Réduire le risque d’erreur humaine pour améliorer la protection cyber de l’entreprise : un impératif

Si 79 % des TPE PME disposent d'une solution antivirus, selon le Baromètre France Num 2024, elles ne sont que 34 % à avoir menées des actions de sensibilisation ou de formation à la cybersécurité au sein de l'entreprise. Pourtant la majorité des cyberattaques trouvent leur origine dans une erreur humaine. 

Résultat : les dépenses des entreprises en solutions cyber pour se protéger contre les menaces cyber (pares-feux, antivirus et systèmes de détection d'intrusion, etc.) demeurent largement inefficaces. Replacer l’humain, premier vecteur de cyberattaque, au cœur de la stratégie de sécurisation de l'entreprise est fondamental. 

Pour se protéger, les entreprises doivent impérativement sensibiliser et former à la cybersécurité leurs salariés. 

Quelle est la place de l'erreur humaine dans les cyberattaques ?

L'erreur humaine en cybersécurité englobe toutes les actions, conscientes ou non, qui exposent les systèmes et les données à des menaces. Cela inclut des gestes apparemment innocents, comme le fait de cliquer sur un lien qui s’avère frauduleux ou d’utiliser des mots de passe faibles.

Comparé à d'autres vecteurs de risques comme l'exploitation de failles logicielles, l'erreur humaine reste le point d'entrée le plus fréquemment exploité par les cybercriminels. Dans la majorité des cas, les attaques avec des logiciels malveillants (malwares) ne sont que la conséquence de comportements d’utilisateurs imprudents ou mal informés.

L’erreur humaine est ainsi responsable de 90 % des cyberattaques, selon l'indice relatif à la veille stratégique en matière de sécurité d'IBM, que ce soit par le biais de l'hameçonnage (phishing), de la mauvaise gestion des mots de passe ou encore d'une mauvaise configuration des systèmes de protection.

Une perception des risques cyber souvent erronée

En entreprise, les dirigeants ont souvent une perception biaisée des risques en matière de cybersécurité. Ils concentrent leurs efforts sur les menaces techniques sophistiquées telles que les logiciels malveillants ou les failles logicielles et sous-estiment les risques liés aux erreurs humaines.

Ce déséquilibre est exacerbé par des biais cognitifs, comme l'illusion de contrôle, qui amène les dirigeants d’entreprise à croire qu’ils ont une maîtrise totale de la sécurité de leurs systèmes informatiques grâce aux technologies de pointe.

Pourtant, ce sont le plus souvent des actions humaines, apparemment anodines, comme la mauvaise gestion des mots de passe ou la négligence qui conduit à l'ouverture d'emails suspects, qui ouvrent la voie aux cyberattaques.

Sous-estimer l’importance de ces erreurs humaines rend inopérants les investissements consentis pour acquérir des solutions de cybersécurité.  Il est donc crucial de réévaluer les stratégies de gestion des risques et d’accorder une place centrale à la prévention des comportements à risques des utilisateurs.
 

Les principales erreurs humaines en cybersécurité

1. Clics sur des liens malveillants : les employés peuvent tomber dans des pièges d'hameçonnage (phishing) ou cliquer sur des liens dangereux, introduisant des logiciels malveillants dans les systèmes de l'entreprise.
    
2. Utilisation de mots de passe faibles ou partagés : l'utilisation de mots de passe simples, réutilisés ou partagés entre plusieurs comptes, expose les systèmes à des risques importants. Les cybercriminels peuvent facilement les deviner ou les obtenir via des techniques de force brute ;
    
3. Partage imprudent d'informations sensibles : le partage accidentel ou négligent de données sensibles peut conduire à des fuites d'informations ;
    
4. Négligence dans la mise à jour des logiciels et systèmes : les logiciels non mis à jour (par les personnes qui en sont responsables) sont une cible facile pour les cyberattaques, car ils contiennent souvent des failles de sécurité connues et exploitables ;
    
5. Erreurs de configuration et mauvaise gestion des accès : la mauvaise configuration des systèmes de sécurité et une gestion inappropriée des accès peuvent ouvrir des portes aux cybercriminels. Par exemple, des permissions trop larges accordées à certains utilisateurs peuvent compromettre l'ensemble du système ; 
    
6.  Utilisation négligente des clés USB (ou autre périphérique USB) : L'utilisation de clés USB non sécurisées ou provenant de sources inconnues peut introduire des logiciels malveillants dans les systèmes informatiques. De plus, la perte ou le vol de clés USB contenant des données sensibles peut entraîner des fuites de données critiques. Les collaborateurs doivent donc être vigilants quant à leur utilisation. 

Découvrez des témoignages de TPE PME victimes d'attaques à la suite d'erreurs humaines

Quelles sont les bonnes pratiques pour réduire les risques d'erreurs humaines en cybersécurité ?

Ces témoignages montrent comment des erreurs humaines, qu’il s’agisse d’un clic sur des liens suspects, du téléchargement de fichiers malveillants ou d'une gestion des mots de passe inappropriée, peuvent avoir des conséquences graves en matière de cybersécurité. 

Ces témoignages soulignent l'importance cruciale de la sensibilisation, de la formation et de la mise en œuvre de bonnes pratiques de sécurité pour prévenir les cyberattaques.

Adopter les bons réflexes

1. Ne communiquez jamais d’identifiants confidentiels (email, numéro de téléphone…) suite à une demande inhabituelle. En cas de doute, il est vérifiez l'authenticité de la démarche par un autre canal que celui utilisé pour la effectuer la demande.
    
2. Évitez l’utilisation de mots de passe faciles à déchiffrer. Au lieu de créer des mots de passe complexes et difficiles à retenir, il est plus judicieux d’imaginer une suite de mots (par exemple “ecranverregobeletvase”) difficile à décrypter et que l’utilisateur devra modifier régulièrement ou bien d'utiliser un gestionnaire de mots de passe. 
    
3. Vérifiez l’url du site consulté ou l’adresse mail de l’expéditeur. Cette vérification supplémentaire peut notamment aider à prévenir les tentatives d'hameçonnage ou d’arnaque au faux virement.
    
4. Séparez vie privée et vie professionnelle pour éviter que des pirates tentent d'exploiter cette confusion. La consultation d’emails personnels ou de réseaux sociaux sur le lieu de travail peut être une source de risques, tout comme l’utilisation de mots de passe identiques pour s’identifier à la fois dans l’entreprise et à la maison. 

En savoir plus : 

• La cybersécurité pour les TPE/PME en 13 questions

Créer une culture de la sécurité en entreprise

Créer une culture de la sécurité en entreprise est essentiel pour garantir une protection robuste contre les menaces cybernétiques et les risques internes. 

Cela commence par l'engagement du dirigeant, qui doit montrer l'exemple en adoptant des pratiques de sécurité rigoureuses et par le fait d'intégrer la cybersécurité dans la stratégie globale de l'entreprise.

Il est essentiel de communiquer au sein de l'entreprise sur les questions de sécurité, de valoriser les comportements proactifs et de promouvoir une responsabilité collective où chaque membre se sent investi de la protection des données et des systèmes. 

Par ailleurs, il est important de mettre en place des politiques claires et des procédures accessibles pour gérer les risques. Ce travail de formalisation favorisera une réponse rapide et coordonnée en cas de crise liée à un incident de sécurité ou une violation de données. 

Communiquez auprès de votre écosystème pour lui faire connaître vos engagements en matière de cybersécurité. Car si la culture de la sécurité favorise la résilience face aux cyberattaques, elle renforce aussi la confiance des clients et des partenaires, et contribue a améliorer la réputation de l'entreprise et donc sa compétitivité. 

Sensibiliser et former tous les salariés de la TPE PME

Investir dans des programmes de sensibilisation à la cybersécurité est un premier niveau de réponse crucial pour renforcer la résilience de la TPE PME face aux menaces numériques croissantes. Selon une étude de l’Anssi, 87 % des entreprises ayant mis en place des programmes de sensibilisation ont observé une amélioration notable. 

En développant une meilleure compréhension des risques cyber, la sensibilisation encourage une culture de la sécurité proactive où chaque employé se sent responsable de la protection des données et des systèmes et aide les employés à reconnaître les diverses menaces (hameçonnage, attaques par ingénierie sociale, etc.) et à y répondre de façon adaptée. 

La formation des salariés va permettre de réellement renforcer la protection la protection des actifs numériques et les informations sensibles de l'entreprise. Pour être efficace, elle doit s'étendre à tous les niveaux de l'entreprise, impliquant à la fois les cadres et le personnel opérationnel. 

Un salarié formé identifiera plus rapidement les signes d'une attaque informatique, saura réagir de façon adaptée, ce qui contribuera à limiter les dommages et faciliter une reprise rapide des activités normales. 

Mettre en place des dispositifs de sensibilisation ou de formation continue pour informer les salariés de l'entreprise des dernières menaces et des meilleures pratiques identifiées, va aider à maintenir le  niveau de protection contre le risque de failles humaines.  

Le conseil de l’expert

Une cyberattaque peut entraîner des conséquences graves, incluant des pertes financières (estimées en moyenne à 97 000 euros pour une PME) et des dommages significatifs à la réputation de l'entreprise, souvent bien plus coûteux et difficilement réparables que les attaques techniques elles-mêmes.  

Les technologies de défense, bien que cruciales, ne suffisent pas seules à garantir une sécurité totale. Une simple erreur humaine, comme un clic sur un lien malveillant ou l'utilisation d'un mot de passe faible, peut compromettre les systèmes les plus robustes. 

C’est pourquoi former vos salariés aux bonnes pratiques de sécurité est essentiel pour maximiser l'efficacité des technologies en place et prévenir les attaques cyber.

En savoir plus

• Cyberattaques : Quels sont les risques pour votre entreprise ?
• Cybersécurité : La formation pour lutter contre les risques humains
• Gérer le risque humain dans le domaine de la cybersécurité : une nécessité absolue pour les entreprises

Fiche pratique réalisée par Mailinblack, Activateur France Num. Entreprise française de cybersécurité forte de 20 ans d'expertise, Mailinblack propose à toutes les organisations une offre de cybersécurité complète permettant de couvrir le risque humain.