Plus de
trois quarts des entreprises en France, au Royaume-Uni et en Allemagne
sous-évaluent l’authentification à deux facteurs.
Yubico,
leader des clés de sécurité pour l’authentification matérielle, annonce les
résultats d’une étude approfondie sur les comportements actuels et
l’adaptabilité à la cybersécurité d’entreprise à domicile, la formation des
employés et la prise en charge à l’ère du travail hybride au niveau mondial.
Dans le cadre de cette étude, 3 006 employés, chefs d’entreprise et cadres
supérieurs de grandes entreprises (comptant plus de 250 employés) au
Royaume-Uni, en France et en Allemagne ont été interrogés à propos du travail à
distance et de l’utilisation d’appareils professionnels.
Les
conclusions du rapport fournissent de précieuses informations concernant
l’utilisation d’appareils professionnels à des fins personnelles, le partage et
la mémorisation des mots de passe professionnels, l’adoption de
l’authentification à deux facteurs (2FA) et d’autres mesures de sécurité, ainsi
que la façon dont les entreprises y font face. Les données révèlent que, depuis
le début de la pandémie, les employés adoptent de mauvaises pratiques en
matière de cybersécurité sur les appareils fournis par leur employeur, les
chefs d’entreprise et les cadres supérieurs étant les pires élèves. Dans le
même temps, les entreprises négligent les meilleures pratiques en matière de
cybersécurité qui doivent être appliquées aux environnements extérieurs au
bureau. Moins d’un quart des personnes interrogées admettent avoir déployé une
authentification 2FA depuis le début de la pandémie et, même dans ce cas,
beaucoup utilisent des formes moins sûres et moins conviviales de 2FA, comme
les applications d’authentification mobile et les codes d’accès uniques par
SMS.
« L'étude
montre que de nombreuses organisations sont encore en train de trouver leurs
marques dans ces nouveaux environnements de travail, essentiellement virtuels,
et si cette flexibilité peut offrir de nouvelles opportunités aux entreprises
et aux employés, elles ne doivent pas ignorer les risques croissants de
cybersécurité qui en découlent, explique Stina Ehrensvärd, PDG et fondatrice de
Yubico. Les acteurs de la menace trouvent des moyens nouveaux et innovants de
compromettre les défenses des entreprises, ce qui nécessite des solutions de
sécurité modernes comme la YubiKey. Une étude réalisée par Google souligne en
effet les avantages notables et le retour sur investissement de
l'authentification matérielle YubiKey ainsi que sur le travail de normalisation
que nous avons mené. »
Voici les
principales conclusions de l’étude :
54 % des
employés utilisent les mêmes mots de passe sur plusieurs comptes
professionnels. 22 % des répondants prennent toujours note de leurs mots de
passe, dont 41 % des chefs d’entreprises et 32 % des cadres supérieurs.
42 % des
personnes interrogées admettent utiliser quotidiennement des appareils
professionnels à des fins personnelles lorsqu’elles travaillent à domicile.
Parmi celles-ci, 29 % utilisent des appareils professionnels pour effectuer des
opérations bancaires et des achats, et 7 % reconnaissent accéder à des services
de streaming illégaux.
Les
employés de haut rang figurent parmi les plus mauvais élèves, puisque 44 % des
chefs d’entreprise et 39 % des cadres supérieurs admettent exécuter des tâches
personnelles sur des appareils professionnels tous les jours depuis qu’ils
travaillent à domicile, et près d’un quart (23 %) des chefs d’entreprise et 15
% des cadres supérieurs les utilisent pour du streaming ou du visionnage de
télévision illégal.
Un an après
le début de la pandémie et la mise en place de politiques de travail à
domicile, 37 % des employés, tous secteurs confondus, n’ont pas encore reçu de
formation à la cybersécurité dans le cadre du télétravail, ce qui laisse les
entreprises largement exposées à des risques en constante évolution.
43 % des
employés estiment que la cybersécurité ne relève pas de la responsabilité du
personnel, près des deux tiers (60%) jugeant qu’elle doit être gérée par les
équipes IT. Cependant, les données suggèrent que les services IT ne répondent
pas aux attentes des employés. À peine 37 % d’entre eux ont le sentiment d’être
plus soutenus par l’IT que lorsqu’ils travaillaient sur site avec l’équipe de
cybersécurité de leur entreprise à leurs côtés.
Dans le
même temps, faute d’une culture de sécurité descendante axée sur la prise en
charge, les employés se sentent plus anxieux ou stressés lorsqu’ils sont
confrontés à des problèmes informatiques ou de sécurité. Ils sont 51 % à
essayer de résoudre eux-mêmes leurs problèmes informatiques au lieu de
contacter le service IT, et 40 % de ceux qui ont cliqué sur un lien suspect
n’en informeraient pas immédiatement ce dernier.
Bien que la
technologie 2FA constitue la meilleure ligne de défense contre les prises de
contrôle de comptes, seuls 22 % des répondants indiquent que leur entreprise
l’a instaurée depuis le début de la pandémie.
Même parmi
les organisations qui ont mis en place l’authentification à deux facteurs, seul
un peu plus d’un quart (27 %) utilise des clés de sécurité matérielles
conformes à la norme FIDO, qui offrent la forme la plus avancée de protection
contre le phishing, tandis que les autres s’appuient sur des solutions plus
vulnérables et obsolètes, telles que les applications d’authentification mobile
(54 %) et les codes d’accès uniques par SMS (47 %).
Principaux
chiffres par pays
Royaume-Uni
Les chefs
d’entreprise britanniques sont plus stricts que leurs homologues allemands et
français en ce qui concerne l’utilisation d’appareils professionnels à des fins
personnelles. En revanche, les employés installés au Royaume-Uni sont plus
laxistes : ils sont 20 % de plus à admettre utiliser des appareils
professionnels à des fins personnelles lorsqu’ils travaillent à domicile.
Dans le
même temps, les personnes interrogées au Royaume-Uni se sentent moins soutenues
par le service IT que celles situées en Europe - mais elles sont également les
plus confiantes dans leur propre capacité à repérer les attaques par phishing,
80 % des employés indiquant être en mesure d’identifier une tentative
d’intrusion.
Les
principales habitudes des employés pour 2021 :
73 % des
chefs d’entreprise et 71 % des cadres supérieurs autorisent des tiers à
utiliser des appareils professionnels.
42 % des
répondants se sentent plus exposés aux cybermenaces lorsqu’ils travaillent à
domicile, 39 % d’entre eux estiment ne pas être soutenus par le service IT.
62 % des
personnes interrogées n’ont pas suivi de formation à la cybersécurité dans le
cadre du travail à distance.
S’ils ont
cliqué sur un lien suspect au cours de leur travail, 16 % s’en rendent compte
par eux-mêmes, tandis que 12 % « demandent à Google ».
22 %
utiliseraient à nouveau le même identifiant de messagerie professionnelle après
une violation de la sécurité, tandis que 31 % partageraient les mots de passe
de messagerie professionnelle.
62 %
préfèrent se faire subtiliser leurs informations d’identification
professionnelles plutôt que leurs données personnelles.
Les
appareils professionnels servent principalement aux activités personnelles
suivantes : lecture d’articles, 36 % ; administratif, 36 % ; achats, 36 % ;
opérations bancaires, 30 % ; médias sociaux, 28 % ; jeux, 15 %.
France
Une
attitude laxiste à l’égard de la cybersécurité n’est pas l’apanage des employés
français, mais certaines de leurs actions et convictions sont préoccupantes.
Parmi les
personnes qui espèrent continuer à travailler à distance après la pandémie, 26
% ignorent les mises à jour des logiciels et des systèmes d’exploitation de
leurs appareils professionnels. Celles-ci sont pourtant essentielles pour faire
barrage aux cybermenaces.
Alors que
59 % des personnes interrogées en France estiment que le service IT devrait
être entièrement responsable de la cybersécurité, 63 % d’entre elles pensent
que les employés qui travaillent à domicile devraient être davantage impliqués.
Seulement 30 % des répondants affirment avoir reçu une formation en matière de
sécurité, et 36 % ont le sentiment d’être moins soutenus par le service IT que
lorsqu’ils travaillent au bureau.
C’est
probablement la raison pour laquelle 48 % des employés tentent de résoudre les
problèmes informatiques par eux-mêmes, plutôt que d’en informer le service IT,
et ce pourcentage s’élève à 69 % pour les chefs d’entreprise et les cadres
supérieurs. Comme nous l’avons vu, cela peut être lié à un excès de confiance
dans la détection des attaques de phishing, 67 % des employés français estimant
être en mesure d’en identifier une.
Parmi les
nouvelles politiques de cybersécurité mises en œuvre depuis le passage au
travail à domicile, la moitié des entreprises françaises (50 %) imposent
l’utilisation d’un VPN pour accéder au réseau de l’entreprise, 33 % exigent
l’utilisation de mots de passe plus forts, tandis que 30 % demandent des mises
à jour plus fréquentes des mots de passe. Seuls 19 % prescrivent
l’authentification 2FA. Par ailleurs, 57 % des employés français considèrent
que les exigences en matière d’authentification unique (Single Sign On – SSO)
sont lourdes ou perturbent leur flux de travail ; ce chiffre est de 54 % pour
la double authentification.
Parmi les
principales habitudes révélées :
Utilisation
d’appareils professionnels à des fins personnelles sur une base quotidienne :
pré-Covid, 41 % ; post-Covid, 53 %.
37 % des
Français indiquent utiliser leurs appareils professionnels à des fins
personnelles pour gérer de l’administratif, 35 % pour lire des articles, 27 %
pour effectuer des opérations bancaires, 10 % pour des jeux ou encore 10 % pour
du streaming illégal.
Utilisation
d’appareils personnels à des fins professionnelles sur une base quotidienne :
pré-Covid 30 % ; post-Covid 42 %.
78 % des
chefs d’entreprises et 70 % des cadres supérieurs autorisent des tiers à
utiliser leur appareil professionnel
40 % des
employés se sentent plus exposés aux cybermenaces depuis qu’ils travaillent à
domicile et 36 % estiment ne pas être soutenus par le service IT.
30 % des
répondants ont suivi une formation sur la cybersécurité dans le cadre du
travail à distance
23 % des
répondants mémorisent les mots de passe professionnels en les notant, 14 %
utilisent un gestionnaire de mots de passe, 11 % les enregistrent dans un
document sur l’appareil tandis que 11 % utilisent le même mot de passe pour
plusieurs comptes.
23 % des
Français utiliseraient à nouveau le même identifiant professionnel après une
violation de données et 28 % partagent les mots de passe des e-mails
professionnels.
67 % des
répondants sont sûrs de pouvoir repérer une tentative de phishing
75 % des
personnes interrogées préfèrent se faire subtiliser leurs informations
d’identification professionnelles plutôt que leurs données personnelles.
Allemagne
Utilisation
personnelle quotidienne d’appareils professionnels : pré-Covid, 21 % ;
post-Covid, 30 %.
En
Allemagne, certains employés ont adopté une approche plus stricte de la
cybersécurité pendant la pandémie.
Alors que
l’utilisation d’appareils professionnels à des fins personnelles sur une base
quotidienne a globalement augmenté, la proportion de personnes se livrant à
cette pratique, qui travaillaient déjà à domicile avant la pandémie, a chuté de
42 % à 34 %, ce qui suggère qu’elles sont plus conscientes du risque accru.
De même que
pour l’ensemble des réponses, les chefs d’entreprise ne sont pas à la hauteur
en matière de sécurité : un quart des chefs d’entreprise établis en Allemagne
admettent avoir utilisé des appareils professionnels pour du streaming illégal.
Seuls 35 %
des personnes interrogées déclarent avoir reçu une formation à la cybersécurité
de la part de leur employeur. Cela inclut la moitié des cadres supérieurs, mais
seulement un quart des employés de premier échelon.
L’application
des correctifs est également inadéquate ; les mises à jour importantes sur les
appareils professionnels sont fortement négligées : en moyenne, seuls 11 % des
répondants tiennent leurs appareils professionnels à jour, un chiffre qui passe
à 27 % pour les travailleurs à domicile. En outre, les personnes interrogées en
Allemagne sont très confiantes dans leur capacité à repérer une tentative de
phishing, 71 % des employés déclarant être très confiants ou assez confiants.
Voici les
principales habitudes des employés :
48 % des
Allemands indiquent utiliser leurs appareils professionnels à des fins
personnelles pour lire des articles, naviguer sur les médias sociaux (40 %),
gérer de l’administratif (34 %), réaliser des opérations bancaires (31 %), des
achats en ligne (31 %) ou jouer (19 %).
Utilisation
d’appareils personnels à des fins professionnelles sur une base quotidienne :
pré-Covid 19 % ; post-Covid 28 %.
90 % des
chefs d’entreprise et 65 % des cadres supérieurs autorisent des tiers à utiliser
leur appareil professionnel.
36 % des
répondants se sentent plus exposés aux cybermenaces depuis qu’ils travaillent à
domicile et 32 % estiment ne pas être soutenus par le service IT.
35 % des
Allemands ont suivi une formation sur la cybersécurité dans le cadre du travail
à distance.
En cas de
clic sur un lien suspect pendant le travail, 59 % en informent le service IT
dès que possible et 18 % « demandent à Google ».
23 % des
répondants mémorisent les mots de passe professionnels en les notant, 21 %
utilisent un gestionnaire de mots de passe, 12 % les enregistrent dans un
document sur l’appareil et 8 % utilisent le même mot de passe pour plusieurs
comptes.
21 %
utiliseraient à nouveau le même identifiant professionnel après une violation
de données
69 % ne
partagent jamais les mots de passe des e-mails professionnels.
71 % sont
sûrs de pouvoir repérer une tentative de phishing.
63 %
préfèrent se faire subtiliser leurs informations d’identification
professionnelles plutôt que leurs données personnelles.