Le rôle de l’erreur humaine dans la cybersécurité : ce que nous disent les statistiques
Nous pouvons prendre toutes les précautions et mesures préventives possibles pour minimiser le risque de cybercriminalité ayant un impact sur nous-mêmes ou sur nos entreprises. Mais en fin de compte, il suffit d’une simple erreur humaine pour tout mettre en péril. Qu’il s’agisse d’un clic sur un lien, d’un téléchargement, d’une mise à jour manquée ou d’une mauvaise configuration, les erreurs quotidiennes peuvent entraîner de gros problèmes.
Les particuliers et les entreprises ont subi d'énormes pertes en raison d'incidents de cybersécurité, notamment des violations de données, des attaques de ransomwares, des perturbations du système, etc. Etun nombre étonnamment élevé de ces incidents auraient pu être évitéss’il n’y avait pas eu d’erreur humaine.
Dans cet article, nous examinons l’impact des erreurs des individus sur la cybersécurité. Nous fournissons également quelques conseils pratiques pour tenter de minimiser l’impact de l’erreur humaine sur votre cybersécurité individuelle ainsi que sur les résultats financiers de votre entreprise.
Erreur humaine en cybersécurité
Nous avons compilé les statistiques, les faits et les tendances les plus intéressants issus d’études récentes pour dresser un tableau de l’impact de l’erreur humaine sur le monde de la cybersécurité.
1. Près de la moitié des travailleurs américains font confiance aux hotspots wifi publics
Les hotspots wifi publics sont notoirement non sécurisés. Les pirates s'attaquent aux utilisateurs peu méfiants pour voler des informations telles que des mots de passe, des détails financiers et d'autres informations personnelles. En réalité, personne ne devrait se connecter à un réseau public sans se connecter à un VPN approprié pour le wifi public d’abord (pour chiffrer votre trafic Internet et le cacher aux espions).
Malgré tout, selon le Rapport sur les risques des utilisateurs Proofpoint 2020 , 45 pour cent des travailleurs aux États-Unisje crois que le wifi public est sûrlorsqu'ils se trouvent dans un emplacement fiable. À l’échelle mondiale, nous sommes un peu plus avisés, avec 26 utilisateurs dans le monde qui font confiance aux hotspots publics.
2. 14 % des travailleurs au Royaume-Uni ne verrouillent pas leur smartphone
Le rapport Proofpoint révèle également que plus d'un travailleur britannique sur dix ne verrouille jamais son smartphone. Et ce, malgré le fait que 41 % des travailleurs admettent utiliser leur smartphone à la fois pour leur travail et leurs activités personnelles.
À l'échelle mondiale, 42 % des personnes interrogées utilisent un verrou biométrique (par exemple, une analyse d'empreintes digitales) et 24 % utilisent un code PIN à quatre chiffres pour déverrouiller leur appareil, mais 10 % n'ont aucun verrou sur leur appareil.
3. La moitié des travailleurs partagent l'accès à un appareil fourni par les employés avec leur famille et leurs amis.
Proofpoint a constaté de manière inquiétante que 50 % des personnes interrogées ont admis avoir autorisé leur famille ou leurs amis à utiliser leur appareil professionnel. Bien que les motivations derrière cela puissent être inoffensives (la raison la plus courante est de vérifier ses e-mails), on ne sait jamais sur quoi quelqu'un pourrait cliquer par erreur.
4. L’erreur humaine est une cause majeure de violations de données
Qu'est-ce que Équifax , Capitale un , et Le programme de rachat d’armes en Nouvelle-Zélande avoir en commun? Ils ont tous été touchés par des violations de données causées principalement par une erreur humaine. Selon des témoignages, la faille d'Equifax aurait pu être évitée si un employé avait tenu compte des avertissements de sécurité et mis en œuvre les correctifs logiciels nécessaires.
Mais ce ne sont pas des cas anormaux. Enquête Egress sur les violations de données internes 2021 a révélé que 94 % des organisations ont été victimes de violations de données internes au cours de l'année dernière, l'erreur humaine étant la principale cause d'incidents graves, selon 84 % des responsables informatiques interrogés. Bien qu'elles soient à l'origine du plus grand nombre d'incidents, un peu plus d'un cinquième (21 %) des personnes interrogées ont déclaré que l'erreur humaine était leur plus grande préoccupation.
Des recherches antérieures confirment ces résultats. Kaspersky Économie de la sécurité informatique en 2019 Le rapport nous indique que « l'utilisation inappropriée des ressources informatiques par les employés » est la cause la plus courante de violation de données, 50 % des PME signalant ce type d'incidents.
D'autres facteurs liés à l'erreur humaine ont également joué un rôle important, notamment la perte d'appareils ou de médias appartenant à l'entreprise (42 %), la perte d'appareils mobiles appartenant à l'entreprise (42 %) et la perte d'appareils BYOD (41 %).
5. Les erreurs de livraison et de configuration sont parmi les principales causes de violations de données
Verizon Rapport d'enquête sur les violations de données 2020 apporte un éclairage supplémentaire sur le sujet et analyse les causes des violations de données d'une manière légèrement différente. Il a constaté quele phishing est la principale forme d'action contre les menaces en matière de violations, jouant un rôle dans plus de 20 pour cent des cas. Les autres erreurs humaines (erreurs de livraison et mauvaise configuration) occupent respectivement les quatrième et cinquième places, chacune représentant la principale menace dans environ 10 % des violations.
En outre, le rapport révèle que certains des principaux vecteurs de logiciels malveillants dans les violations de données sont liés à des erreurs humaines. Les liens de courrier électronique, les téléchargements par des logiciels malveillants et les pièces jointes de courrier électronique occupaient respectivement la première, la troisième et la quatrième place.
En ce qui concerne les actions de haut niveau qui provoquent des violations de données, les erreurs sont les seules dont la fréquence continue d’augmenter.
Les principales variétés d’erreurs sont les erreurs de configuration, les erreurs de livraison et les erreurs de publication.
Comme le souligne Verizon :
…il est indéniable que les gens peuvent commettre des erreurs, et le font fréquemment, et que beaucoup d’entre elles fonctionnent probablement pour vous.
6. 58 % des organisations déclarent que leurs employés ignorent les directives de cybersécurité
L’une des découvertes les plus alarmantes (mais peut-être pas si surprenantes) de Rapport Netwrix 2020 sur les cybermenaces est que plus de la moitié des personnes interrogées ont déclaré que les employés ignoraient les politiques et directives en matière de cybersécurité.
Il sembleles employés modélisent simplement leurs dirigeantscependant, puisque 85 % des RSSI ont admis avoir assoupli les mesures de cybersécurité afin que les employés puissent travailler à distance.
7. La pandémie semble avoir eu un impact sur les problèmes d’erreur humaine
Une comparaison intéressante dans le rapport Netwrix 2020 montre des chiffres sur la manière dont les menaces critiques étaient considérées avant et au milieu de la pandémie. Une augmentation considérable a été observée dans « le partage accidentel et inapproprié de données par les employés ». Avant la pandémie, 58 % des organisations considéraient qu’il s’agissait d’une menace critique, mais ce chiffre est désormais de 92 %.
Dans le même temps, d’autres problèmes d’erreur humaine ont été atténués dans une certaine mesure. Par exemple, les préoccupations critiques concernant la « mauvaise configuration des services cloud » ont chuté de 71 % à 44 %, et les « modifications accidentelles et autres erreurs des administrateurs » ont connu une baisse similaire.
8. Un nombre inquiétant de personnes sont coupables d’utiliser des mots de passe faibles
UN Rapport 2021 de NordPass, couvrant 50 pays, a constaté que « 123456 » reste le mot de passe le plus populaire pour la deuxième année consécutive, avec plus de 103 millions de personnes l'utilisant pour se connecter. Ce mot de passe prendrait moins d’une seconde à déchiffrer. Les autres mots de passe fréquemment utilisés incluent « 123456789 » (utilisé par 46 millions de personnes), « qwerty » (22,3 millions de personnes) et « mot de passe » (20,9 millions de personnes).
Ceci est particulièrement préoccupant étant donné que dans son rapport d’enquête sur les violations de données de 2020, Verizon a constaté que sur 868 violations liées au piratage, 80 % impliquaient des mots de passe.Les pirates ont utilisé des informations d'identification perdues ou voléesou attaques par force brute (pour deviner les mots de passe).
9. La réutilisation des mots de passe est extrêmement courante
Avec autant de comptes en ligne à gérer (HYPR dit que beaucoup d'entre nous gèrent plus de 30 chacun ), se souvenir de tous ces mots de passe peut être difficile. Il n’est donc pas surprenant que les gens aient tendance à réutiliser les mots de passe de plusieurs comptes. Cependant, cela peut s’avérer une pratique risquée. Si un ensemble d'informations d'identification est compromis, par exemple lors d'une violation de données,les cybercriminels peuvent utiliser une tactique appelée bourrage d'informations d'identification pour utiliser cette combinaison de nom d'utilisateur et de mot de passe pour pirater d'autres comptes.
De nombreux chiffres circulent sur la prévalence de la réutilisation des mots de passe, mais le fait est que c’est beaucoup plus courant qu’il ne devrait l’être. Voici quelques données qui mettent en lumière ce problème qui touche à la fois les comptes personnels et professionnels :
- Microsoft a constaté que 44 millions d'utilisateurs réutilisaient les mots de passe entre les comptes.
- Un autre Une enquête Google a découvert 13 pour cent des utilisateursutilisé le même mot de passe pour chaque compteet 52 pour cent supplémentaires ont utilisé le même mot de passe sur plusieurs comptes.
- 72 % des personnes interrogées dans le cadre de l'enquête HYPR ont admis avoir réutilisé leurs mots de passe.
- LastPass a découvert que les employés réutilisaient volontiers les mots de passe de 13 comptes différents.
- Selon le Rapport 2020 sur l'état des comportements de sécurité des mots de passe et de l'authentification du Ponemon Institute , les professionnels de l'informatique sont les pires contrevenants, avec 50 % d'entre eux réutilisant leurs mots de passe, contre 39 % des autres employés.
10. Le partage de mots de passe est également courant
UN Enquête 2021 de The Zebra souligne que 79 % des Américains partagent des mots de passe mais que seulement 13 % s'inquiètent du vol d'identité.
Le rapport Ponemon ajoute encore plus d'intrigue à ces résultats car il divise les données des spécialistes informatiques et d'autres personnes. Il a constaté que49 % des professionnels de l'informatique ont admis avoir partagé des mots de passeavec leurs collègues. C'est presque le même chiffre que pour les autres salariés (51 pour cent).
11. Seulement 45 % changeraient leur mot de passe après une violation
On pourrait penser qu’après avoir été informé d’une violation de données, il est logique de changer votre mot de passe sur tout compte utilisant cet ensemble d’informations d’identification. Mais ce n’est pas le cas. Google a constaté que seulement 45 % des personnes interrogées ont déclaré qu'elles modifieraient leur mot de passe après avoir été informées d'une violation de données.
Une statistique inquiétante de l'enquête du Ponemon Institute était queseuls 65 % des informaticiens modifieraient leurs méthodes de protection de compteaprès un rachat de compte. Même si cela représente une majorité, on pourrait espérer que le pourcentage soit plus élevé. En fait, le chiffre pour les autres individus était bien plus élevé, soit 75 pour cent.
12. Près de la moitié des organisations utilisent des notes autocollantes pour faciliter la gestion des mots de passe
Êtes-vous déjà entré dans un bureau et observé un écran d’ordinateur entouré de notes autocollantes portant divers mots de passe ? Ce n’est pas un spectacle rare. En effet, selon le Ponemon Institute, 42 % des organisations s'appuient sur cette pratique pour garantir que les employés peuvent se connecter à différents comptes.
En rapport: Plus de 25 statistiques de mots de passe (qui peuvent changer vos habitudes en matière de mots de passe)
13. L’intelligence humaine est la meilleure arme contre les attaques de phishing
Certains diraient que attaques de phishing ne relèvent pas de la catégorie des erreurs humaines, mais il n’en demeure pas moins que le phishing repose sur l’action de l’utilisateur (incitée par l’ingénierie sociale).
Dans son Rapport annuel sur le phishing 2019 , Cofense a souligné le rôle essentiel de la sensibilisation dans la prévention des attaques de phishing réussies.
Lorsque la technologie périmétrique échoue, les gens doivent intervenir. Avec le bon conditionnement, ils le feront. Ils s’uniront pour devenir un « système de détection d’intrusion humaine », un ensemble de capteurs qui détectent intuitivement les menaces qui échappent à vos contrôles. C’est l’intelligence humaine, pas la variété artificielle.
Un exemple cité était celui d'un stratagème de phishing qui a ciblé un important organisme de santé . Alors que la campagne de phishing était extrêmement sophistiquée et contournait les contrôles, grâce au signalement rapide des employés, l'attaque a été stoppée en moins de 20 minutes.
En rapport: Statistiques et faits sur le phishing pour 2019-2020
14. Les dépenses consacrées à la formation à la sensibilisation à la cybersécurité augmentent considérablement
Même s’il est peut-être sous-estimé, le problème de l’erreur humaine en matière de cybersécurité n’est pas passé inaperçu. Les entreprises du monde entier redoublent d’efforts pour améliorer les connaissances de leurs employés afin de prévenir les erreurs. Le marché mondial de la formation à la sensibilisation à la cybersécurité représentait 1 milliard de dollars en 2014, mais l'analyste de Gartner Perry Carpenter estimations il vaudra 10 milliards de dollars d’ici 2027.
Données de Rapport 2020 sur les tendances informatiques de Netwrix : une réalité remodelée soutient ces chiffres de dépenses, constatant que l'un desprojets informatiques les plus importants dans les organisationsconsiste à sensibiliser les collaborateurs à la cybersécurité. Il a été désigné comme une priorité par plus de la moitié (52 %) des organisations. De plus, le pourcentage d'organisations de taille moyenne prévoyant d'investir dans la sensibilisation à la sécurité a plus que doublé par rapport à l'année dernière, passant de 33 % à 67 %.
Que peut-on faire pour atténuer le risque d’erreur humaine ?
Comme nous pouvons le constater, l’erreur humaine constitue un énorme handicap. Cela dit, il existe des mesures que vous pouvez prendre pour minimiser l’impact des erreurs des personnes sur la cybersécurité de votre organisation. Voici quelques pistes à considérer. Notez que même si celles-ci se concentrent sur l’environnement des affaires, bon nombre de ces mesures peuvent également être appliquées à la maison.
1. Mettez en place davantage de contrôles
Il existe de nombreuses façons de mettre en œuvre des contrôles dans votre organisation pour contribuer à renforcer la cybersécurité. Par exemple, en utilisant le principe du moindre privilège, vous pouvez limiter les données et fonctionnalités auxquelles chaque employé a accès. Cela réduit le risque que les informations soient perdues ou tombent entre de mauvaises mains.
Le contrôle d'accès peut également être utilisé pouratténuer les risques d’erreurs telles qu’une mauvaise livraison ou une mauvaise configuration. Par exemple, exiger une vision supplémentaire sur certaines tâches signifie que plusieurs personnes devraient commettre la même erreur pour que cela passe inaperçu.
2. Pratiques de mot de passe améliorées
Les pratiques en matière de mots de passe peuvent également être améliorées grâce aux contrôles. Par exemple, vous pouvez forcer des changements réguliers de mots de passe et stipuler que les mots de passe respectent un ensemble de règles relatives à la longueur et à la composition. Notre vérificateur de force de mot de passe et notre outil de génération de mots de passe forts peuvent vous être utiles à cet effet.
Dans le même ordre d’idées, vous pouvez imposer ou encourager l’utilisation d’un gestionnaire de mots de passe pour tous les comptes liés au travail. Vous pouvez également configurer des plates-formes pour exiger 2FA ou 2SV. Cela signifie que même si des mots de passe faibles sont utilisés ou si des personnes partagent des mots de passe, un autre niveau de protection est en place.
Une autre façon de faciliter la vie des employés est demettre en œuvre un système d'authentification unique (SSO)où un mot de passe est utilisé pour accéder à plusieurs comptes.
3. Utiliser la formation de sensibilisation à la cybersécurité
Comme mentionné précédemment, les attaques de phishing nécessitent une action humaine pour réussir. Mais c’est aussi l’action humaine qui peut étouffer ces attaques dans l’œuf. Un facteur décisif majeur dans la direction que prendront les choses est simple : la connaissance. La plupart formation de sensibilisation à la cybersécurité les programmes visent à enseigner aux employés comment repérer, éviter et signaler les attaques de phishing, afin que votre organisation puisse être prête lorsque les attaques inévitables se produiront.
Les programmes de formation aident également dans d'autres domaines impliquant des erreurs humaines, notamment la gestion des mots de passe, la détection des logiciels malveillants, la gestion des données et la sécurité physique.
4. Filtrez les e-mails entrants
Bien entendu, il est plus facile pour les employés d’éviter les attaques de phishing s’ils ont moins de chances de se tromper. Un moyen simple de limiter le risque d’e-mails de phishing consiste à signaler les messages provenant de l’extérieur de l’entreprise. Vous pouvez même supprimer les liens des e-mails externes et des pièces jointes du sandbox pour confirmer qu'ils sont sécurisés.
5. Assurez-vous que les appareils sont verrouillés
Que les employés utilisent des appareils fournis par l'entreprise ou que vous ayez une politique BYOD (Bring Your Own Device), vous pouvez stipuler des règles à respecter. Par exemple, une mesure simple consiste à exiger que tous les appareils soient verrouillés avec un code PIN, une phrase secrète, un verrou biométrique ou similaire.
6. Encouragez l'utilisation d'autres applications de sécurité
Vous pouvez également exiger l’utilisation d’un VPN, notamment lors de la connexion à des hotspots wifi publics. Cela garantira que tout le trafic Internet est crypté et illisible s’il est intercepté. Vous souhaiterez peut-être même imposer ou encourager l'utilisation d'applications qui peuvent aider à trouver appareils perdus ou volés (comme l'outil Google Find My Device ou l'application Apple Find My) et effacer les appareils à distance.
7. Utilisez les plateformes de gestion des appareils mobiles
Vous voudrez peut-être aller plus loin et utiliser Gestion des appareils mobiles (MDM) ou des plateformes de gestion d'applications mobiles (MAM). Ces outils peuvent effectuer diverses tâches, notamment forcer le cryptage des données, exécuter des analyses de logiciels malveillants, effacer les données et suivre les appareils.
8. Créez un environnement qui aide à prévenir les erreurs humaines
Nous savons tous à quel point les facteurs environnementaux peuvent affecter notre concentration et notre attention. Et il n’est pas exagéré de dire que notre environnement peut avoir un impact sur le nombre d’erreurs que nous commettons.S'assurer que le personnel travaille dans un environnement organisé et relativement calmequ’il ne fasse ni trop chaud, ni trop froid, ni trop humide, pourrait contribuer grandement à réduire les erreurs.
D'autres facteurs à prendre en compte incluent la fatigue (peut-être due à de longs quarts de travail), une charge de travail excessive, l'intimité et même la posture.
9. Améliorer la culture autour de la cybersécurité
Il est trop facile d’adopter une attitude nonchalante à l’égard de la cybersécurité… jusqu’à ce qu’il soit trop tard. Si votre organisation a une approche purement réactive de la sécurité de l’information, un changement de culture s’impose. Suivre certaines des étapes ci-dessus peut certainement aider. De plus, vous pouvez mettre en œuvre des initiatives pour rappeler aux employés les actions et politiques de sécurité, par exemple via des affiches ou des e-mails.
Tu devrais aussiencourager la discussion autour de la cybersécuritéet veillez à ce que les employés sachent où adresser leurs questions. Gardez à l’esprit que les changements de culture viennent souvent d’en haut, et que les employés de niveau supérieur, en particulier ceux du service informatique, doivent donner le bon exemple.
FAQ sur le rôle de l'erreur humaine dans la cybersécurité
Quelles sont les causes courantes d’erreur humaine en matière de cybersécurité ?
La cause de l’erreur humaine varie selon le type d’organisation dans laquelle l’erreur s’est produite. Certaines des causes les plus courantes d’erreur humaine en matière de cybersécurité comprennent :
- S'appuyer sur des outils et des systèmes de sécurité qui ne sont pas à jour ou correctement configurés
- Ne pas suivre les protocoles de sécurité de base tels que l'utilisation de mots de passe forts
- Partager négligemment des informations sensibles en ligne ou par e-mail
- Cliquer sur des liens ou des pièces jointes malveillants
- Ne pas sauvegarder régulièrement les données
- Ne pas appliquer de correctifs aux logiciels ou utiliser des logiciels obsolètes
- Mauvaise sécurité physique, comme ne pas sécuriser les appareils ou les laisser dans des lieux publics