Si 79 % des TPE PME disposent d’une solution antivirus, selon le Baromètre France Num 2024, elles ne sont que 34 % à avoir menées des actions de sensibilisation ou de formation à la cybersécurité au sein de l’entreprise. Pourtant la majorité des cyberattaques trouvent leur origine dans une erreur humaine.
Résultat : les dépenses des entreprises en solutions cyber pour se protéger contre les menaces cyber (pares-feux, antivirus et systèmes de détection d’intrusion, etc.) demeurent largement inefficaces. Replacer l’humain, premier vecteur de cyberattaque, au cœur de la stratégie de sécurisation de l’entreprise est fondamental.
Pour se protéger, les entreprises doivent impérativement sensibiliser et former à la cybersécurité leurs salariés.
Quelle est la place de l’erreur humaine dans les cyberattaques ?
L’erreur humaine en cybersécurité englobe toutes les actions, conscientes ou non, qui exposent les systèmes et les données à des menaces. Cela inclut des gestes apparemment innocents, comme le fait de cliquer sur un lien qui s’avère frauduleux ou d’utiliser des mots de passe faibles.
Comparé à d’autres vecteurs de risques comme l’exploitation de failles logicielles, l’erreur humaine reste le point d’entrée le plus fréquemment exploité par les cybercriminels. Dans la majorité des cas, les attaques avec des logiciels malveillants (malwares) ne sont que la conséquence de comportements d’utilisateurs imprudents ou mal informés.
L’erreur humaine est ainsi responsable de 90 % des cyberattaques, selon l’indice relatif à la veille stratégique en matière de sécurité d’IBM, que ce soit par le biais de l’hameçonnage (phishing), de la mauvaise gestion des mots de passe ou encore d’une mauvaise configuration des systèmes de protection.
Une perception des risques cyber souvent erronée
En entreprise, les dirigeants ont souvent une perception biaisée des risques en matière de cybersécurité. Ils concentrent leurs efforts sur les menaces techniques sophistiquées telles que les logiciels malveillants ou les failles logicielles et sous-estiment les risques liés aux erreurs humaines.
Ce déséquilibre est exacerbé par des biais cognitifs, comme l’illusion de contrôle, qui amène les dirigeants d’entreprise à croire qu’ils ont une maîtrise totale de la sécurité de leurs systèmes informatiques grâce aux technologies de pointe.
Pourtant, ce sont le plus souvent des actions humaines, apparemment anodines, comme la mauvaise gestion des mots de passe ou la négligence qui conduit à l’ouverture d’emails suspects, qui ouvrent la voie aux cyberattaques.
Sous-estimer l’importance de ces erreurs humaines rend inopérants les investissements consentis pour acquérir des solutions de cybersécurité. Il est donc crucial de réévaluer les stratégies de gestion des risques et d’accorder une place centrale à la prévention des comportements à risques des utilisateurs.
Les principales erreurs humaines en cybersécurité
- Clics sur des liens malveillants : les employés peuvent tomber dans des pièges d’hameçonnage (phishing) ou cliquer sur des liens dangereux, introduisant des logiciels malveillants dans les systèmes de l’entreprise.
- Utilisation de mots de passe faibles ou partagés : l’utilisation de mots de passe simples, réutilisés ou partagés entre plusieurs comptes, expose les systèmes à des risques importants. Les cybercriminels peuvent facilement les deviner ou les obtenir via des techniques de force brute ;
- Partage imprudent d’informations sensibles : le partage accidentel ou négligent de données sensibles peut conduire à des fuites d’informations ;
- Négligence dans la mise à jour des logiciels et systèmes : les logiciels non mis à jour (par les personnes qui en sont responsables) sont une cible facile pour les cyberattaques, car ils contiennent souvent des failles de sécurité connues et exploitables ;
- Erreurs de configuration et mauvaise gestion des accès : la mauvaise configuration des systèmes de sécurité et une gestion inappropriée des accès peuvent ouvrir des portes aux cybercriminels. Par exemple, des permissions trop larges accordées à certains utilisateurs peuvent compromettre l’ensemble du système ;
- Utilisation négligente des clés USB (ou autre périphérique USB) : L’utilisation de clés USB non sécurisées ou provenant de sources inconnues peut introduire des logiciels malveillants dans les systèmes informatiques. De plus, la perte ou le vol de clés USB contenant des données sensibles peut entraîner des fuites de données critiques. Les collaborateurs doivent donc être vigilants quant à leur utilisation.
Découvrez des témoignages de TPE PME victimes d’attaques à la suite d’erreurs humaines
.
