En cybersécurité, confiance rime souvent avec imprudence

Au bureau, comme à la maison, les jeunes sont généralement plus à l’aise que leurs aînés avec l’IT, cela ne fait aucun doute. Mais, en entreprise, de solides connaissances ne se traduisent pas toujours par les comportements les plus avisés. Bien au contraire ! C’est en tout cas ce que révèle une récente étude menée par Splunk, en partenariat avec YouGov, auprès de plus de 2 000 collaborateurs français.

Les collaborateurs les mieux formés sont aussi les plus confiants

L’étude révèle tout d’abord d’importantes disparités en matière de connaissance des protocoles de sécurité de l’entreprise :

• Un fossé générationnel, 58 % des collaborateurs de la génération Z (nés entre 1995 et 2010) se sentant (très) sûrs de leurs connaissances, contre 46 % des millenials et 41 % des baby-boomers et de la génération X (1965-1979).
• Un retard des collaborateurs sans responsabilité de gestion, dont seulement 36 % ont confiance en leurs compétences, contre 62 % des personnels de direction et 59 % des managers.

Plus étonnant encore, seules 29 % des femmes estiment disposer de solides connaissances après avoir suivi une formation dédiée à la cybersécurité, alors que leurs collègues masculins se montrent beaucoup plus confiants (53 %).

En somme : « Je ne sais qu'une chose, c'est que je ne sais rien. »

… mais pas nécessairement les plus prudents

On pourrait s’attendre à ce que les collaborateurs les plus aguerris soient aussi les plus prudents, mais les résultats de notre étude semblent indiquer tout le contraire. Si les employés les mieux formés et les plus confiants ont davantage recours à des solutions sécurisées comme le cryptage des mails, ils déclarent en effet contourner plus régulièrement les protocoles de sécurité de leur entreprise que leurs collègues. 49 % de la génération Z et 31 % des millenials reconnaissent ainsi se tourner régulièrement ou très souvent vers des solutions alternatives, alors que ce n’est le cas que de 15 % de la génération X et 8 % des baby-boomers. Et on retrouve cette même disparité entre les hommes (37 %) et les femmes (18 %) ainsi qu’entre les personnels de direction (53 %), les managers (31 %) et les employés sans responsabilité de gestion (16 %).

Les salariés les plus technophiles semblent donc utiliser (en partie) leurs connaissances pour trouver des solutions de contournement pouvant représenter une menace pour l’entreprise. Parmi ces comportements à risque, on peut notamment mentionner :

• l’installation de logiciels et de périphériques non autorisés sur un appareil professionnel ;
• le partage de mots de passe professionnels avec d’autres collègues ;
• la duplication de mots de passe ;
• le transfert de fichiers professionnels sur un ordinateur ou un cloud personnel ;
• l’utilisation d’adresses mail personnelles dans un cadre professionnel ;
• le report de mises à jour logiciels.
  

L’étude pointe également que la frontière entre vie professionnelle et personnelle tend à s’estomper, en particulier chez les employés les plus à l’aise avec la technologie. Pour ne citer qu’un exemple, 32 % de la génération Z, 31 % des hommes et 40 % des personnels de direction permettent aux membres de leur famille d’accéder à leur ordinateur personnel, contre 15 % des baby-boomers et des employés de la génération X, 16 % des femmes et 14 % des salariés sans responsabilité de gestion.

Comportements à risque : une question de stress ?

Mais comment expliquer ce phénomène ? Si plusieurs facteurs peuvent entrer en ligne de compte, les résultats de l’étude semblent indiquer que les collaborateurs les mieux formés ressentent davantage de pression en matière de cybersécurité. 47 % de la génération Z, 41 % des hommes et environ 40 % des cadres affirment ainsi que leur entreprise fait porter une trop grande part de responsabilité sur chaque employé concernant la cybersécurité (contre 18 % des baby-boomers et 25 % des femmes et des salariés sans responsabilité de gestion).On peut également souligner que les technophiles sont plus enclins à dissimuler leurs erreurs (cliquer sur un lien potentiellement malveillant, par exemple) par peur des représailles et à considérer que les pratiques de sécurité de leur entreprise sont incompatibles avec la pression qu’ils ressentent dans le cadre de leur travail. Cela explique peut-être qu’ils se montrent plus impatients que les autres. En cas de problème, environ 60 % de la génération Z, des hommes et des cadres s’attendent en effet à ce que l’incident soit réglé en moins de deux heures, alors que les autres répondants se montrent plus patients.

Alors, que faire ? Mon conseil serait d’offrir aux salariés plus de flexibilité dans leurs pratiques de sécurité en leur fournissant des canaux alternatifs et sécurisés lorsque leurs canaux habituels ne fonctionnent pas. De telles solutions permettent en effet aux entreprises de mieux résister au facteur humain en cas de temps d’arrêt … ou de manque de patience !

Vous voulez en savoir plus sur les bonnes pratiques de cybersécurité ? Pourquoi ne pas relire notre TOP 50 des plus grandes menaces de cybersécurité.