Le danger vient de l’int\u00e9rieur. Selon un nouveau rapport commandit\u00e9 par Kaspersky Lab et BEB Int’l, dans 40% des entreprises dans le monde, les employ\u00e9s dissimulent les incidents de s\u00e9curit\u00e9 informatique. Or, chaque ann\u00e9e, 46% des incidents de s\u00e9curit\u00e9 informatique sont caus\u00e9s par les employ\u00e9s m\u00eame de la soci\u00e9t\u00e9 concern\u00e9e. L’\u00e9tude en question rappelle donc qu’il faut rem\u00e9dier \u00e0 tous les niveaux \u00e0 cette vuln\u00e9rabilit\u00e9 au sein des entreprises, et pas seulement par le biais du d\u00e9partement de la s\u00e9curit\u00e9 informatique.<\/p>\n
L\u2019ignorance et\/ou la n\u00e9gligence de employ\u00e9s font partie des causes les plus probables d\u2019un incident de cybers\u00e9curit\u00e9 \u2013 seuls les logiciels malveillants affichent un score plus \u00e9lev\u00e9.\u00a0Lorsqu\u2019il s\u2019agit d\u2019attaques cibl\u00e9es, la n\u00e9gligence d\u2019employ\u00e9s est l\u2019un des principaux points faibles dans le bouclier de la cybers\u00e9curit\u00e9 des entreprises. Bien que les pirates avanc\u00e9s puissent toujours compter sur des logiciels malveillants sur mesure et des techniques high-tech dans la planification de leurs attaques, ils commenceront probablement toujours par l\u2019exploitation du point d\u2019acc\u00e8s le plus facile \u2013 la nature humaine.<\/p>\n
D\u2019apr\u00e8s l\u2019enqu\u00eate, le phishing\/l\u2019ing\u00e9nierie sociale a jou\u00e9 l\u2019an dernier un r\u00f4le d\u00e9terminant \u00e0 la base de pr\u00e8s d\u2019un tiers (28%) des attaques cibl\u00e9es sur les entreprises. Un comptable n\u00e9gligent peut par exemple ouvrir facilement un fichier malveillant dissimul\u00e9 sous la forme d\u2019une facture de l\u2019un des nombreux sous-traitants d\u2019une entreprise. Ce fichier peut ensuite paralyser l\u2019infrastructure de l\u2019ensemble de l\u2019organisation, rendant ainsi le comptable complice sans le savoir des attaquants.<\/p>\n
\u201cLes cybercriminels se servent souvent des employ\u00e9s comme point d\u2019acc\u00e8s pour p\u00e9n\u00e9trer dans l\u2019infrastructure d\u2019une entreprise. E-mails de phishing, mots de passe faibles, coups de t\u00e9l\u00e9phone bidon du d\u00e9partement d\u2019assistance \u2013 nous avons rencontr\u00e9 tous ces cas de figure. M\u00eame une banale cl\u00e9 USB qui se trouvait sur le sol du parking de l\u2019entreprise ou dans le bureau de la secr\u00e9taire peut mettre en p\u00e9ril l\u2019ensemble du r\u00e9seau. Tout ce dont vous avez besoin, c\u2019est de quelqu\u2019un \u00e0 l\u2019int\u00e9rieur de l\u2019entreprise qui n\u2019est pas bien inform\u00e9 ou n\u2019accorde aucune attention \u00e0 la s\u00e9curit\u00e9. Ensuite, si quelqu\u2019un branche n\u00e9gligemment l\u2019appareil au r\u00e9seau, les cons\u00e9quences peuvent \u00eatre d\u00e9sastreuses\u201d<\/em>, explique David Jacoby, Security Researcher chez Kaspersky Lab.<\/p>\n Ignorance, n\u00e9gligence… Comment sensibiliser ?\u00a0<\/em><\/strong><\/p>\n Si les organisations ne font pas l\u2019objet quotidiennement d\u2019attaques cibl\u00e9es avanc\u00e9es, les logiciels malveillants conventionnels les frappent toutefois massivement. Malheureusement, l\u2019enqu\u00eate r\u00e9v\u00e8le aussi que, m\u00eame dans le cas de logiciels malveillants, des employ\u00e9s ignorants ou n\u00e9gligents sont souvent impliqu\u00e9s et qu\u2019ils provoquent des contaminations par logiciels malveillants dans 53% des incidents.<\/p>\n L\u2019implication des RH et du top management est n\u00e9cessaire.\u00a0Si le personnel dissimule son implication dans des incidents, cela peut avoir des cons\u00e9quences dramatiques et accro\u00eetre l\u2019ensemble des dommages caus\u00e9s. M\u00eame un seul \u00e9v\u00e9nement non signal\u00e9 peut \u00eatre le signe d\u2019une attaque d\u2019une ampleur bien plus grande, et les \u00e9quipes de s\u00e9curit\u00e9 doivent pouvoir identifier rapidement les menaces auxquelles elles sont confront\u00e9es, afin de choisir la tactique ad\u00e9quate pour les combattre.<\/p>\n Par crainte des cons\u00e9quences, des employ\u00e9s pr\u00e9f\u00e8rent toutefois mettre l\u2019organisation en danger plut\u00f4t que de rapporter un probl\u00e8me, ou ils ont honte d\u2019\u00eatre responsables d\u2019un incident. Certaines entreprises ont instaur\u00e9 des r\u00e8gles strictes et font porter une responsabilit\u00e9 suppl\u00e9mentaire \u00e0 leurs employ\u00e9s, au lieu de les encourager simplement \u00e0 la vigilance et \u00e0 la coop\u00e9ration. Cela signifie que la cybers\u00e9curit\u00e9 n\u2019est pas uniquement une question de technologie, mais qu\u2019elle est \u00e9galement li\u00e9e \u00e0 la culture et \u00e0 la formation au sein d\u2019une organisation. C\u2019est la raison pour laquelle le top management et les RH doivent \u00eatre impliqu\u00e9s.<\/p>\n \u201cLa probl\u00e9matique de la dissimulation d\u2019incidents doit \u00eatre communiqu\u00e9e non seulement au personnel, mais \u00e9galement \u00e0 la direction et aux d\u00e9partements RH. Si les employ\u00e9s taisent des incidents, il y a une raison pour l\u2019expliquer. Dans certains cas, les entreprises instaurent une politique stricte mais peu claire, et exercent une pression excessive sur les employ\u00e9s en les mettant en garde de ne pas faire certaines choses sous peine d\u2019\u00eatre tenus responsables en cas de probl\u00e8me. Ce genre de politique favorise une culture de la peur et ne laisse qu\u2019une seule option aux employ\u00e9s : tout faire pour \u00e9chapper \u00e0 une sanction. Si vous avez, en mati\u00e8re de cybers\u00e9curit\u00e9, une culture positive et bas\u00e9e sur une approche \u00e9ducative, au lieu d\u2019une approche \u00ab top down \u00bb restrictive, les r\u00e9sultats seront clairement visibles\u201d<\/em> fait remarquer Martijn van Lom, General Manager Kaspersky Lab Benelux.<\/p>\n Toujours le facteur\u00a0H.<\/strong><\/em><\/p>\n Des organisations du monde entier commencent \u00e0 s\u2019int\u00e9resser au fait que leurs employ\u00e9s puissent rendre l\u2019entreprise vuln\u00e9rable : 52% des soci\u00e9t\u00e9s interrog\u00e9es ont avou\u00e9 que leur personnel \u00e9tait le maillon le plus faible dans leur s\u00e9curit\u00e9 informatique. La n\u00e9cessit\u00e9 de mettre en \u0153uvre des mesures ax\u00e9es sur le personnel devient sans cesse plus \u00e9vidente : 35% des entreprises se tournent vers des formations du personnel pour am\u00e9liorer la s\u00e9curit\u00e9, ce qui en fait la deuxi\u00e8me m\u00e9thode de cyberd\u00e9fense la plus populaire, juste apr\u00e8s le recours \u00e0 des logiciels plus avanc\u00e9s (43%).<\/p>\n La meilleure mani\u00e8re de prot\u00e9ger les organisations contre des cyber-menaces li\u00e9es aux personnes consiste \u00e0 combiner les outils ad\u00e9quats avec les bonnes pratiques. Dans ce cadre, les RH et la direction doivent s\u2019efforcer de motiver les employ\u00e9s et de les inciter \u00e0 rester vigilants et \u00e0 demander de l\u2019aide en cas d\u2019incident. Les formations \u00e0 la sensibilisation \u00e0 la s\u00e9curit\u00e9 pour les employ\u00e9s, l\u2019instauration de directives claires au lieu de longs documents de plusieurs pages, la mise en place de solides comp\u00e9tences et de la motivation n\u00e9cessaire, et la promotion de la bonne ambiance de travail constituent les premi\u00e8res mesures que doivent prendre les organisations.<\/p>\n En ce qui concerne les technologies de s\u00e9curit\u00e9, la plupart des menaces qui visent des employ\u00e9s ignorants ou n\u00e9gligents \u2013 phishing compris \u2013 peuvent \u00eatre neutralis\u00e9es avec des solutions de s\u00e9curit\u00e9 de terminaux. Celles-ci peuvent porter sur les besoins sp\u00e9cifiques de PME et de grandes entreprises au niveau des fonctionnalit\u00e9s, sur une protection configur\u00e9e au pr\u00e9alable ou des param\u00e8tres de s\u00e9curit\u00e9 avanc\u00e9s, afin de r\u00e9duire ainsi les risques au minimum.<\/p>\n","protected":false},"excerpt":{"rendered":" Le danger vient de l’int\u00e9rieur. Selon un nouveau rapport commandit\u00e9 par Kaspersky Lab et BEB Int’l, dans 40% des entreprises dans le monde, les employ\u00e9s dissimulent les incidents de s\u00e9curit\u00e9 informatique. Or, chaque ann\u00e9e, 46% des incidents de s\u00e9curit\u00e9 informatique […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[65,10],"tags":[1459,258,208,224],"yoast_head":"\n