Réduire le risque d’erreur humaine pour améliorer la protection cyber de l’entreprise : un impératif
Dossier | Publié le 16 octobre 2024 | Mis à jour le 21 octobre 2024
90 % des cyberattaques trouvent leur origine dans une erreur humaine ! Face à ce constat, les TPE PME, en plus de se doter d'outils de protection, doivent impérativement investir dans la sensibilisation et la formation des salariés pour se prémunir contre les menaces en ligne, de plus en plus nombreuses et de plus en plus destructrices.
Si 79 % des TPE PME disposent d'une solution antivirus, selon le Baromètre France Num 2024, elles ne sont que 34 % à avoir menées des actions de sensibilisation ou de formation à la cybersécurité au sein de l'entreprise. Pourtant la majorité des cyberattaques trouvent leur origine dans une erreur humaine.
Résultat : les dépenses des entreprises en solutions cyber pour se protéger contre les menaces cyber (pares-feux, antivirus et systèmes de détection d'intrusion, etc.) demeurent largement inefficaces. Replacer l’humain, premier vecteur de cyberattaque, au cœur de la stratégie de sécurisation de l'entreprise est fondamental.
Pour se protéger, les entreprises doivent impérativement sensibiliser et former à la cybersécurité leurs salariés.
Quelle est la place de l'erreur humaine dans les cyberattaques ?
L'erreur humaine en cybersécurité englobe toutes les actions, conscientes ou non, qui exposent les systèmes et les données à des menaces. Cela inclut des gestes apparemment innocents, comme le fait de cliquer sur un lien qui s’avère frauduleux ou d’utiliser des mots de passe faibles.
Comparé à d'autres vecteurs de risques comme l'exploitation de failles logicielles, l'erreur humaine reste le point d'entrée le plus fréquemment exploité par les cybercriminels. Dans la majorité des cas, les attaques avec des logiciels malveillants (malwares) ne sont que la conséquence de comportements d’utilisateurs imprudents ou mal informés.
L’erreur humaine est ainsi responsable de 90 % des cyberattaques, selon l'indice relatif à la veille stratégique en matière de sécurité d'IBM, que ce soit par le biais de l'hameçonnage (phishing), de la mauvaise gestion des mots de passe ou encore d'une mauvaise configuration des systèmes de protection.
Une perception des risques cyber souvent erronée
En entreprise, les dirigeants ont souvent une perception biaisée des risques en matière de cybersécurité. Ils concentrent leurs efforts sur les menaces techniques sophistiquées telles que les logiciels malveillants ou les failles logicielles et sous-estiment les risques liés aux erreurs humaines.
Ce déséquilibre est exacerbé par des biais cognitifs, comme l'illusion de contrôle, qui amène les dirigeants d’entreprise à croire qu’ils ont une maîtrise totale de la sécurité de leurs systèmes informatiques grâce aux technologies de pointe.
Pourtant, ce sont le plus souvent des actions humaines, apparemment anodines, comme la mauvaise gestion des mots de passe ou la négligence qui conduit à l'ouverture d'emails suspects, qui ouvrent la voie aux cyberattaques.
Sous-estimer l’importance de ces erreurs humaines rend inopérants les investissements consentis pour acquérir des solutions de cybersécurité. Il est donc crucial de réévaluer les stratégies de gestion des risques et d’accorder une place centrale à la prévention des comportements à risques des utilisateurs.
Les principales erreurs humaines en cybersécurité
- Clics sur des liens malveillants : les employés peuvent tomber dans des pièges d'hameçonnage (phishing) ou cliquer sur des liens dangereux, introduisant des logiciels malveillants dans les systèmes de l'entreprise.
- Utilisation de mots de passe faibles ou partagés : l'utilisation de mots de passe simples, réutilisés ou partagés entre plusieurs comptes, expose les systèmes à des risques importants. Les cybercriminels peuvent facilement les deviner ou les obtenir via des techniques de force brute ;
- Partage imprudent d'informations sensibles : le partage accidentel ou négligent de données sensibles peut conduire à des fuites d'informations ;
- Négligence dans la mise à jour des logiciels et systèmes : les logiciels non mis à jour (par les personnes qui en sont responsables) sont une cible facile pour les cyberattaques, car ils contiennent souvent des failles de sécurité connues et exploitables ;
- Erreurs de configuration et mauvaise gestion des accès : la mauvaise configuration des systèmes de sécurité et une gestion inappropriée des accès peuvent ouvrir des portes aux cybercriminels. Par exemple, des permissions trop larges accordées à certains utilisateurs peuvent compromettre l'ensemble du système ;
- Utilisation négligente des clés USB (ou autre périphérique USB) : L'utilisation de clés USB non sécurisées ou provenant de sources inconnues peut introduire des logiciels malveillants dans les systèmes informatiques. De plus, la perte ou le vol de clés USB contenant des données sensibles peut entraîner des fuites de données critiques. Les collaborateurs doivent donc être vigilants quant à leur utilisation.
Découvrez des témoignages de TPE PME victimes d'attaques à la suite d'erreurs humaines
Julie, dirigeante d’un cabinet de conseil en stratégie, victime d’un vol de données sur ses serveurs
Découvrez le récit fictif mais inspiré de faits réels d’une TPE qui a perdu plusieurs clients après le piratage d’un de ses serveurs...
Sam, dirigeant d’une maçonnerie, victime d’un piratage de messagerie
Découvrez le récit fictif, mais inspiré de faits réels, d’une TPE du bâtiment qui s'est fait piraté sa messagerie par un escroc qui en a...
Antoine, dirigeant d’une fromagerie, victime d’un rançongiciel
Découvrez le récit fictif, mais inspiré de faits réels, d’une PME de 50 personnes qui a vu son activité interrompue à la suite d’une attaque...
Quelles sont les bonnes pratiques pour réduire les risques d'erreurs humaines en cybersécurité ?
Ces exemples montrent comment des erreurs humaines, qu’il s’agisse d’un clic sur des liens suspects, du téléchargement de fichiers malveillants ou d'une gestion des mots de passe inappropriée, peuvent avoir des conséquences graves en matière de cybersécurité.
Ces témoignages soulignent l'importance cruciale de la sensibilisation, de la formation et de la mise en œuvre de bonnes pratiques de sécurité pour prévenir les cyberattaques.
Adopter les bons réflexes
- Ne communiquez jamais d’identifiants confidentiels (email, numéro de téléphone…) suite à une demande inhabituelle. En cas de doute, il est vérifiez l'authenticité de la démarche par un autre canal que celui utilisé pour la effectuer la demande.
- Évitez l’utilisation de mots de passe faciles à déchiffrer. Au lieu de créer des mots de passe complexes et difficiles à retenir, il est plus judicieux d’imaginer une suite de mots (par exemple “ecranverregobeletvase”) difficile à décrypter et que l’utilisateur devra modifier régulièrement ou bien d'utiliser un gestionnaire de mots de passe.
- Vérifiez l’url du site consulté ou l’adresse mail de l’expéditeur. Cette vérification supplémentaire peut notamment aider à prévenir les tentatives d'hameçonnage ou d’arnaque au faux virement.
- Séparez vie privée et vie professionnelle pour éviter que des pirates tentent d'exploiter cette confusion. La consultation d’emails personnels ou de réseaux sociaux sur le lieu de travail peut être une source de risques, tout comme l’utilisation de mots de passe identiques pour s’identifier à la fois dans l’entreprise et à la maison.
En savoir plus :
Faites preuve de vigilance avec les mails, SMS et autres messages
Les attaquants font preuve de plus en plus de professionnalisme pour tromper leur cible. Le recours à des outils d'IA générative, comme ChatGPT, leur permet de concevoir des messages de plus en plus crédibles. Et les quantités de données volées à des entreprises ou à des administrations, qui se marchandent sur le Web clandestin, leurs offrent de nombreuses informations pour personnaliser leurs message. En cas de doute sur un message :
Vérifiez l’orthographe du message, mais aussi (et surtout) l’adresse de l’expéditeur, car oui, l’usurpation d’identité se remarque d'abord avec l’adresse email de l'expéditeur. Soyez attentifs au détails car les pirates ont souvent recours à des adresses mail ressemblantes grâce au typosquattage (ou typosquatting).
Examinez attentivement le degré de sérieux des propositions reçues, même si certaines offres semblent alléchantes, il vaut parfois mieux se renseigner dessus avant de sauter sur l’occasion
Créer une culture de la sécurité en entreprise
Créer une culture de la sécurité en entreprise est essentiel pour garantir une protection robuste contre les menaces cybernétiques et les risques internes.
Cela commence par l'engagement du dirigeant, qui doit montrer l'exemple en adoptant des pratiques de sécurité rigoureuses et par le fait d'intégrer la cybersécurité dans la stratégie globale de l'entreprise.
Il est essentiel de communiquer au sein de l'entreprise sur les questions de sécurité, de valoriser les comportements proactifs et de promouvoir une responsabilité collective où chaque membre se sent investi de la protection des données et des systèmes.
Par ailleurs, il est important de mettre en place des politiques claires et des procédures accessibles pour gérer les risques. Ce travail de formalisation favorisera une réponse rapide et coordonnée en cas de crise liée à un incident de sécurité ou une violation de données.
Communiquez auprès de votre écosystème pour lui faire connaître vos engagements en matière de cybersécurité. Car si la culture de la sécurité favorise la résilience face aux cyberattaques, elle renforce aussi la confiance des clients et des partenaires, et contribue a améliorer la réputation de l'entreprise et donc sa compétitivité.
Sensibiliser et former tous les salariés de la TPE PME
Investir dans des programmes de sensibilisation à la cybersécurité est un premier niveau de réponse crucial pour renforcer la résilience de la TPE PME face aux menaces numériques croissantes. En développant une meilleure compréhension des risques cyber, ils encouragent une culture de la sécurité proactive où chaque employé se sent responsable de la protection des données et des systèmes.
Ces programmes de sensibilisation vont aider les employés à reconnaître les diverses menaces (hameçonnage, attaques par ingénierie sociale, etc.) et à y répondre de façon adaptée.
La formation des salariés va permettre de réellement renforcer la protection la protection des actifs numériques et les informations sensibles de l'entreprise. Pour être efficace, elle doit s'étendre à tous les niveaux de l'entreprise, impliquant à la fois les cadres et le personnel opérationnel.
Un salarié formé identifiera plus rapidement les signes d'une attaque informatique, saura réagir de façon adaptée, ce qui contribuera à limiter les dommages et faciliter une reprise rapide des activités normales.
Mettre en place des dispositifs de sensibilisation ou de formation continue pour informer les salariés de l'entreprise des dernières menaces et des meilleures pratiques identifiées, va aider à maintenir le niveau de protection contre le risque de failles humaines.
Ressources pour sensibliser les salariés à la cybersécurité
Une Mallette Cyber pour sensibiliser les salariés des TPE PME aux menaces en ligne
Conçue pour sensibiliser les publics les plus éloignés du numérique au risques cyber cette mallette prête à imprimer constitue un outil ludique...
Avec SensCyber sensibilisez aux risques cyber les collaborateurs de votre TPE PME
Cybermalveillance.gouv.fr, partenaire de France Num, met à disposition des TPE PME un module de formation en ligne pour sensibiliser leurs...
Jeu des 8 familles d'atteintes à la sécurité économique
Pour protéger son entreprise : téléchargez le kit de sensibilisation des atteintes à la sécurité économique avec son jeu des 8 familles (par...
Ressources pour former les salariés à la cybersécurité
Quelles sont les formations à la cybersécurité pour les TPE et PME ?
Les dirigeants de TPE PME doivent protéger leur entreprise contre les menaces cyber. Pour les aider à prendre des mesures adaptées un certain nombre de formations sont accessibles. Découvrez notre sélection de formations en ligne, gratuites et accessibles, pour tout comprendre à la cybersécurité.
Le conseil de l’expert
Une cyberattaque peut entraîner des conséquences graves, incluant des pertes financières (estimées en moyenne à 97 000 euros pour une PME) et des dommages significatifs à la réputation de l'entreprise, souvent bien plus coûteux et difficilement réparables que les attaques techniques elles-mêmes.
Les technologies de défense, bien que cruciales, ne suffisent pas seules à garantir une sécurité totale. Une simple erreur humaine, comme un clic sur un lien malveillant ou l'utilisation d'un mot de passe faible, peut compromettre les systèmes les plus robustes.
C’est pourquoi former vos salariés aux bonnes pratiques de sécurité est essentiel pour maximiser l'efficacité des technologies en place et prévenir les attaques cyber.
En savoir plus
- Cyberattaques : Quels sont les risques pour votre entreprise ?
- Cybersécurité : La formation pour lutter contre les risques humains
- Gérer le risque humain dans le domaine de la cybersécurité : une nécessité absolue pour les entreprises
Fiche pratique réalisée par Mailinblack, Activateur France Num. Entreprise française de cybersécurité forte de 20 ans d'expertise, Mailinblack propose à toutes les organisations une offre de cybersécurité complète permettant de couvrir le risque humain.
Julien Karachehayas | Tous droits réservés