En pratique, les compromissions de données proviennent plus souvent d’une négligence (par exemple l’oubli d’un ordinateur portable dans un train) que d’un délit de piratage malveillant, soulignent Chloé Karam, consultante senior au sein du Département Enquête, et Guillaume Deschamps, directeur du département FINEX Gras Savoye, chez Willis Towers Watson France. Selon les données sur les sinistres dont celle-ci dispose, les négligences et les actes de malveillance des salariés sont ainsi à l’origine de deux tiers (66%) des atteintes à la sécurité informatique, contre 18% seulement pour les menaces externes et 2% pour les extorsions électroniques. Les statistiques montrent également que
« Des collaborateurs dotés d’une solide culture du risque et sensibilisés à la sécurité informatique constituent donc la première ligne de défense des entreprises en matière de cyber sécurité, expliquent-ils. Il serait ainsi tout à fait justifié que les organisations accordent plus d’attention à la formation de leurs collaborateurs et à leur culture d’entreprise dans la gestion de leur cyber sécurité. Pour cela, le marché se dote d’outils innovants, capables d’établir un lien entre, d’une part le capital humain et la culture d’entreprise et, d’autre part la vulnérabilité de l’employeur en matière de cyber sécurité. »
Pourquoi faire appel à de telles solutions? « L’administration d’un questionnaire aux collaborateurs permet de mesurer les facteurs culturels de risque informatique liés à la sensibilisation du personnel et à la fréquence des mesures d’accompagnement/formation des salariés dans l’entreprise. Les résultats de l’enquête fournissent une image claire de la culture du risque inhérente à la structure, et mettent en lumière les domaines les plus vulnérables vis-à-vis des incidents informatiques causés par des salariés. L’intérêt d’une telle démarche réside aussi dans son caractère transverse et exhaustif. La Cyber sécurité concerne de nombreuses fonctions dans l’entreprise: outre les responsables du risque au sein de l’entreprise, les équipes IT et les responsables des ressources humaines, tous les cadres sont concernés. Ce sont autant de maillons de la chaîne de gestion et de réduction du risque informatique dont il faut recueillir et analyser les pratiques. Une enquête globale est ainsi un moyen de répondre aux difficultés liées à l’inter connectivité des pôles opérationnels des entreprises. »
Ces résultats présentés de manière consolidée et objective permettent à la direction générale de mettre en œuvre les mesures nécessaires pour remédier à ces failles de cyber sécurité, par exemple en changeant les habitudes des collaborateurs, en se recentrant davantage sur les clients ou en introduisant des systèmes d’incitation pour récompenser les bonnes pratiques.
