in

77 % des salariés français pensent que leur comportement n’a pas d’incidence sur la sécurité des données de leur entreprise

La dernière étude Cisco révèle également que près de la moitié des employés français (41 %) se sentent peu ou pas concernés par la politique de sécurité de l’entreprise alors même que leur comportement peut représenter une menace.

Menée auprès de 12 000 employés sur la région EMEAR (Europe, Moyen-Orient, Afrique et Russie), dont 1000 salariés en France, l’étude de Cisco sur la sécurité invite les entreprises à mettre en place des politiques de sécurité centrées sur la menace, en tenant compte du comportement des utilisateurs. L’étude a en effet permis de dresser 4 profils type d’employés, selon leur comportement vis-à-vis de la sécurité : le « conscient de la menace », le « bien-intentionné », le « complaisant » et le « désabusé et cynique ».

  • En France, 82 % des salariés interrogés n’ont pas connaissance des récentes failles de sécurité, telles que Heartbleed. Ce chiffre tombe à 61 % en Allemagne et 42 % au Royaume-Uni.
  • En France, 40 % des employés interrogés pensent que leur comportement est l’une des 3 principales menaces pour la sécurité des données – derrière la cybercriminalité (46 %) et l’hacktivisme (57 %). Nos voisins européens sont plus nombreux à penser que le risque humain est impactant : 53 % en Allemagne, 59 % en Suède, 62 % en Suisse et 52 % pour l’ensemble de la région EMEAR.
  • 25 % des salariés français ne savent pas si leur entreprise dispose d’une politique de sécurité contre 19 % en Allemagne et 15% au Royaume-Uni.

Selon l’étude de Cisco sur la sécurité, les entreprises mettent en danger leur données en accordant beaucoup de ressources sur la menace externe, pour contrer les cybercriminels, et pas suffisamment de moyens pour faire face au risque lié au facteur humain et à la menace interne.

Les résultats de cette étude, mettent en évidence deux tendances significatives :

  • La première montre que le comportement des employés est un véritable maillon faible pour la cybersécurité et devient une source croissante de risque – plus par manque d’intérêt et ignorance que par volonté de nuire. Les employés ne se sentent pas concernés par les menaces quotidiennes et s’attendent ainsi à ce que les paramètres de sécurité de l’entreprise les protègent.
  • La seconde tendance montre qu’un nombre croissant d’employés pense que la sécurité nuit à l’innovation et complexifie leur travail – à tel point où certains employés prennent des mesures pour contourner les règles de sécurité (une personne sur 20 en France, en Allemagne ou en Angleterre et une personne sur 14 en moyenne pour la région EMEAR).

Une culture du « je m’en foutisme » à la française mêlée à des attentes contradictoires

Les résultats indiquent que près de la moitié des salariés français (48 %) remarquent qu’il existe une politique de sécurité dans leur entreprise seulement lorsque celle-ci les empêche de poursuivre ce qu’ils sont en train de faire.

Alors que 53 % des employés français pensent que leur entreprise a mis en place une politique de sécurité, un quart (25 %) ne sait pas s’il y en a une ou non et 22 % pensent qu’il n’y en a pas. Ce qui signifie que près de la moitié des employés (47 %) rendent encore plus vulnérable leur entreprise.

Pour autant, 40 % des salariés s’attendent à ce que les paramètres de sécurité protègent à la fois leurs données personnelles et les données de l’entreprise et plus de la moitié (56 %), pensent que leurs données personnelles sont mieux protégées au bureau qu’à la maison. Ce sentiment de sécurité au bureau implique que deux fois plus de personnes ont admis être plus rigoureux sur la sécurité à la maison (27 %) qu’au bureau (13 %).

Des difficultés à mesurer l’impact de son comportement sur la menace et à adhérer à la politique de sécurité

Près d’un quart (22 %) des personnes interrogées semblent si peu concernées par la réalité de la menace, qu’elles pensent que leur comportement a peu ou pas d’impact sur la sécurité. Une large majorité (77 %) pense qu’elle a un impact faible ou modéré.

Près d’un salarié sur deux (45 %) a des difficultés à adhérer aux politiques de sécurité de son entreprise et une personne sur 20 la contourne délibérément. Les salariés allemands et anglais adhèrent plus facilement à la politique de sécurité de l’entreprise, puisqu’ils sont respectivement 36 % et 38 % à rencontrer des difficultés pour y adhérer.

Le changement attendra

Alors que la plupart des salariés français (82 %) n’ont jamais entendu parler des plus grandes failles de sécurité (ex : Heartbleed), ils sont la moitié (47 %) à ne pas changer de mots de passe suite à la révélation de ces failles et 62 % déclarent qu’ils n’ont toujours pas de mots de passe différents pour chaque site ou chaque application, malgré les nombreuses recommandations des experts de la sécurité mises en avant dans les médias.

Adopter une approche de la sécurité centrée sur la menace en tenant compte du comportement de l’utilisateur

Dans le cadre de cette étude, Cisco a identifié 4 profils d’utilisateur distincts à prendre en compte dans le cadre d’une approche de la sécurité centrée sur la menace. Selon le comportement de l’employé, chaque profil montre un niveau de menace différent pour la sécurité des données et nécessite une approche spécifique afin de limiter le risque, tout en permettant aux employés de travailler librement et efficacement :

  • Le conscient de la menace – connait les risques liés à la sécurité et s’efforce d’avoir un comportement sûr en ligne 
  • Le bien-intentionné – essaie de se conformer aux politiques de sécurité mais prend des décisions « à l’aveuglette »
  • Le complaisant – attend que l’entreprise fournisse un environnement de sécurité global et donc, ne prend aucune responsabilité individuelle pour la sécurité des données
  • Le désabusé et cynique – contourne les politiques car il pense que la menace liée à la sécurité est surestimée et que la sécurité informatique l’empêche de travailler

« Cette étude montre qu’il existe un besoin urgent d’adopter une approche de la sécurité centrée sur la menace en prenant en compte le comportement des utilisateurs pour faire face à la cybercriminalité et limiter le risque lié au maillon faible : l’utilisateur » explique Cyrille Badeau, Directeur Europe du Sud Cybersécurité de Cisco. « Si celui-ci ne mesure pas toujours l’impact qu’il peut avoir sur la sécurité des données de l’entreprise, 58 % des salariés français interrogés dans cette étude estiment pourtant que le risque est réel. Une prise de conscience dont doivent profiter les RSSI pour parvenir à protéger les informations sensibles de l’entreprise, à la fois de la menace interne et de la menace externe ».

Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.