En tant qu'expert en cybersécurité, il est essentiel de comprendre que la simple sensibilisation ne suffit plus face à l'escalade des cybermenaces. Bien que le Mois de la sensibilisation à la cybersécurité, désormais dans sa deuxième décennie, ait permis de souligner l'importance de bonnes pratiques, il est clair que savoir quoi faire et passer à l'action sont deux choses distinctes. Malgré des progrès dans certains domaines, les comportements des utilisateurs, même parmi ceux que l'on pourrait qualifier de « natifs numériques », révèlent des lacunes importantes en matière de protection des données.
Les statistiques montrent des améliorations encourageantes : en 2024, le pourcentage de violations de données impliquant un facteur humain a chuté à 68 %, contre 82 % en 2022. Toutefois, ces chiffres masquent encore des comportements à risque. Par exemple, l'authentification multifacteur (MFA), un outil efficace contre les cyberattaques, reste sous-utilisée dans de nombreuses organisations. En 2022, 54 % des fournisseurs de services gérés (MSP) n'avaient toujours pas implémenté le MFA, et bien que des progrès aient pu être réalisés, le chemin reste long.
Il est également préoccupant de constater que près de 20 % des utilisateurs continuent d'utiliser les mêmes mots de passe pour différents comptes, une pratique dangereuse qui met en évidence l'écart entre la formation à la cybersécurité et l'application réelle des bonnes pratiques. Une enquête de Security.org révèle qu'environ 30 % des utilisateurs réutilisent le mot de passe de leur gestionnaire pour d'autres comptes, ce qui représente un danger croissant.
La différence entre la formation et la culture de la cybersécurité
La véritable question est : pourquoi ces formations ne suffisent-elles pas à enrayer ces comportements risqués ? La réponse réside dans la différence entre la formation et la création d'une véritable culture de la cybersécurité. Alors que la formation peut enseigner les bonnes pratiques, elle ne garantit pas leur adoption. Il apparaît même que les jeunes générations, bien que plus exposées à la technologie, sont souvent les plus vulnérables. Par exemple, 43 % des membres de la génération Z ont déclaré avoir été victimes de cyberattaques, un chiffre bien plus élevé que celui des générations précédentes.
Créer une culture de la cybersécurité
Pour combler cet écart, les entreprises doivent aller au-delà de la simple formation. Elles doivent créer une culture de la cybersécurité. Cela implique de sensibiliser les collaborateurs non seulement aux risques techniques, mais surtout aux conséquences économiques et personnelles d'une cyberattaque. Il ne s'agit pas de culpabiliser, mais de montrer que la cybersécurité est l'affaire de tous et que les attaques peuvent mettre en péril la pérennité même de l'entreprise, et donc leur emploi.
Parler ouvertement de cybersécurité tous les jours
La cybersécurité doit devenir un sujet de discussion quotidien, lors des réunions d'équipe ou des entretiens individuels. Les responsables doivent également montrer l'exemple en adoptant et en promouvant des pratiques de sécurité rigoureuses : utiliser l'authentification multifacteur, partager les alertes sur les menaces en temps réel, et encourager l'utilisation de gestionnaires de mots de passe. Cela démontre que la sécurité n’est pas uniquement une tâche du département informatique, mais une responsabilité collective.
Adopter la technologie adaptée
Enfin, il est impératif d'investir dans les technologies adéquates pour automatiser les processus de formation et de surveillance. Bien que la sensibilisation à la cybersécurité soit essentielle, elle ne suffira pas à elle seule à protéger les organisations contre des menaces de plus en plus sophistiquées. L'intelligence artificielle, les logiciels de gestion de la sécurité et les outils d'automatisation doivent être intégrés à une stratégie de défense globale.
En conclusion, pour que la sensibilisation à la cybersécurité soit vraiment efficace, elle doit être intégrée dans une culture d'entreprise forte où chaque collaborateur, du PDG à l'employé de base, comprend son rôle dans la protection des données. Ce n’est qu’à cette condition que les comportements évolueront de manière durable, et que les organisations pourront renforcer leur posture de sécurité face aux menaces croissantes.
Auteur : Inforisque.Source : Acronis.