible de cliquer sur les courriels de phishing. Cependant, leur taux de ciblage plus élevé signifie qu'ils sont confrontés au risque annuel le plus important. 
• Les nouveaux embauchés sont particulièrement vulnérables aux courriels de phishing, les taux de clics diminuant au fur et à mesure que l'ancienneté augmente. Inversement, les employés de longue date sont plus souvent ciblés, simplement parce que leurs adresses électroniques sont plus largement connues. 
• Les employés des laboratoires et les clients, bien que peu ciblés, présentent des taux de clics alarmants, ce qui indique qu'une formation destinée à ces groupes pourrait réduire considérablement les risques. 

En outre, les vendeurs et les membres du conseil d'administration, qui sont tous deux très exposés au public, font l'objet de fréquentes tentatives de phishing. Leurs rôles leur confèrent souvent des privilèges d'accès élevés, ce qui rend toute attaque réussie contre ces utilisateurs particulièrement dévastatrice. 

Pourquoi les salariés continuent-ils à prendre des risques après la formation ? 

Un aspect particulièrement révélateur de l'étude est que le risque humain n'est pas purement comportemental, il est aussi situationnel. Les employés en contact avec le public ou occupant des postes de haut niveau sont intrinsèquement plus exposés, simplement en raison de la nature de leur travail. 

Par exemple, les cadres ont un taux de clics sur les courriels de phishing inférieur à celui de la plupart des employés, alors qu'ils sont confrontés à un nombre bien plus élevé de tentatives. Le volume des attaques augmente leur profil de risque, ce qui suggère que la protection contre les menaces (via des systèmes de filtrage améliorés) est tout aussi essentielle qu'une formation supplémentaire. 

Comment les entreprises peuvent-elles gérer efficacement les Human Risk ? 

La gestion des risques humains nécessite une stratégie à multiples facettes. Les organisations ne peuvent pas compter uniquement sur des programmes de formation ou des solutions techniques uniques. Des interventions sur mesure sont la clé du succès. 

1. Identifiez les groupes à haut risque : En comprenant quels employés sont les plus ciblés ou les plus susceptibles de cliquer sur des courriels de phishing, vous pouvez prioriser vos efforts là où ils auront le plus d'impact. 
2. Adapter les programmes de formation : Au lieu de leçons génériques, proposez des conseils spécifiques pour des rôles distincts. Par exemple, les vendeurs peuvent avoir besoin d'apprendre à examiner les courriels d'un œil critique, tandis que les employés des services informatiques ont besoin de rappels continus sur les politiques de navigation sur le web. 
3. Empêchez le ciblage : Pour les fonctions telles que les cadres ou les membres du conseil d'administration, les protéger contre les attaques de phishing grâce à des défenses informatiques avancées peut s'avérer plus efficace qu'une formation plus poussée. 
4. Renforcez continuellement la formation : La cybersécurité n'est pas un cours unique. Les employés ont besoin de mises à jour régulières et de simulations évolutives pour rester préparés.

Aucune entreprise n'est à l'abri des cyberrisques, mais le rapport Mimecast Exposing Human Risk indique clairement que l'atténuation des risques commence par la compréhension de vos employés. Les données montrent que les comportements à risque peuvent être réduits grâce à une éducation ciblée, à des stratégies de défense plus intelligentes et à une approche proactive de l'identification des vulnérabilités.

Vous voulez en savoir plus ? Découvrez comment votre entreprise peut lutter dès aujourd'hui contre les cyberrisques d'origine humaine. Lisez l'intégralité du rapport Exposing Human Risk (en anglais).