C’est en substance les conclusions édifiantes du rapport State of the Phish de Proofpoint qui montre que 75% des salariés français ayant pris des risques en matière de cybersécurité l’ont fait en pleine connaissance de cause juste parce que c’était plus commode ou plus rapide.
Les français font n’importe quoi avec la cybersécurité de leur entreprise, et le pire c’est qu’ils le savent. C’est en substance les conclusions du dernier rapport State of the Phish de Proofpoint. D’après l’éditeur de solutions de cybersécurité qui a interrogé 7 500 employés et 1 050 professionnels de la sécurité dans 15 pays, 75% des salariés français ont pris des risques en matière de cybersécurité en pleine connaissance de cause. Résultat, la France se démarque par l’augmentation substantielle des sanctions financières notamment imposées par les législateurs (+320 % contre 144 % en moyenne dans le monde) et par les atteintes à la réputation de l’entreprise (+166 % en France contre une augmentation moyenne de 50 % dans le reste du monde).
Alors que l’Anssi vient tout juste de publier son Panorama de la menace, notant une augmentation de 30% des cyberattaques visant à dérober les données des Français, ces données peuvent faire froid dans le dos. Et le problème ne vient pas tant d’un manque de connaissance, mais plutôt d’une sorte de “je m’en foutisme assumé”. 79 % des sondés français ont en effet admis avoir pris des mesures risquées, telles que la réutilisation ou le partage d’un mot de passe, le fait de cliquer sur des liens provenant d’expéditeurs inconnus, ou en communiquant leurs informations d’identification à une source non fiable. Et parmi eux, 95 % l’ont fait en connaissance des risques inhérents à la sécurité. Les raisons avancées pour justifier ces prises de risque sont toujours aussi futiles. Pour la plupart des sondés c’est la commodité (43 %), le désir de gagner du temps (36 %) et le sentiment d’urgence (29 %) qui les motivent.
Des controles de sécurité plus conviviaux...
Ils savent donc qu’il ne faut pas le faire, mais le font quand même. Et pour cause, 64 % des employés interrogés en France n’en sont pas sûrs ou affirment qu’ils ne sont pas du tout responsables de la cybersécurité. Pourtant, 79 % des professionnels français de la sécurité interrogés déclarent de leur côté que la plupart de leurs collaborateurs comprennent la responsabilité qu’ils portent quant à la sécurité de l’entreprise. Il y a donc clairement une dissonance de l’ordre du “cause toujours tu m'intéresses”. Pour les professionnels, le seul moyen d’y remédier est une fois de plus d’augmenter les formations (76 %) et d’avoir des contrôles plus stricts (80 %). Ce à quoi répondent 94% des employés interrogés qu’ils donneraient la priorité à la sécurité si les contrôles étaient simplifiés et plus conviviaux.