septembre 2023

Mitiger la menace interne des natifs du numérique

On dit souvent que les employés peuvent être le maillon faible de la chaîne de cybersécurité de l'entreprise. Ce qui est moins souvent évoqué, c'est la question de savoir si certains types d'employés représentent une menace plus importante que d'autres. Cela pourrait avoir un impact majeur sur les résultats de l'entreprise. Selon une estimation, les menaces d'initiés ont coûté en moyenne plus de 15 millions de dollars aux organisations mondiales pour y remédier l'année dernière.

Selon une nouvelle étude d'EY, c'est la jeune génération de travailleurs qui prend la cybersécurité moins au sérieux. Il sera difficile pour les responsables informatiques de trouver un moyen de changer les comportements et d'encourager une approche plus informée et plus responsable parmi les natifs du numérique. Mais c'est possible.

Mitiger la menace interne des natifs du numérique

 

Les conclusions d'EY

L'étude est basée sur une enquête menée auprès de 1 000 employés américains concernant leur sensibilisation et leurs pratiques en matière de sécurité. Les personnes décrites comme faisant partie de la "génération Z" ou des "milléniaux" (génération Y) n'apparaissent pas sous un jour favorable. Plus précisément, l'étude révèle que

- Environ la moitié des répondants de la génération Z (48 %) et deux cinquièmes (39 %) des milléniaux admettent prendre la sécurité de leurs appareils personnels plus au sérieux que la protection de leurs appareils professionnels.

- La génération Z (58 %) et la génération Y (42 %) sont plus enclines à ignorer les mises à jour informatiques obligatoires aussi longtemps que possible que la génération X (31 %) et les baby-boomers (15 %).

- Les membres de la génération Z (30 %) et de la génération Y (31 %) sont plus enclins à utiliser le même mot de passe pour un compte professionnel et un compte personnel que les membres de la génération X (22 %) et les baby-boomers (15 %).

À première vue, ces résultats semblent aller à l'encontre de l'intuition. Après tout, si les natifs du numérique sont plus avertis sur le plan technologique, ils comprennent certainement mieux les cyberrisques et sont motivés pour suivre les meilleures pratiques en matière de sécurité. L'étude ne tente pas d'expliquer pourquoi ce n'est pas le cas. Elle révèle que la grande majorité (83 %) des employés interrogés comprennent les protocoles de cybersécurité de leur employeur. Il semble donc que les jeunes travailleurs choisissent délibérément de ne pas les suivre.

Une nouvelle ère de risques liés au travail hybride

Les responsables des technologies de l'information et de la sécurité seront de plus en plus confrontés à ce défi à mesure que les membres de la génération Z feront leur entrée sur le marché du travail. On prévoit qu'ils représenteront plus d'un quart (27 %) des travailleurs d'ici à 2025. Se pourrait-il qu'en tant que première génération à avoir grandi sans connaître un monde sans internet, ils soient plus nonchalants quant à l'impact potentiel d'un comportement risqué ?

Cela est de plus en plus important dans un environnement de travail hybride, où :

- La liberté de prendre des risques est plus grande. Une étude réalisée en 2021 a révélé qu'un grand nombre de travailleurs à domicile utilisent les ordinateurs portables de l'entreprise à des fins personnelles, par exemple pour jouer, faire des achats en ligne et télécharger des fichiers sur l'internet

- Les employés à distance peuvent être plus distraits et donc plus enclins à commettre des erreurs, ce qui peut conduire à des clics accidentels sur des courriels d'hameçonnage.

- Les appareils personnels et les réseaux domestiques peuvent ne pas être aussi bien protégés que ceux des entreprises.

Commencer par la formation

Dans ce contexte, la cybersécurité de l'entreprise doit être conçue autour des personnes. Cela signifie des contrôles pour protéger les données et les systèmes critiques au cas où les utilisateurs commettraient des erreurs - comme le cryptage, l'authentification multifactorielle et la prévention de la perte de données. Il faut également appliquer avec plus de fermeté les politiques relatives aux correctifs et à la gestion des appareils à distance, afin de réduire la surface d'attaque dans un environnement informatique aujourd'hui beaucoup plus distribué. Mais cela signifie aussi qu'il faut revoir et mettre à jour les programmes de formation de sensibilisation des utilisateurs.

Les éléments suivants doivent être pris en compte lors de l'évaluation de cette partie cruciale de la stratégie de cybersécurité de l'entreprise :

- Trouver les bons outils : Les solutions de formation doivent offrir des simulations réelles hautement personnalisables qui peuvent être modifiées en fonction de l'évolution des tactiques d'hameçonnage. Elles doivent également fournir des indicateurs détaillés sur le comportement des utilisateurs, qui peuvent être utilisés pour informer les employés et adapter l'approche de la formation.

- Les leçons doivent être courtes et agréables : Il vaut mieux organiser des sessions régulières et percutantes de 10 à 15 minutes plutôt que d'ennuyer les utilisateurs avec des leçons trop longues et peu fréquentes.

- Ne laissez personne de côté : Tout le monde est un vecteur de menace potentiel, des membres du conseil d'administration aux employés à temps partiel et aux sous-traitants. Tous doivent être inclus dans les programmes de formation et de sensibilisation.

- Se concentrer sur la culture : Améliorer la sensibilisation aux menaces est une chose, changer les comportements pour encourager le signalement des incidents en est une autre. EY a constaté que 16 % des personnes interrogées préféreraient essayer de gérer elles-mêmes une éventuelle violation de la sécurité plutôt que de la signaler. Le personnel doit avoir le sentiment qu'il ne sera pas jugé s'il signale trop d'incidents.

- Envisagez d'élargir les programmes : La frontière entre vie professionnelle et vie privée étant de plus en plus floue aujourd'hui, il est de plus en plus nécessaire d'adapter la formation et la sensibilisation pour qu'elles couvrent les deux. Considérez le domicile de chaque employé comme un micro-bureau satellite.

- Il n'y a pas deux travailleurs identiques : il peut être intéressant de travailler avec les RH pour établir le profil des utilisateurs en groupes distincts sur la base de leur comportement et de leur rôle. Les programmes de formation peuvent alors être plus personnalisés et plus pertinents.

Malgré les titres accrocheurs, la sensibilisation à la sécurité des utilisateurs n'est pas seulement un défi pour les membres de la génération Z/Y. EY a constaté que la moitié ou moins des personnes interrogées sont "très confiantes" dans l'utilisation de mots de passe forts, la mise à jour des appareils professionnels, l'identification des tentatives d'hameçonnage et d'autres bonnes pratiques. Ce n'est qu'en se concentrant sur les personnes, les processus et la technologie que les responsables de l'informatique et de la sécurité peuvent mieux gérer les risques liés aux initiés.

 

Par Phil Muncaster

Cet article a été initialement publié sur Journey Notes, le blog de Barracuda.

Lien vers l'article original

Retour