Lorsque le fardeau pesant sur les collaborateurs devient trop lourd, ceux-ci peuvent réagir de manière inattendue, ce qui augmente le cyber-risque dans l’entreprise.

Ce phénomène de « lassitude envers la sécurité » peut conduire dans le pire des cas à un comportement imprudent et impulsif. Pour y faire face, la sécurité doit être plus transparente, en limitant le nombre de décisions que les utilisateurs doivent prendre, et en rééquilibrant la protection et la productivité en vue du nouveau monde du travail hybride.

Benoît Grunemwald, expert en cybersécurité chez Eset France, rappelle les 10 principaux signes révélateurs d’une lassitude de la cybersécurité et comment lutter contre cela :

• Une prise de risque plus importante avec les emails d’hameçonnage, par exemple en ouvrant des pièces jointes ou en cliquant sur des liens qui semblent intéressants.
• Une mauvaise gestion des mots de passe, par exemple en réutilisant des identifiants faibles sur plusieurs comptes. Selon une étude récente, 43 % des employés admettent partager leurs identifiants et même éviter complètement leur travail pour réduire le stress lié à la nécessité de s’identifier.
• La connexion à des réseaux d’entreprise sans utiliser de VPN, bien que cela ne puisse pas toujours être possible dans certaines entreprises.
• L’utilisation de points d’accès Wifi publics non sécurisés lors de leurs déplacements pour se connecter à des comptes d’entreprise sensibles.
• Une mauvaise mise à jour régulière de leurs appareils. Une étude d’EY affirme que les employés de la génération Z et de la génération Y sont beaucoup plus susceptibles que leurs collègues plus âgés d’ignorer la nécessité d’appliquer des correctifs aussi longtemps que possible.
• La signalisation non immédiate des incidents à leurs responsables ou au service informatique. La même étude d’EY révèle que près d’un cinquième (16 %) des employés essaieraient de traiter une faille présumée par leurs propres moyens, plutôt que d’avertir quelqu’un d’autre.
• L’utilisation des appareils professionnels à des fins personnelles, y compris pour des activités à risque comme les téléchargements sur Internet, les jeux et les achats en ligne. Une étude affirme que la moitié des employés considèrent désormais leur appareil de travail comme leur propriété personnelle.
• Le contournement de la sécurité par d’autres moyens : un autre rapport révèle que 31 % des employés de bureau âgés de 18 à 24 ans ont essayé de contourner la politique de sécurité.

Comment lutter contre la lassitude envers la sécurité

Le passage rapide et à grande échelle au télétravail en 2020 a déclenché une réaction impulsive dans de nombreuses entreprises. Les équipes informatiques ont cherché à limiter leur exposition aux risques en imposant de nouvelles règles contraignantes à leurs collaborateurs.

Il est aujourd’hui temps de revoir ces restrictions, afin de réduire le risque de lassitude à l’égard de la sécurité.

• Écouter les utilisateurs finaux pour mieux comprendre comment la sécurité affecte les flux de travail et perturbe la productivité. Essayer de concevoir des politiques qui permettent de mieux équilibrer les besoins des collaborateurs et la nécessité de minimiser les cyber-risques.
• Limiter le nombre de décisions que les utilisateurs doivent prendre en matière de sécurité. Il peut s’agir de l’application automatique de correctifs, de l’installation de logiciels de sécurité et de l’administration à distance des ordinateurs portables et des appareils. Avec en plus l’utilisation de services de détection et de traitement en arrière-plan afin de contenir les menaces lorsqu’elles percent les défenses du réseau.
• Renforcer la sécurité des mécanismes d’identification tout en réduisant les efforts, grâce à des gestionnaires de mots de passe, l’authentification biométrique en second facteur, et l’authentification unique (SSO).
• Éviter de bombarder les utilisateurs avec un trop grand nombre de messages relatifs à la sécurité. Moins égale plus dans ce cas.
• Rendre les formations de sensibilisation à la sécurité plus ludiques, en utilisant de courtes (10 à 15 minutes) sessions avec des simulations en conditions réelles pour modifier les comportements.

Pour que la sécurité soit efficace, il est nécessaire de créer une culture dans laquelle chaque collaborateur comprend le rôle crucial qu’il joue dans la protection de l’entreprise et souhaite activement jouer son rôle.

Ce genre de culture peut prendre du temps à se construire, mais commence invariablement par la compréhension des causes de la lassitude à l’égard de la sécurité et leur remédiation.