
Atténuer la menace interne des natifs numériques
On dit souvent que les employés peuvent être le maillon faible de la chaîne de cybersécurité de l'entreprise. Ce dont on parle moins souvent pourtant, c'est de savoir si certains types d'employés représentent une menace interne plus importante que d'autres. Cela pourrait avoir un impact majeur sur le résultat net. Les menaces internes ont coûté aux entreprises internationales plus de 15 millions de dollars en moyenne en frais de remédiation l'année dernière, selon des estimations.
Selon une nouvelle étude du cabinet EY, c'est la jeune génération qui prend la cybersécurité le moins au sérieux. Trouver un moyen de changer les comportements et d'encourager une approche plus informée et responsable de la génération des digital natives sera difficile pour les responsables informatiques. Mais ce n'est pas impossible.
Les conclusions d'EY
L'étude est basée sur une enquête menée auprès de 1 000 employés américains et portait sur leur sensibilisation et leurs pratiques en matière de sécurité. Ceux décrits comme « Gen Z » ou « Millennials » (Gen Y) ne se présentent pas sous un bon jour. Plus précisément, l'étude révèle que :
- Environ la moitié des répondants de la génération Z (48 %) et les deux cinquièmes (39 %) des Millennials reconnaissent avoir pris la sécurité des appareils personnels plus au sérieux que celle de leurs appareils professionnels.
- La génération Z (58 %) et la génération Y (42 %) sont plus susceptibles d'ignorer les mises à jour informatiques obligatoires aussi longtemps que possible, que la génération X (31 %) et les baby-boomers (15 %).
- La génération Z (30 %) et la génération Y (31 %) sont plus susceptibles d'utiliser le même mot de passe pour un compte professionnel et un compte personnel que la génération X (22 %) et les baby-boomers (15 %).
À première vue, les résultats ne semblent pas logiques. Après tout, si les digital natives ont la technologie dans la peau, ils devraient naturellement mieux comprendre les cyber-risques et vouloir suivre les bonnes pratiques de sécurité. L'étude n'essaie pas de déterminer pourquoi ce n'est pas le cas. Elle révèle que la grande majorité (83 %) des employés interrogés comprennent les protocoles de cybersécurité de leur employeur. Il semble donc que les jeunes employés choisissent délibérément de ne pas les suivre.
Une nouvelle ère du risque de travail hybride
Cela posera de plus en plus problème aux responsables informatiques et sécurité à mesure que la génération Z fera son entrée dans la vie active.Ces jeunes devraient représenter plus d'un quart (27 %) de la population active d'ici 2025. Se pourrait-il que, comme c'est la première génération à avoir grandi sans connaître un monde sans Internet, ils prennent les risques potentiels de leurs comportements à la légère ?
C'est de plus en plus capital dans un environnement de travail hybride, dans lequel :
- Nous avons plus de liberté de prendre des risques. Une étude de 2021 a révélé qu'un grand nombre de personnes qui travaillent chez elle utilisent des ordinateurs portables d'entreprise à des fins personnelles, notamment pour jouer à des jeux, faire des achats en ligne et faire des téléchargements.
- Les employés distants peuvent être plus distraits et donc sujets aux erreurs, ce qui pourrait entraîner des clics accidentels sur les e-mails de phishing.
- Les appareils personnels et les réseaux domestiques ne sont peut-être pas aussi bien protégés que leurs équivalents professionnels.
Commencez par la formation
Dans ce contexte, la cybersécurité d'entreprise doit être conçue en pensant d'abord aux utilisateurs. Cela implique des contrôles pour protéger les données et les systèmes critiques au cas où les utilisateurs commettraient des erreurs, tels que le chiffrement, l'authentification multifacteur et la prévention des pertes de données. Et des politiques plus affirmées concernant les correctifs et la gestion des appareils à distance, afin de réduire la surface d'attaque dans ce qui est désormais un environnement informatique beaucoup plus distribué. Mais cela implique également de revoir et de mettre à jour les programmes de formation de sensibilisation des utilisateurs.
Tenez compte des points suivants lors de l'évaluation de cet élément crucial de toute stratégie de cybersécurité d'entreprise :
- Trouvez les bons outils : les solutions de formation doivent proposer des simulations réelles très personnalisables qui peuvent être modifiées au fur et à mesure de l'évolution des tactiques de phishing. Elles doivent également fournir des résultats détaillés sur le comportement des utilisateurs, qui peuvent être utilisés pour donner des retours aux employés et adapter l'approche de la formation.
- Des formations courtes et intéressantes : mieux vaut organiser régulièrement des sessions percutantes de 10 à 15 minutes que d'ennuyer les utilisateurs avec des cours trop longs et peu réguliers.
- Ne laissez personne de côté : chacun dans l'entreprise est un vecteur de menace potentiel, des cadres dirigeants aux employés à temps partiel et aux sous-traitants. Tous doivent être inclus dans les programmes de formation et de sensibilisation.
- Focus sur la culture : améliorer la sensibilisation aux menaces est une chose, changer les comportements pour encourager le signalement des incidents en est une autre. EY a constaté que 16 % des personnes interrogées préféraient tenter de gérer elles-mêmes une éventuelle faille de sécurité plutôt que de la signaler. Le personnel doit avoir le sentiment qu'il ne sera pas jugé pour des « signalements trop fréquents ou exagérés ».
- Envisagez d'élargir les programmes : alors que les frontières entre vie professionnelle et vie personnelle sont de plus en plus floues aujourd'hui, il est de plus en plus nécessaire d'adapter la formation et la sensibilisation pour couvrir les deux. Le domicile de chacun vos employés est comme un micro-bureau satellite.
- Chaque employé est unique : il peut être intéressant d'envisager de travailler avec les RH pour segmenter les utilisateurs dans des groupes distincts en fonction de leur comportement et de leurs rôles. Ensuite, les programmes de formation peuvent être rendus plus personnels et pertinents.
Malgré le gros titre accrocheur, la sensibilisation des utilisateurs à la sécurité n'est pas seulement un défi pour les membres des générations Z/Y. Dans l'ensemble, EY a constaté que la moitié ou moins des personnes interrogées sont « très confiantes » quant à l'utilisation de mots de passe complexes, à la mise à jour des appareils professionnels, à l'identification des tentatives de phishing et à d'autres bonnes pratiques. C'est en se concentrant uniquement sur les personnes, les processus et la technologie que les responsables informatiques et de la sécurité pourront mieux gérer les risques internes.

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter