La fatigue sécuritaire n’est pas un mythe

” La sécurité informatique est souvent considérée comme le “département du non”. Il est facile de comprendre pourquoi “, explique Jake Moore, Global Security Adviser d’ESET. ” Dans un monde caractérisé par une escalade des cyber-risques, des surfaces d’attaque en expansion et une économie de la cybercriminalité en croissance rapide, les équipes de sécurité désirent limiter les dommages que les employés pourraient causer. “

La “fatigue sécuritaire” peut conduire à un comportement imprudent et impulsif, le contraire de ce que veulent les équipes informatiques. Pour y faire face, la sécurité doit fonctionner de manière plus transparente, limiter le nombre de décisions à prendre par les utilisateurs et rééquilibrer la protection et la productivité dans un monde de travail hybride.

Les humains sont considérés comme le maillon faible de la chaîne de sécurité. C’est pourquoi les services de sécurité informatique sont fort soucieux d’atténuer les risques pris par les négligents et ils ont raison. 67 % des entreprises US auraient eu entre 21 et 40 incidents internes en 2021, contre 60 % en 2020, avec un coût moyen de plus de $ 15 millions pour y remédier.

Si le personnel est bombardé d’avertissements de sécurité, de règles et de procédures de travail et, pendant son temps libre, d’articles médiatiques sur des violations et des menaces, un état de fatigue sécuritaire peut s’installer. Cela se caractérise par un sentiment d’impuissance, de perte de confiance et de contrôle. Cela peut être si écrasant qu’ils abandonnent la politique de l’entreprise et suivent leur propre chemin. Il y a même de la résignation: les violations se produiront quand même, autant ignorer toutes ces alertes stressantes.

Une étude de 2018 a révélé que 55 % des employés ne pensent pas régulièrement à la cyber-sécurité, et que 17 % ne s’en préoccupent pas du tout. Il semble aussi que les plus jeunes sont plus susceptibles d’être fatigués par des exigences sécuritaires excessives.

Cela peut donc avoir un impact déstabilisateur sur la sécurité de l’entreprise. Parmi les signes révélateurs il y a des employés qui prennent plus de risques avec les mails de phishing et décident, par curiosité, de cliquer sur des liens ou d’ouvrir des pièces jointes. D’autres ont une mauvaise gestion des mots de passe. Selon une étude récente, 43 % des employés admettent partager des identifiants. Ils peuvent aussi se connecter aux réseaux d’entreprise sans VPN ou utiliser des points d’accès Wi-Fi publics non sécurisés, bien que dans certaines organisations cela soit limité, ou ne pas mettre leurs appareils à jour.

Une étude d’EY affirme que les générations Y et Z tiennent moins compte des correctifs obligatoires que les plus âgés. Autre possibilité: ne pas signaler immédiatement les incidents au service informatique. L’étude révèle aussi que 16 % essaieraient de gérer eux-mêmes une violation, plutôt que d’avertir quelqu’un. Ils peuvent utiliser des appareils de travail à des fins personnelles, y compris pour des activités à risque sur Internet et des jeux et achats en ligne. Une étude affirme que 50% des employés considèrent leur appareil de travail comme leur propriété personnelle. Ils peuvent aussi contourner la sécurité: un rapport révèle que 31 % des 18 à 24 ans ont tenté de contourner cette politique.

Le passage rapide au télétravail en 2020 a déclenché une réponse instinctive dans de nombreuses organisations alors que les équipes informatiques cherchaient à limiter l’exposition aux risques en imposant de nouvelles règles à leurs employés. Aujourd’hui, avec le travail hybride, il est possible de revoir ces restrictions en vue de réduire le risque de fatigue sécuritaire.

” Pour une sécurité efficace, il faut créer une culture où chaque collaborateur comprend le rôle crucial qu’il joue dans la sécurité de l’organisation et désire jouer ce rôle de façon proactive. Ce genre de culture peut prendre du temps à se construire et cela commence par comprendre et s’attaquer aux causes de la fatigue sécuritaire, ” conclut Moore.

Plus d’infos ici.