Sensibilisation à la sécurité : un chantier à peine entamé

Près de la moitié des collaborateurs des entreprises françaises – 46 % – sont ignorants des comportements à adopter pour se protéger des techniques d’ingénierie sociale. Et pourtant, comme le souligne Gérôme Billois, senior manager cybersécurité chez Solucom, « l’ingénierie sociale est aujourd’hui le vecteur n°1 pour réaliser des fraudes ou s’introduire dans les réseaux d’entreprise ». Et Michel Gérard, directeur de Conscio Technologies d’insister : « la majorité des incidents ou pertes de données sont déclenchés par le facteur humain. Il est donc primordial de sensibiliser les salariés aux bonnes pratiques ». Un message répété régulièrement, mais qui semble encore peiner à être entendu…

Mais pourquoi ? Cette question n’est pas abordée par l’étude réalisée par Conscio et Solucom auprès de 28 000 personnes dans 12 grandes entreprises françaises. Des recherches antérieures apportent toutefois des éléments de réponse. Ainsi, en juin dernier, une étude Opinionway pour Capgemini et sa filiale Sogeti, mettait en évidence un niveau de confiance élevé des salariés dans la protection informatique de leur entreprise. De quoi les encourager à baisser la garde. Bernard Barbier, RSSI de Gapgemini le soulignait d’ailleurs : « tous les chiffres montrent que le nombre d’attaques croît considérablement d’année en année ; attaques dont les salariés de l’entreprise n’ont pas forcément connaissance ».

Et comme si cela ne suffisait pas, une étude de Fortinet montrait au printemps dernier que les entreprises affichent une confiance élevée dans la sécurité de leurs systèmes d’information, au-delà de leur niveau de confiance réel…

Mais ce n’est pas tout. Si une récente étude de SplashData vient de montrer à quel point les pratiques relatives aux mots de passe sont mauvaises, celle de Solucom et Conscio donne une idée de l’étendue du problème en France : seuls 47 % des collaborateurs se conforment aux pratiques de référence en la matière… alors même que 88 % « sont sensibilisés sur la nécessité d’avoir un mot de passe de bonne qualité ». Et si ces chiffres ne constituent pas une surprise, on imagine que beaucoup d’experts du domaine doivent avoir le sentiment de prêcher dans le désert. À commencer par ceux de l’Agence nationale pour la sécurité des systèmes d’information (Anssi) qui publiait un guide à destination des PME en mars 2015, couvrant notamment la question des mots de passe.

Enfin, selon l’étude menée conjointement par Solucom et Conscio, seulement 63 % des collaborateurs des entreprises ont été sensibilisés aux exigences réglementaires liées à la protection des données à caractère personnel – et ce chiffre ne porte que sur « les règles de base ». Pour Gérôme Billois, les entreprises jouent là avec le feu car ce manque de sensibilisation leur « fait courir un risque juridique direct, d’autant plus que la réglementation va très prochainement se durcir avec le nouveau règlement européen sur les données à caractère personnel ».