Si la majorité des employés évitent les comportements à risque, un petit sous-ensemble en fait une habitude, ce qui pose un défi de taille en matière de cybersécurité, selon Mimecast.
48 % des employés ont adopté des comportements exposant leur organisation à des cyber-risques, les violations de navigation étant les plus courantes (36 % des utilisateurs). Les violations de navigation, contrairement aux événements de phishing et de malware, n’ont pas d’impact direct sur la sécurité. Cependant, ils peuvent augmenter le risque de rencontrer des logiciels malveillants ou des escroqueries en ligne.
Le phishing par usurpation d’identité est répandu dans tous les secteurs
Notamment, les attaques de phishing par collecte d’informations d’identification sont répandues dans tous les secteurs. L’usurpation d’identité est également un type de phishing courant dans tous les secteurs (en particulier celui de la santé et de l’éducation).
Recevoir des e-mails de phishing est une chose ; tomber amoureux d’eux est une tout autre chose. Selon l’analyse de Mimecast, 89 % des utilisateurs ayant été victimes de phishing réel n’ont jamais cliqué sur aucun d’entre eux.
Le taux de clics typique des utilisateurs qui tombent dans le piège des e-mails de phishing réels est de 12,5 %. La formation peut réduire les taux de clics de phishing de 25 % en moyenne chez les utilisateurs qui ont déjà tendance à cliquer. Environ un employé sur sept était seul responsable du déclenchement d’au moins 10 événements malveillants.
Les essais de phishing simulés peuvent être trop délicats, entraînant des taux de clics nettement plus élevés que les attaques de phishing réelles. Une explication possible est que les véritables hameçons sont plus faciles à repérer pour les employés que leurs cousins simulés.
Les managers sont plus fréquemment visés par des attaques de phishing
L’étude souligne également que le risque humain n’est pas réparti de manière égale. Un petit pourcentage d’utilisateurs est responsable d’une part disproportionnée des incidents de sécurité. Par exemple, seulement 1 % des utilisateurs sont à l’origine de 44 % de tous les e-mails de phishing cliqués, et 5 % sont responsables de tous les incidents de logiciels malveillants.
Dans une organisation de 1 000 personnes, 14 employés sont censés télécharger ou exécuter des logiciels malveillants. Sept de ces employés déclencheront des logiciels malveillants sur une base mensuelle et quatre seront confrontés à des logiciels malveillants sur une base hebdomadaire.
Les managers sont plus fréquemment ciblés par des attaques de phishing en raison de leurs profils publics et de leurs niveaux d’accès plus élevés, mais ils sont moins susceptibles de cliquer dessus. Les dirigeants, les commerciaux et les membres du conseil d’administration, qui occupent des postes destinés au public, reçoivent également un volume élevé d’e-mails de phishing.
Les employés du laboratoire, même s’ils reçoivent le moins d’e-mails de phishing, sont les plus susceptibles de cliquer dessus, ce qui souligne la différence entre être ciblé et être trompé. De même, les nouveaux employés sont plus vulnérables aux attaques de phishing.
Le comportement humain reste une vulnérabilité importante, même dans les environnements les plus sécurisés. Les responsables de la cybersécurité doivent donc adopter une approche proactive,
approche centrée sur l’humain pour gérer les risques. Cela nécessite d’aller au-delà de la formation de sensibilisation de base et de se concentrer sur le changement de comportement par le biais d’une formation et d’un renforcement ciblés et continus.
#Quand #les #comportements #risque #matière #cybersécurité #deviennent #une #habitude #chez #les #salariés