Vos employés savent que leurs mots de passe sont faibles, mais ils ne les changeront pas
Le rôle de utilisateur habituel a tendance à être négligé lorsque les médias traditionnels discutent de la cybercriminalité, ce qui est parfaitement compréhensible dans une certaine mesure. Après tout, il est plus facile de vendre un article sur des pirates informatiques extrêmement sophistiqués parrainés par État qui utilisent des outils de piratage intelligents pour contourner les mécanismes de défense des grandes organisations.
Cependant, le fait est que les employés négligents sont souvent à la base des attaques les plus médiatisées. Tout dépend des habitudes de cybersécurité des gens et de leur compréhension du risque, ou plus précisément de absence de risque. Pour lutter contre la cybercriminalité, les entreprises de sécurité doivent comprendre pourquoi nous sommes confrontés à ce problème. est pourquoi WebRoot est associé à Wakefield Research pour mener une étude intitulée " Décrochage, ligne et sabotage: pourquoi les attaques par hameçonnage fonctionnent-elles ". Les résultats sont aussi fascinants qu’inquiétants.
Table of Contents
Des chercheurs interrogent 4 000 employés de bureau excessivement confiants
L’enquête a concerné 4 000 travailleurs des États-Unis, du Royaume-Uni, du Japon et de l’Australie. L’une des premières tâches de ces personnes a été d’estimer leur confiance en leur capacité à distinguer les messages de phishing des messages réels. Étonnamment ou non, les réponses dépendent au moins dans une certaine mesure de la situation géographique des personnes et de leur éducation culturelle. Au Royaume-Uni, aux États-Unis et en Australie, par exemple, environ 90% des travailleurs déclarent pouvoir distinguer un message de phishing un message réel. En revanche, environ un Japonais sur deux seulement a exprimé une confiance similaire.
Si nous supposons que ces chiffres représentent également le reste du monde, nous en conclurons qu environ 79% de tous les employés de bureau estiment pouvoir détecter un courrier électronique de phishing. Les chiffres suivants montrent qu’ils sont bien trop arrogants.
Environ 49% des répondants admettent avoir cliqué sur des liens dans des courriers électroniques provenant expéditeurs inconnus alors qu ils étaient au travail. Par coïncidence ou non, 48% des employés interrogés ont déclaré que leurs informations personnelles et / ou financières avaient été violées au moins une fois.
Il est assez évident que, même ils pensent le savoir mieux que quiconque, beaucoup employés ne sont pas suffisamment instruits et expérimentés pour éviter la plupart des pièges hameçonnage. Ce est pas le seul problème.
Les employés ne savent pas comment gérer un incident de cybersécurité
67% des répondants ont déclaré avoir reçu au moins un email de phishing au travail. Parmi eux, environ 39% ont rien fait pour signaler le message et aider à localiser sa source. Quelques autres résultats démontrent le manque de sensibilisation des personnes à la sécurité.
Bien que la plupart des répondants sachent que les e-mails de spam se situent au bas de la plupart des opérations de vol de codes malveillants et de données identification, beaucoup ne reconnaissent pas les messages texte , les médias sociaux et les appels vocaux en tant que vecteurs de phishing.
Les statistiques les plus inquiétantes, cependant, sont celles qui détaillent les actions des personnes à la suite d’une violation. 29% des répondants qui ont admis avoir été frappés par une violation en ont pas informé les autorités judiciaires et au Japon, environ 13% ont absolument rien fait du tout.. Environ 35% des travailleurs touchés par une violation de données ont pas pris la peine de changer leurs mots de passe après la fuite de leurs informations. Et, comme la plupart d’entre vous le savez sûrement, c’est la première et la plus importante mesure qu’un utilisateur devrait prendre à la suite d’une cyberattaque.
Quelque chose doit être fait
De toute évidence, la situation est loin d’être idéale et les entreprises du monde entier devraient commencer à réfléchir à ce qu’elles peuvent faire pour l’améliorer. Les auteurs de étude ont souligné à juste titre que les organisations doivent investir dans des formations et des cours de sensibilisation qui devraient sensibiliser davantage à la menace du phishing et à autres aspects de la cybersécurité. Les simulations hameçonnage, en particulier, sont particulièrement utiles car elles permettent aux employés de se familiariser avec ce que signifie être victime une arnaque par hameçonnage.
Comme Cleotilde Gonzalez, Ph.D. de la Carnegie Mellon University a toutefois souligné dans ses commentaires sur la recherche que "ce dont nous avons vraiment besoin, est un relooking de état esprit". Les personnes doivent prendre conscience de l’importance de la cybersécurité et comprendre les conséquences de ne pas la prendre suffisamment au sérieux.
Alors et seulement alors, la véritable menace viendra des pirates sponsorisés par l’État et de leurs outils sophistiqués. Ils seront toutefois confrontés à une défense beaucoup plus redoutable.
