Quand le risque devient une habitude : Le comportement des employés et la sécurité organisationnelle

Selon "Exposing Human Risk", le comportement humain est un facteur de risque important et souvent négligé en matière de cybersécurité organisationnelle. Le rapport souligne que les actions risquées des employés - comme le fait de tomber dans le piège du phishing, de télécharger des malware ou de violer les politiques de navigation - peuvent créer des vulnérabilités qui exposent les entreprises aux cybermenaces. Les résultats de l'étude donnent des indications essentielles sur la manière dont les organisations peuvent réduire les risques en ciblant des comportements spécifiques des employés. 

Comportement à risque et délinquants habituels 

L'une des principales conclusions de l'étude est l'impact disproportionné d'un petit nombre d'employés qui adoptent des comportements à risque. Ces personnes, appelées "délinquants habituels", sont à l'origine d'une grande partie des incidents de cybersécurité au sein des organisations : 

• Par exemple, 5% d'employés responsables de violations de la navigation ont généré 62% de tous les incidents de ce type. 
• En ce qui concerne le phishing, les malware et les comportements de navigation, 5% d'utilisateurs seulement ont été à l'origine de 75% des événements détectés.  
• Seulement 1% des utilisateurs sont à l'origine de 44% de tous les courriels de phishing cliqués. 

Que démontre ce modèle ? En se concentrant sur le comportement d'un petit nombre d'utilisateurs à haut risque, on pourrait obtenir des améliorations substantielles dans la réduction globale des risques. 

Comportements à risques multiples 

L'étude montre également que si de nombreux employés n'adoptent qu'une seule forme de comportement à risque, un petit groupe d'individus s'adonne à plusieurs actions dangereuses. Sur les 48% d'employés ayant eu des comportements à risque, la plupart n'ont commis qu'un seul type de comportement. Cependant, 13% se sont engagés dans deux types de transgression et moins de 1% a transgressé dans trois domaines ou plus. 

Il est intéressant de noter que les taux d'échec les plus élevés sont enregistrés lors de tentatives réelles de phishing plutôt que lors de tests de phishing simulés. "Environ 3% des employés ont échoué à la fois aux tests de phishing réels et simulés, tandis que 1% a été victime de phishing réel mais pas des simulations. "  

Les tests de simulation de Phishing sont-ils trompeurs ? 

Il existe un contraste frappant entre les réactions des employés face à des attaques de phishing simulées et réelles. Les données indiquent que les taux de clics pour les simulations de phishing sont beaucoup plus élevés que pour les attaques réelles, ce qui pourrait signifier que les employés sont plus aptes à reconnaître les messages de phishing réels. La question se pose donc de savoir si les tests de phishing simulés sont trop complexes ou irréalistes, ce qui pourrait induire les employés en erreur quant à la nature d'une véritable tentative de phishing. 

Le rôle de la fonction dans l'exposition au risque 

Une autre découverte importante de l'étude concerne la manière dont les différents rôles au sein de l'organisation influencent l'exposition aux attaques de phishing. Les cadres, les dirigeants et le personnel de vente reçoivent un volume plus important de courriels de phishing en raison de leur rôle plus public et de leurs niveaux d'accès plus élevés. Cependant, ils ont tendance à avoir des taux de clics inférieurs à ceux des autres employés.  

Il est intéressant de noter que si les cadres sont plus souvent pris pour cible, leur plus grande exposition se traduit par une plus grande probabilité d'attaques réussies, ce qui suggère qu'une protection plus proactive de ces employés pourrait être plus efficace qu'une simple formation supplémentaire. 

Le bilan  

Exposer le Human Risk souligne l\'importance de comprendre et de gérer le Human Risk dans la cybersécurité. Si les menaces extérieures restent importantes, les comportements des employés - en particulier ceux qui s'engagent systématiquement dans des actions risquées - constituent un défi permanent.  

En identifiant les utilisateurs à haut risque et en adaptant les stratégies d'intervention, les organisations peuvent réduire leurs risques de cybersécurité. Une formation régulière, des simulations de phishing plus précises et un blindage spécifique pour les rôles à haut risque sont des étapes clés dans l'amélioration de la posture de cybersécurité d'une organisation. 

Pour en savoir plus sur ce qui se passe lorsque les comportements à risque deviennent des habitudes, lisez le rapport complet.