Etude Yubico : sécurité et télétravail

Plus de trois quarts des entreprises en France, au Royaume-Uni et en Allemagne sous-évaluent l’authentification à deux facteurs.

Yubico, leader des clés de sécurité pour l’authentification matérielle, annonce les résultats d’une étude approfondie sur les comportements actuels et l’adaptabilité à la cybersécurité d’entreprise à domicile, la formation des employés et la prise en charge à l’ère du travail hybride au niveau mondial. Dans le cadre de cette étude, 3 006 employés, chefs d’entreprise et cadres supérieurs de grandes entreprises (comptant plus de 250 employés) au Royaume-Uni, en France et en Allemagne ont été interrogés à propos du travail à distance et de l’utilisation d’appareils professionnels.

Les conclusions du rapport fournissent de précieuses informations concernant l’utilisation d’appareils professionnels à des fins personnelles, le partage et la mémorisation des mots de passe professionnels, l’adoption de l’authentification à deux facteurs (2FA) et d’autres mesures de sécurité, ainsi que la façon dont les entreprises y font face. Les données révèlent que, depuis le début de la pandémie, les employés adoptent de mauvaises pratiques en matière de cybersécurité sur les appareils fournis par leur employeur, les chefs d’entreprise et les cadres supérieurs étant les pires élèves. Dans le même temps, les entreprises négligent les meilleures pratiques en matière de cybersécurité qui doivent être appliquées aux environnements extérieurs au bureau. Moins d’un quart des personnes interrogées admettent avoir déployé une authentification 2FA depuis le début de la pandémie et, même dans ce cas, beaucoup utilisent des formes moins sûres et moins conviviales de 2FA, comme les applications d’authentification mobile et les codes d’accès uniques par SMS.

« L'étude montre que de nombreuses organisations sont encore en train de trouver leurs marques dans ces nouveaux environnements de travail, essentiellement virtuels, et si cette flexibilité peut offrir de nouvelles opportunités aux entreprises et aux employés, elles ne doivent pas ignorer les risques croissants de cybersécurité qui en découlent, explique Stina Ehrensvärd, PDG et fondatrice de Yubico. Les acteurs de la menace trouvent des moyens nouveaux et innovants de compromettre les défenses des entreprises, ce qui nécessite des solutions de sécurité modernes comme la YubiKey. Une étude réalisée par Google souligne en effet les avantages notables et le retour sur investissement de l'authentification matérielle YubiKey ainsi que sur le travail de normalisation que nous avons mené. »

Voici les principales conclusions de l’étude :

54 % des employés utilisent les mêmes mots de passe sur plusieurs comptes professionnels. 22 % des répondants prennent toujours note de leurs mots de passe, dont 41 % des chefs d’entreprises et 32 % des cadres supérieurs.

42 % des personnes interrogées admettent utiliser quotidiennement des appareils professionnels à des fins personnelles lorsqu’elles travaillent à domicile. Parmi celles-ci, 29 % utilisent des appareils professionnels pour effectuer des opérations bancaires et des achats, et 7 % reconnaissent accéder à des services de streaming illégaux.

Les employés de haut rang figurent parmi les plus mauvais élèves, puisque 44 % des chefs d’entreprise et 39 % des cadres supérieurs admettent exécuter des tâches personnelles sur des appareils professionnels tous les jours depuis qu’ils travaillent à domicile, et près d’un quart (23 %) des chefs d’entreprise et 15 % des cadres supérieurs les utilisent pour du streaming ou du visionnage de télévision illégal.

Un an après le début de la pandémie et la mise en place de politiques de travail à domicile, 37 % des employés, tous secteurs confondus, n’ont pas encore reçu de formation à la cybersécurité dans le cadre du télétravail, ce qui laisse les entreprises largement exposées à des risques en constante évolution.

43 % des employés estiment que la cybersécurité ne relève pas de la responsabilité du personnel, près des deux tiers (60%) jugeant qu’elle doit être gérée par les équipes IT. Cependant, les données suggèrent que les services IT ne répondent pas aux attentes des employés. À peine 37 % d’entre eux ont le sentiment d’être plus soutenus par l’IT que lorsqu’ils travaillaient sur site avec l’équipe de cybersécurité de leur entreprise à leurs côtés.

Dans le même temps, faute d’une culture de sécurité descendante axée sur la prise en charge, les employés se sentent plus anxieux ou stressés lorsqu’ils sont confrontés à des problèmes informatiques ou de sécurité. Ils sont 51 % à essayer de résoudre eux-mêmes leurs problèmes informatiques au lieu de contacter le service IT, et 40 % de ceux qui ont cliqué sur un lien suspect n’en informeraient pas immédiatement ce dernier.

Bien que la technologie 2FA constitue la meilleure ligne de défense contre les prises de contrôle de comptes, seuls 22 % des répondants indiquent que leur entreprise l’a instaurée depuis le début de la pandémie.

Même parmi les organisations qui ont mis en place l’authentification à deux facteurs, seul un peu plus d’un quart (27 %) utilise des clés de sécurité matérielles conformes à la norme FIDO, qui offrent la forme la plus avancée de protection contre le phishing, tandis que les autres s’appuient sur des solutions plus vulnérables et obsolètes, telles que les applications d’authentification mobile (54 %) et les codes d’accès uniques par SMS (47 %).

Principaux chiffres par pays

Royaume-Uni

Les chefs d’entreprise britanniques sont plus stricts que leurs homologues allemands et français en ce qui concerne l’utilisation d’appareils professionnels à des fins personnelles. En revanche, les employés installés au Royaume-Uni sont plus laxistes : ils sont 20 % de plus à admettre utiliser des appareils professionnels à des fins personnelles lorsqu’ils travaillent à domicile.

Dans le même temps, les personnes interrogées au Royaume-Uni se sentent moins soutenues par le service IT que celles situées en Europe - mais elles sont également les plus confiantes dans leur propre capacité à repérer les attaques par phishing, 80 % des employés indiquant être en mesure d’identifier une tentative d’intrusion.

Les principales habitudes des employés pour 2021 :

73 % des chefs d’entreprise et 71 % des cadres supérieurs autorisent des tiers à utiliser des appareils professionnels.

42 % des répondants se sentent plus exposés aux cybermenaces lorsqu’ils travaillent à domicile, 39 % d’entre eux estiment ne pas être soutenus par le service IT.

62 % des personnes interrogées n’ont pas suivi de formation à la cybersécurité dans le cadre du travail à distance.

S’ils ont cliqué sur un lien suspect au cours de leur travail, 16 % s’en rendent compte par eux-mêmes, tandis que 12 % « demandent à Google ».

22 % utiliseraient à nouveau le même identifiant de messagerie professionnelle après une violation de la sécurité, tandis que 31 % partageraient les mots de passe de messagerie professionnelle.

62 % préfèrent se faire subtiliser leurs informations d’identification professionnelles plutôt que leurs données personnelles.

Les appareils professionnels servent principalement aux activités personnelles suivantes : lecture d’articles, 36 % ; administratif, 36 % ; achats, 36 % ; opérations bancaires, 30 % ; médias sociaux, 28 % ; jeux, 15 %.

France

Une attitude laxiste à l’égard de la cybersécurité n’est pas l’apanage des employés français, mais certaines de leurs actions et convictions sont préoccupantes.

Parmi les personnes qui espèrent continuer à travailler à distance après la pandémie, 26 % ignorent les mises à jour des logiciels et des systèmes d’exploitation de leurs appareils professionnels. Celles-ci sont pourtant essentielles pour faire barrage aux cybermenaces.

Alors que 59 % des personnes interrogées en France estiment que le service IT devrait être entièrement responsable de la cybersécurité, 63 % d’entre elles pensent que les employés qui travaillent à domicile devraient être davantage impliqués. Seulement 30 % des répondants affirment avoir reçu une formation en matière de sécurité, et 36 % ont le sentiment d’être moins soutenus par le service IT que lorsqu’ils travaillent au bureau.

C’est probablement la raison pour laquelle 48 % des employés tentent de résoudre les problèmes informatiques par eux-mêmes, plutôt que d’en informer le service IT, et ce pourcentage s’élève à 69 % pour les chefs d’entreprise et les cadres supérieurs. Comme nous l’avons vu, cela peut être lié à un excès de confiance dans la détection des attaques de phishing, 67 % des employés français estimant être en mesure d’en identifier une.

Parmi les nouvelles politiques de cybersécurité mises en œuvre depuis le passage au travail à domicile, la moitié des entreprises françaises (50 %) imposent l’utilisation d’un VPN pour accéder au réseau de l’entreprise, 33 % exigent l’utilisation de mots de passe plus forts, tandis que 30 % demandent des mises à jour plus fréquentes des mots de passe. Seuls 19 % prescrivent l’authentification 2FA. Par ailleurs, 57 % des employés français considèrent que les exigences en matière d’authentification unique (Single Sign On – SSO) sont lourdes ou perturbent leur flux de travail ; ce chiffre est de 54 % pour la double authentification.

Parmi les principales habitudes révélées :

Utilisation d’appareils professionnels à des fins personnelles sur une base quotidienne : pré-Covid, 41 % ; post-Covid, 53 %.

37 % des Français indiquent utiliser leurs appareils professionnels à des fins personnelles pour gérer de l’administratif, 35 % pour lire des articles, 27 % pour effectuer des opérations bancaires, 10 % pour des jeux ou encore 10 % pour du streaming illégal.

Utilisation d’appareils personnels à des fins professionnelles sur une base quotidienne : pré-Covid 30 % ; post-Covid 42 %.

78 % des chefs d’entreprises et 70 % des cadres supérieurs autorisent des tiers à utiliser leur appareil professionnel

40 % des employés se sentent plus exposés aux cybermenaces depuis qu’ils travaillent à domicile et 36 % estiment ne pas être soutenus par le service IT.

30 % des répondants ont suivi une formation sur la cybersécurité dans le cadre du travail à distance

23 % des répondants mémorisent les mots de passe professionnels en les notant, 14 % utilisent un gestionnaire de mots de passe, 11 % les enregistrent dans un document sur l’appareil tandis que 11 % utilisent le même mot de passe pour plusieurs comptes.

23 % des Français utiliseraient à nouveau le même identifiant professionnel après une violation de données et 28 % partagent les mots de passe des e-mails professionnels.

67 % des répondants sont sûrs de pouvoir repérer une tentative de phishing

75 % des personnes interrogées préfèrent se faire subtiliser leurs informations d’identification professionnelles plutôt que leurs données personnelles.

Allemagne

Utilisation personnelle quotidienne d’appareils professionnels : pré-Covid, 21 % ; post-Covid, 30 %.

En Allemagne, certains employés ont adopté une approche plus stricte de la cybersécurité pendant la pandémie.

Alors que l’utilisation d’appareils professionnels à des fins personnelles sur une base quotidienne a globalement augmenté, la proportion de personnes se livrant à cette pratique, qui travaillaient déjà à domicile avant la pandémie, a chuté de 42 % à 34 %, ce qui suggère qu’elles sont plus conscientes du risque accru.

De même que pour l’ensemble des réponses, les chefs d’entreprise ne sont pas à la hauteur en matière de sécurité : un quart des chefs d’entreprise établis en Allemagne admettent avoir utilisé des appareils professionnels pour du streaming illégal.

Seuls 35 % des personnes interrogées déclarent avoir reçu une formation à la cybersécurité de la part de leur employeur. Cela inclut la moitié des cadres supérieurs, mais seulement un quart des employés de premier échelon.

L’application des correctifs est également inadéquate ; les mises à jour importantes sur les appareils professionnels sont fortement négligées : en moyenne, seuls 11 % des répondants tiennent leurs appareils professionnels à jour, un chiffre qui passe à 27 % pour les travailleurs à domicile. En outre, les personnes interrogées en Allemagne sont très confiantes dans leur capacité à repérer une tentative de phishing, 71 % des employés déclarant être très confiants ou assez confiants.

Voici les principales habitudes des employés :

48 % des Allemands indiquent utiliser leurs appareils professionnels à des fins personnelles pour lire des articles, naviguer sur les médias sociaux (40 %), gérer de l’administratif (34 %), réaliser des opérations bancaires (31 %), des achats en ligne (31 %) ou jouer (19 %).

Utilisation d’appareils personnels à des fins professionnelles sur une base quotidienne : pré-Covid 19 % ; post-Covid 28 %.

90 % des chefs d’entreprise et 65 % des cadres supérieurs autorisent des tiers à utiliser leur appareil professionnel.

36 % des répondants se sentent plus exposés aux cybermenaces depuis qu’ils travaillent à domicile et 32 % estiment ne pas être soutenus par le service IT.

35 % des Allemands ont suivi une formation sur la cybersécurité dans le cadre du travail à distance.

En cas de clic sur un lien suspect pendant le travail, 59 % en informent le service IT dès que possible et 18 % « demandent à Google ».

23 % des répondants mémorisent les mots de passe professionnels en les notant, 21 % utilisent un gestionnaire de mots de passe, 12 % les enregistrent dans un document sur l’appareil et 8 % utilisent le même mot de passe pour plusieurs comptes.

21 % utiliseraient à nouveau le même identifiant professionnel après une violation de données

69 % ne partagent jamais les mots de passe des e-mails professionnels.

71 % sont sûrs de pouvoir repérer une tentative de phishing.

63 % préfèrent se faire subtiliser leurs informations d’identification professionnelles plutôt que leurs données personnelles.

Vuzion est un acteur Microsoft particulièrement innovant et le premier distributeur indépendant de services de Cloud en Europe. L’entreprise fournit des solutions Cloud de pointe, triées sur le volet, en mettant l’accent sur le marketing et les compétences techniques. Elle a été le premier fournisseur Microsoft britannique à proposer un éventail complet d’offres couvrant l’ensemble de l’écosystème des partenaires de plate-forme Cloud. Vuzion a enregistré une forte croissance interne de plus de 30 % par an ces trois dernières années et sa clientèle est en pleine expansion. Le Directeur général de Vuzion, Michael Frisby, qui cumule 13 ans d’expérience chez Microsoft, rejoindra Infinigate au poste de SVP Cloud Services et conduira la croissance de Vuzion au sein d’Infinigate dans la région EMEA.

Klaus Schlichtherle, PDG du groupe Infinigate, a commenté la nouvelle : « Notre acquisition de Vuzion résulte d’une décision stratégique que nous avons prise parce que la cybersécurité et le Cloud s’associent naturellement. Cela nous permettra de proposer une stratégie de sécurité plus complète aux clients finaux, en particulier dans le secteur des PME. Infinigate sera le seul DVA auprès duquel les revendeurs trouveront l’expertise nécessaire pour faire migrer leurs clients vers des solutions complètes de Cloud sécurisé. »

« L’acquisition va accélérer la transformation numérique tant pour Infinigate que pour ceux que nous servons et, combinée à nos recrutements et investissements clés, elle nous permettra de réinventer le statut de DVA pour un monde numérique. Au cours du prochain trimestre, nous investirons dans les activités principales de Vuzion au Royaume-Uni et développerons une approche commune dans toute la région EMEA pour sécuriser le Cloud et tirer parti de l’expertise et de l’expérience de Vuzion », ajoute-t-il.

Les start-ups en cybersécurité fonctionnent de plus en plus selon un modèle entièrement basé sur l’abonnement et cette acquisition permettra à Infinigate de mettre à profit la riche expérience de Vuzion pour aider les prestataires et les partenaires à s’adapter à ce modèle. Les nouvelles start-ups en cybersécurité considèrent également l’accès au réseau Microsoft comme étant un atout essentiel, et Infinigate sera désormais en mesure d’offrir les meilleures solutions en matière de cybersécurité comme de Cloud.

« Nous sommes ravis de rejoindre l’équipe innovante et dynamique d’Infinigate », se réjoui Michael Frisby, Directeur général de Vuzion. « Notre approche commune axée sur les individus, et nos valeurs communes nous donnent des bases solides. En unissant nos forces, nous pourrons mettre à disposition de nos partenaires communs davantage d’expertise et de services pour les aider à accélérer leur croissance et à sécuriser le parcours de leurs clients vers le Cloud. »

« Ajouter l’expertise du Cloud Microsoft de Vuzion à celle de l’équipe Infinigate témoigne parfaitement de l’engagement des deux entreprises à anticiper et à répondre aux besoins de leurs partenaires et ce, par le biais d’investissements stratégiques », déclare Wim Delbeke, Regional Business Leader Microsoft EMEA. « La sécurité est une priorité essentielle pour Microsoft et nous sommes impatients de les aider à saisir davantage d’opportunités pour atteindre leurs objectifs stratégiques et permettre à davantage de revendeurs d’assurer la sécurité de leurs clients. »

Vuzion restera indépendant sur le plan opérationnel et se concentrera sur le soutien à ses partenaires et l’accompagnement de leur croissance.

À propos du groupe Infinigate      

Le groupe Infinigate a pour unique mission la distribution de solutions de sécurité informatique durables pour protéger et défendre les infrastructures informatiques ainsi que le Cloud. Infinigate s’attache à promouvoir des solutions de sécurité innovantes et de premier ordre qui nécessitent un niveau avancé d’expertise et de connaissances. Infinigate offre un service complet à ses partenaires, MSSP et prestataires pour compléter son portefeuille de produits avec des services techniques, marketing, commerciaux et professionnels dédiés. Fort de plusieurs implantations sur le marché et acquisitions réussies, Infinigate entend poursuivre sa stratégie d’expansion géographique en Europe. Aujourd’hui, Infinigate compte environ 500 employés et est présent dans 11 pays européens, dont le Royaume-Uni, la France, l’Allemagne, la Suisse, l’Autriche, les Pays-Bas, la Belgique, la Suède, la Norvège, le Danemark et la Finlande. Grâce à cette structure solide, Infinigate couvre près de 85 % du potentiel du marché de la sécurité informatique en Europe occidentale, s’imposant comme un distributeur à valeur ajoutée européen de premier plan pour la sécurité informatique, le Cloud et les MSP : www.infinigate.com     

À propos de Vuzion

Fondé en 2016, Vuzion est un distributeur de services de Cloud à valeur ajoutée desservant plus de 600 revendeurs et un million d’utilisateurs de Cloud. Basé dans le Hampshire et possédant des bureaux à Dublin et à Belfast, Vuzion considère que sa réussite repose avant tout sur celle de ses partenaires. Vuzion propose des expériences et une expertise de premier plan qui aident les entreprises à rester compétitives et à atteindre leurs objectifs grâce aux meilleures solutions Cloud : www.vuzion.cloud