Etude : Les salariés trop confiants quant à la cybersécurité dans leur entreprise

Le groupe Capgemini dévoile le 16 juin l'étude "Cybersécurité, Objets connectés et Systèmes industriels" réalisée par Opinion Way. Elle porte sur la cybersécurité vue par les collaborateurs. Il en ressort un écart significatif entre la perception de la cybersécurité dans l'entreprise par les salariés et la réalité effective des cyberattaques qu'elle subit.

Ainsi, 85% des collaborateurs estiment que leur société est bien protégée, un chiffre qui monte à 90% pour les grandes entreprises et 93% pour les ETI. Paradoxalement, 36% d'entre eux affirment qu'elle a déjà fait l'objet d'une attaque informatique, et cela va jusqu'à 47% dans les grandes entreprises.

Bernard Barbier, responsable de la sécurité des systèmes d’Information (RSSI) du groupe Capgemini et directeur technique sur la business unit cybersécurité du groupe, explique ces chiffres par l'asymétrie du risque posé par la cybersécurité. "On peut être protégé à 90%, mais cela suffit à laisser passer les hackers. Une seule petite fuite peut tout compromettre."

Une évolution des menaces

La perception de la gravité des menaces est l'un des autres points mis en avant par l'étude. Si le virus informatique reste encore perçu comme la menace principale en cumulé (48%), le vol de données (43%) et l'erreur humaine (38%) sont désormais plus présents dans l'esprit des gens. L'attaque de hacker n'arrive en comparaison qu'en 5e place (25%). "Les virus informatiques classiques tels qu'on les a connus ne sont pas une menace réelle, c'est plus historique d'autre chose, confirme Bernard Barbier. La vraie menace c'est le vol de données, qu'il soit crapuleux ou à des fins d'espionnage."

Les données personnelles, qui ont désormais une valeur marchande, sont au coeur du problème. Et elles peuvent coûter d'autant plus cher aux entreprises que la règlementation européenne est très stricte sur leur vol, les amendes pouvant atteindre jusqu'à 5% du chiffre d'affaires mondial d'un groupe.

Pour faire face à l'évolution et à la recrudescence des attaques, Bernard Barbier conseille un changement d'approche. "Les attaques sont de plus en plus sophistiquées, et à l'avenir il y en aura toujours qui réussiront. Alors il ne faut plus s'évertuer à vouloir absolument bloquer les intrusions, mais plutôt se concentrer sur leur détection. C'est ce que nous faisons chez Capgemini, avec la mise en place de centres de détection en temps réel."

L'humain au coeur de l'équation

Au-delà des mesures techniques, l'aspect humain joue aussi énormément. Avec des erreurs involontaires, comme dans le cas de TV5 Monde, ou des attaques par phishing (faux emails) et social engineering, qui représentent 80% des attaques réussies. Sans parler des 10% de salariés interrogés qui déclarent avoir subi un vol de leur ordinateur professionnel. "La cybersécurité nécessite une hygiène informatique qui gêne les gens, admet Bernard Barbier. Il faut faire comprendre les enjeux, notamment par des campagnes de sensibilitation et de formation. Expliquer les risques et les conséquences des attaques, et le fait que tout le monde est responsable."

Une problématique qui pourrait à l'avenir devenir partie intégrante du contrat de travail entre l'entreprise et le salarié. "Nous mettons en place un avenant au contrat de travail avec 68 règles de conduite qui imposent des bonnes pratiques, comme une sorte de code de la route informatique", explique le RSSI. Des obligations informatiques qui pourraient entraîner des fautes graves pour les salariés en cas de manquement.

Ces chiffres reflètent également un problème de communication de la part des entreprises, alors que le nombre d'attaques croît considérablement (augmentation de 120% entre 2013 et 2014). Des attaques dont les salariés n'ont pas forcément connaissance. "Il n'y a pas assez de communication en interne à l'heure actuelle lors de cyberattaques, reprend Bernard Barbier. C'est une mauvaise pratique. Les entreprises en ont eu honte par le passé, mais désormais cela devient presque normal. 100% des entreprises font l'objet de cyberattaques."

L'enjeu des infrastructures critiques

Si pour lui le vol de données et les attaques sur les sites internet de type deni de service constituent les principales sources de danger pour les entreprises, l'expert en cybersécurité conclut par un avertissement envers les infrastructures critiques : "Bloquer certains systèmes de distribution d'eau ou d'électricité, ou saboter le bon fonctionnement d'une usine pourrait avoir des répercussions catastrophiques, à la fois sur le plan matériel et humain. Pourtant la préoccupation en matière de sécurité pour ces systèmes n'est pas assez élevée. Je crains qu'il faille que des incidents se produisent pour que les gens réagissent."

L'étude Opinion Way pour Capgemini :