Les employés de votre entreprise font partie de ses actifs les plus précieux, mais ils peuvent également constituer la principale menace en termes de sécurité pour votre environnement IT.
Parmi toutes les menaces sur la sécurité, vos propres utilisateurs sont peut-être la plus imprévisible. Certains d’entre eux poseront volontairement des problèmes, mais même les mieux intentionnés peuvent causer des soucis au personnel IT. Voici 10 faiblesses humaines courantes qui font que les utilisateurs constitueront toujours une menace pour votre environnement IT.
1. Négligence
Les utilisateurs oublient régulièrement leurs mots de passe : selon Gartner, les problèmes liés aux mots de passe représentent 20 à 30% du volume des tickets d’incident IT. Une approche basée sur la réinitialisation régulière des mots de passe peut s’avérer tout aussi dangereuse, en permettant à des pirates de générer de fausses demandes de réinitialisation de mots de passe afin de mettre un pied dans l’entreprise.
2. Paresse
Les utilisateurs peuvent se montrer paresseux, parfois pour compenser leur négligence. Ils choisissent des mots de passe simples, et vont parfois jusqu’à les réutiliser en-dehors de l’entreprise. En 2012, le vol de 68 millions d’identifiants de login Dropbox a été causé par le fait qu’un employé de Dropbox avait réutilisé son mot de passe pour son compte LinkedIn. Les utilisateurs font également des choses aussi stupides que de noter leurs mots de passe sur des post-it qu’ils collent sur le bord de leur écran.
3. Empressement
Pressés par le temps, les utilisateurs peuvent également exposer votre environnement IT en oubliant d’appliquer les correctifs de sécurité et autres mises à jour logicielles.
Si vous souhaitez en savoir plus sur les risques posés par les utilisateurs, lisez le e-book de Nexus Group La sécurité IT en 2018 : données et informations utiles.
4. Étourderie
Les utilisateurs perdent ou endommagent fréquemment leurs outils de travail, notamment leurs notebooks, smartphones et tablettes. Ils les oublient dans des chambres d’hôtel ou des salles de conférence, en dépit du fait qu’ils contiennent des informations sensibles que vous ne voudriez pas voir tomber dans de mauvaises mains. Il leur arrive également de perdre leur passe de sécurité, leur jeton d’authentification à deux facteurs, ou d’autres éléments susceptibles de compromettre la sécurité de l’ensemble de votre environnement IT.
5. Insoumission
Certains utilisateurs n’aiment pas qu’on leur dise ce qu’ils doivent faire, et chercheront toujours à contourner les procédures de sécurité. Il leur arrive ainsi d’utiliser leurs propres appareils non sécurisés pour traiter des données d’entreprise sensibles, ou d’installer des systèmes opaques échappant aux mécanismes de contrôle existants (pratiques connues sous le nom de « shadow IT »).
6. Indiscrétion
Si la curiosité est naturelle, l’indiscrétion peut être source de nuisances. Il arrive que les utilisateurs à privilèges abusent de leurs droits d’accès à des informations sensibles, et augmentent ainsi les risques de fuite de ces informations.
7. Crédulité
Les utilisateurs tombent parfois dans des pièges grossiers tels que des tentatives de phishing par e-mail, se présentant par exemple comme des requêtes d’impayés. En cliquant sur un lien malveillant ou en ouvrant naïvement une pièce jointe infectée, ils exposent l’ensemble de l’environnement IT à des risques d’actes de piraterie.
8. Vulnérabilité
Même les utilisateurs aguerris peuvent être victimes d’attaques sophistiquées, telles que des tentatives de phishing par e-mail particulièrement élaborées et ciblées (« spear phishing »). Des pirates parvenant à infiltrer un système de courrier électronique d’entreprise peuvent se faire passer, par exemple, pour des membres de la direction, et demander aux utilisateurs de leur communiquer certaines informations sensibles, ou encore de transférer des fonds vers des comptes offshore. Selon la société de cyber sécurité Cofense, plus de 90% des fuites de données d’origine criminelles s’appuient sur du spear phishing.
9. Cupidité
Certains utilisateurs peuvent être tentés d’arrondir illégalement leurs fins de mois, que ce soit en détournant de l’argent, en vendant des secrets de fabrication, ou en accordant des accès à votre environnement IT. Selon une enquête de Trend Micro, environ 35% des employés seraient prêts à revendre des données de leur entreprise si on leur en offrait un bon prix.
10. Mécontentement
Les utilisateurs mécontents présentent le plus de risque. Ils peuvent effet exprimer leur mécontentement en faisant tout ce qui est en leur pouvoir pour nuire à l’entreprise et compromettre la sécurité.