En raison de leur hypermédiatisation, il est légitime de penser que les menaces cyber proviennent principalement de l’extérieur (cyberattaques de masse, attaques DdoS, cyber-espionnage…). Cela explique d’ailleurs pourquoi les entreprises mobilisent l’essentiel de leurs ressources pour lutter contre les menaces externes.
Néanmoins, il existe d’autres menaces, beaucoup plus proches qu’on ne le pense et toutes aussi dangereuses. Elles se situent directement dans votre entreprise et émanent généralement d’un individu. Il s‘agit des fameux « cyber-risques humain ».
Qu’appelle-t-on les « cyber-risques humains » ? Pourquoi dit-on que l’humain représente un cyber-risque pour une entreprise ? Quelles stratégies adopter pour réduire ce risque ? Nous vous répondons à travers cet article.
Qu’appelle-t-on les « cyber-risques humains » ?
Le cyber-risque humain se traduit par un acte volontaire ou involontaire réalisé par une personne en interne ayant pour effet de nuire à l’entreprise. Plus concrètement, il peut s’agir d’une erreur ou d’une négligence d’un de vos collaborateurs, une méconnaissance des procédures de cybersécurité ou encore d’une intention malveillante.
Ce cyber-risque concerne toute personne ayant accès aux biens et aux données de l’entreprise : collaborateurs, associés, PDG, actionnaires… etc. La menace peut se situer à chaque niveau de l’organisation. Ce n’est pas tout ! Elle peut également provenir de vos fournisseurs et partenaires ayant un accès privilégié à votre infrastructure. Chaque maillon de la chaine d’approvisionnement est concerné.
Une étude récente de l’institut Ponemon classe les menaces cyber lié à l’humain en trois catégories :
- Les individus négligents : ils sont à l’origine de 61% des incidents de sécurité.
- Les individus négligents dont les informations d’identification ont été volées : Ils représentent 25% des incidents de sécurité.
- Les individus malveillants : ils sont à l’origine de 14% des incidents de sécurité.
Pourquoi l’humain représente-t-il un cyber-risque ?
L’humain représente la cause numéro 1 des brèches de cybersécurité dans une entreprise. D’après le rapport d’enquête 2022 de Verizon, il serait impliqué dans plus de 80 % des violations de sécurité. Dans la grande majorité des cas, un collaborateur met en danger involontairement son entreprise. Cette mise en danger résulte souvent d’une erreur ou d’un manque de vigilance, comme en cliquant sur lien suspect ou encore en consultant une page d’un site web non sécurisé.
Les cybercriminels le savent bien, les salariés sont la porte d’entrée des systèmes informatiques d’une organisation. En exploitant leurs négligences et leurs méconnaissances en matière de cybersécurité, ils peuvent très facilement s’introduire sur le réseau d’une entreprise.
Les collaborateurs font face aujourd’hui à des hackers employant des techniques d’ingénierie sociale toujours plus perfectionnées. Ces méthodes de persuasion psychologique les conduisent à réaliser une série d’actions pouvant mettre à mal toute une entreprise.
L’erreur humaine un fléau pour les entreprises
Nous faisons tous des erreurs. Malheureusement, certaines d’entre elles peuvent avoir de graves impacts sur la sécurité des systèmes et des données d’une organisation. L’erreur humaine est d’ailleurs considérée comme la principale source des cyber incidents. 43% des salariés déclarent avoir déjà commis une erreur ayant compromis la sécurité informatique de l’entreprise, selon le rapport The Psychology of Human Error de Tessian.
Parmi les erreurs les plus communes, on retrouve :
- Le partage, écriture ou réutilisation de mots de passe sur plusieurs comptes
- Une manipulation inappropriée des données comme la saisi du mauvais destinataire ou joindre le mauvais fichier
- Cliquer sur des liens frauduleux ou ouvrir une pièce jointe piégée d’un e-mail phishing.
- Télécharger des fichiers ou applications contenant des virus sur un site web non-sécurisé ou piégé.
Ces erreurs exposent dangereusement les données de l’entreprise et peuvent lui coûter très cher. Selon l’enquête Kaspersky Lab et B2B International, le coût d’un partage inapproprié de données serait en moyenne de 88 000 $ pour une PME. La perte matérielle d’un appareil mobile est quant à elle évaluée à 99 000 $. Des sommes non-négligeables pour les petites et moyennes entreprises.
Autres faits inquiétants, le nombre de cyber incidents induits par des erreurs humaines sont en nette augmentation. En seulement un an, le pourcentage des TPE et PME victimes d’une attaque impliquant une erreur humaine est passé de 25 à 32%. Cette tendance doit provoquer une réelle prise de conscience et amener les entreprises à trouver des solutions pour pallier cette menace interne.
Lire aussi : Le mot de passe est-il toujours d’actualité ?
Comment se protéger du cyber-risque humain ?
De nombreuses entreprises ne se sentent pas suffisamment protégées face aux cyber-risques humains. Toujours selon l’enquête Kaspersky Lab et B2B international, 52% des entreprises admettent que leurs collaborateurs représentent le principal point faible en ce qui concerne leur cybersécurité.
Pourtant, il existe aujourd’hui des solutions de sécurité centrées sur l’humain offrant aux organisations un niveau de protection élevé. En plaçant l’humain au cœur de votre stratégie de cyberdéfense, il deviendra un élément redoutable pour lutter contre les attaques informatiques.
La gestion continue des risques humains :
La gestion des risques humains (GRH) est une solution complète et efficace pour faire face à l’évolution de la menace cyber. Elle permet aux entreprises de comprendre, réduire et surveiller les cyber-risques impliquant l’humain. Elle favorise l’adoption de comportements plus sécurisés et instaure une réelle culture de cybersécurité au sein des équipes.
Elle se compose de quatre éléments clés :
- La sensibilisation à la cybersécurité
- La simulation phishing
- La politique de sécurité de l’entreprise
- La surveillance du dark web
Pour gérer efficacement les risques humains, le soutien de votre direction est crucial. Elle doit appuyer vos efforts, notamment en communiquant régulièrement auprès du personnel et en allouant le budget nécessaire à la réalisation de vos actions. Le succès de votre GRH dépendra également de la cohérence de votre plan de sensibilisation et de l’engagement de vos collaborateurs. Elle doit être adaptée au secteur d’activité de l’entreprise et doit prendre en compte l’évolution de la menace cyber.
En outre, via votre politique de GRH, vous devez inculquer que la cybersécurité relève de la responsabilité de chacun. Le service informatique n’est pas le seul responsable. Toute personne ayant accès aux données de l’entreprise est concernée et doit adopter le comportement adéquat pour les protéger.
Quelques conseils bonus pour un GRH efficace :
Pour finir, voici quelques conseils pour mener à bien votre stratégie de gestion des risques humains :
- Évaluez le niveau de maturité de votre personnel en ce qui concerne la cybersécurité en entreprise afin d’évaluer les besoins en formation et de mener des actions plus ciblées.
- Proposez une sensibilisation ludique et engageante: privilégiez les formats court, favorisant l’interaction.
- Déployez des simulations phishing trimestrielles afin d’entrainer vos collaborateurs et vérifiez l’acquisition des bonnes pratiques.
- Élaborez une charte informatique indiquant les usages et outils autorisés ou non par l’entreprise et informant votre personnel sur les bonnes pratiques numériques.
- Maintenez à jour vos politiques de cybersécurité: elles doivent intégrer les nouveaux process, nouveaux outils et guider vos collaborateurs pour faire face aux nouvelles cybermenaces.
- Mesurez l’impact de votre gestion des cyber-risques humains
Lire aussi : Comment mieux sensibiliser vos collaborateurs à la cybersécurité ?
Comment BA INFO vous aide à réduire les cyber-risques humains ?
BA INFO vous accompagne dans la mise en place de votre stratégie de gestion des cyber-risques humains. Notre objectif, vous aider à faire de vos collaborateurs des personnes averties en matière de sécurité en composant avec votre temps et votre budget.
Nous mettons à votre disposition, via une plateforme unique, l’ensemble des outils nécessaires pour mesurer, réduire et surveiller les cyber-risques humains. Vous aurez la possibilité de lancer des programmes de sensibilisation adaptés (e-learning), créer des campagnes phishing et de simplifier la gestion de vos politiques de sécurité. Vous disposez également de rapport de surveillance dark-web, vous notifiant lorsque les données de vos collaborateurs sont dangereusement exposées.
Demandez votre démonstration gratuite de la plateforme GRH et profitez-en pour nous poser toutes vos questions !
Découvrez tous nos articles sur notre Blog
Retrouvez tous nos conseils et astuces pour optimiser votre infrastructure informatique et simplifier votre quotidien !