Etude OpinionWay pour Mailinblack : Seuls 3% des salariés identifient les emails frauduleux

titre de l'articleCompétences cyber des salariés : une perception des risques bien différente de la réalité

Mailinblack, la pépite marseillaise qui rend la cybersécurité accessible à toutes les organisations, dévoile les résultats du sondage mené par OpinionWay sur les collaborateurs de bureau face à la réalité de leurs compétences en matière de cybersécurité. Cette étude est destinée à comprendre les habitudes des collaborateurs en matière d’utilisation des outils numériques et à évaluer leur vulnérabilité aux cyberattaques.

Si 88% des collaborateurs estiment être vigilants quant aux emails reçus et que 67% pensent la détection des emails frauduleux facile, seuls 3% des sondés sont parvenus à tous les détecter. Des résultats surprenants commentés par les équipes d’OpinionWay, de Mailinblack ainsi que par Bruno Teboul, DEA de Sciences Cognitives (Ecole polytechnique), Docteur en Sciences du Management (PSL) et chercheur en Sciences Cognitives et Économie Comportementale.

"Les résultats de ce sondage renforcent nos convictions quant à la nécessité de sensibiliser et de former l’ensemble des collaborateurs, notamment ceux qui n’en ressentent pas le besoin. Ils nous apprennent également que les conditions de travail ont une influence sur les capacités cognitives des salariés, les rendant ainsi plus ou moins vulnérables aux cyberattaques", explique Thomas Kerjean, Directeur général de Mailinblack.

Des collaborateurs concernés mais - trop - confiants face aux cyberattaques

infographie avec pourcentagesDe prime abord, les salariés de bureau semblent conscients des risques cyber : 88% déclarent être vigilants quant aux emails qu’ils reçoivent, 79% qu’ils ressentiraient une très forte culpabilité s’ils étaient responsables d’un piratage et 65% d’entre eux n’ont jamais eu le sentiment de confronter leur entreprise à un danger quelconque.

Pourtant, si 59% des collaborateurs estiment maîtriser le sujet, leur perception de leurs compétences en matière de cybersécurité est en décalage avec la réalité. En effet, dans le cadre de cette étude, il a été demandé aux répondants d’identifier des emails frauduleux parmi une sélection de six messages (quatre l’étaient réellement). Pourtant prévenus, seuls 3% des sondés sont parvenus à tous les identifier.

Au fil des questions, on s’aperçoit que 53% des sondés éprouvent des difficultés à comprendre le jargon de la sécurité informatique, que 31% vont jusqu’à ne pas appliquer les consignes de sécurité mises en place par leurs entreprises ou que 26% cliquent sur des liens présents dans un email sans en vérifier la provenance.

Enfin, près de six collaborateurs sur dix (58%) admettent des usages croisés de leurs outils professionnels ou personnels. Près de la moitié d’entre eux (46%) utilisent d’ailleurs au travail un même identifiant de connexion ou un mot de passe identique que pour leurs usages personnels.

Les neurosciences cognitives pour comprendre la vulnérabilité des collaborateurs

Les méthodes des hackers se sont professionnalisées et la technologie ne suffit plus à les contrer. Les collaborateurs étant en première ligne face à ces attaques, celles-ci s’appuient davantage sur les biais cognitifs et les instincts primitifs des individus.

D’après Bruno Teboul, les neurosciences cognitives permettraient de comprendre les mécanismes impliqués dans le fameux “clic” précédant la cyberattaque : “87% des sondés déclarent gérer souvent plusieurs tâches simultanément et 78% disent avoir une charge de travail élevée. Ceci a des conséquences cognitives : augmentation du niveau de stress (57% des répondants se disent stressés) et génération de cortisol par le cerveau. Si le stress est prolongé, cela se traduira par une baisse de la vigilance - et donc par une plus grande vulnérabilité aux cyberattaques”.

Il poursuit : “Les résultats de l’étude d’OpinionWay pour Mailinblack convergent avec les conclusions de mon étude sur l’approche cognitive des cyberattaques par ingénierie sociale. L'effet « tunnel attentionnel » est l'un des effets du stress aigu où l'attention est hyper-focalisée sur des éléments liés à la cause du stress, et donc moins sensible aux autres informations. Dans le cas d'un message de phishing, ce tunneling peut conduire à une hyper-concentration sur le texte de l'e-mail (par exemple : “votre abonnement expire aujourd’hui, renouvelez le maintenant”) et donc à l’ignorance d’une adresse suspecte ou d’alertes périphériques (logo, orthographe, syntaxe, URL, etc.)”.

Le stress, la charge cognitive et la baisse de la vigilance, trois marqueurs identifiés dans l’étude, sont des vecteurs majeurs de vulnérabilité neurocognitive face aux risques de cyberattaques”, conclut-t-il.

Les résultats de l’étude OpinionWay pour Mailinblack, "les collaborateurs de bureau face à la réalité de leurs compétences cyber", rejoignent les retours des tests pédagogiques que Mailinblack fait passer aux collaborateurs via sa solution de simulation de cyberattaques Cyber Coach (anciennement Phishing Coach).

L’analyse des résultats de ces tests permet de mieux comprendre leurs comportements (contexte de l'attaque, traits psychologiques des utilisateurs ciblés), et de réduire leur exposition aux risques cyber, notamment par phishing ou ransomware.

Ces données, combinées aux neurosciences, permettent d’améliorer les contenus de formation et de les personnaliser en fonction de facteurs cognitifs propres à chaque individu pour optimiser son apprentissage”, conclut Thomas Kerjean.

Lire les résultats complets de l’étude (pdf).

Les derniers produits des risques professionnels

Réagissez en laissant votre commentaire !