Un nombre important d’employés haut placés fait courir des risques en matière de cybersécurité aux entreprises, pointe une étude européenne, qui l’explique par une mauvaise compréhension des menaces et une politique de sécurité de l’entreprise qui ne convient pas toujours aux salariés pour exercer leur métier…
En matière de cybersécurité, les dirigeants et les cadres des entreprises européennes ont des progrès à faire. De fait, 27 % des répondants à une étude menée par Palo Alto Networks, spécialiste des solutions de sécurité nouvelle génération, reconnaissent avoir exposé leur entreprise à une cybermenace potentielle, sachant que 14 % déclarent en avoir eu conscience au moment des faits.
La politique de sécurité de l’entreprise enfreinte
Alors que la quasi-totalité des répondants (96 %) a jugé que la cybersécurité devrait être une priorité pour leur entreprise, dans 1 cas sur 4, les auteurs de ces actions ont affirmé ne pas comprendre pleinement en quoi consiste un « cyber-risque » ou un risque pour la sécurité en ligne. Et comme chacun sait, l’ignorance mène à la bêtise.
Au manque de connaissance des menaces, qui peut être résolu par de la formation, s’ajoute le recours à des outils et des sites censés accroître les performances professionnelles, mais non conformes à la politique de l’entreprise. 17 % de répondants indiquent en effet que la politique de sécurité de l’entreprise est frustrante et les empêche d’accéder à des solutions qu’ils jugent plus efficaces que celles fournies en interne. Dans 1 cas sur 10, les répondants ont déclaré avoir été témoins du non-respect des lignes directrices de l’entreprise par un cadre ; et à cette question, 1 cadre supérieur sur 4 a effectivement reconnu avoir exposé son entreprise à une menace potentielle en connaissance de cause. On notera au passage que ce sont les employés travaillant dans la finance, le secteur des assurances ou les services professionnels qui sont les plus susceptibles d’enfreindre la politique de cybersécurité de leur entreprise, avec un taux de 21 % enregistré dans l’ensemble des pays européens sondés.
Des cadre supérieurs non responsabilisés
Un non-respect des règles de sécurité par les cadres supérieurs qui n’alerte pas suffisamment la direction, d’ailleurs pas assez impliquée -un dirigeant sur cinq (18 %) ne considère pas avoir un rôle personnel à jouer dans les efforts de son entreprise en matière de cybersécurité. En cas d’attaque perpétrée avec succès, seuls 21 % des dirigeants pensent que l’employé à l’origine de la faille devrait être tenu pour responsable, la majorité des répondants (40 %) estimant que la responsabilité devrait être rejetée sur le service informatique.
Cette enquête a été menée en ligne par Redshift Research, au mois d’octobre 2015, auprès de 765 décisionnaires travaillant dans des entreprises comptant plus de 1 000 employés au Royaume-Uni, en Allemagne, en France, aux Pays-Bas et en Belgique.
