Les entreprises sont une cible historique des cyberattaques. Mais le premier risque […] trouve son origine au sein même de votre entreprise. L'humain commet en effet des erreurs ou des négligences qui sont une source de grands dangers pour toutes les organisations.Au sein des entreprises, il est récurrent que la faille de sécurité soit d'origine humaine. En effet, selon une étude réalisée en 2018 par le cabinet Deloitte auprès de ses clients, « 63 % des incidents de sécurité proviennent d'un employé actif au sein des effectifs ». Ces employés ne trahissent pas forcément volontairement leur entreprise, une grande partie d'entre eux commettent des erreurs par inadvertance, erreurs qui ont des conséquences potentiellement dommageables pour leur organisation.Selon cette même étude, les anciens employés représenteraient 12 % des incidents de sécurité, après eux, les plus dangereux étant les fournisseurs et autres partenaires qui représentent 15 % de ces risques.

Invalider les droits d'anciens employés

Souvent, lorsqu'un employé, voire un stagiaire, quitte une entreprise ou une administration, les droits qui lui avaient été accordés ne sont pas clos et ses identifiant et mot de passe restent valides et donc utilisables. Cela crée une brèche dans la sécurité de l'entreprise et au bout de quelques années, cela peut concerner un nombre d'anciens employés important et donc une faille sécuritaire considérable. Le risque est d'autant plus grand pour les employés quittant l'entreprise en mauvais termes qui sont susceptibles de vouloir nuire à leurs anciens employeurs.

Gare aux prestataires

Les personnels extérieurs à nos organisations avec lesquels nous interagissons représentent également un risque. Certains se servent de cette position pour vous nuire, d'autres peuvent profiter de leur présence dans votre organisation pour vous espionner. Il est également possible que des personnels compromettent des données que vous leur avez confiées en ne les sécurisant pas suffisamment. Cette lacune dans la sécurité peut être volontaire ou non. Ces risques doivent rester présents à votre esprit, car il faudrait être devin pour prédire comment des relations humaines peuvent évoluer, sans oublier les troubles ou fragilités psychiques dont peuvent souffrir ceux avec qui vous avez partagé tout ou partie des données numériques de votre organisation.Prenons un exemple concret. De nombreux organismes sous-traitent le ménage de leurs locaux à une entreprise spécialisée, et l'on ne remarque plus les passages des personnes chargées de cette tâche, car on est habitué à leur présence quotidienne. Cette invisibilité les rend potentiellement dangereux : par opportunisme ou en étant téléguidés par des personnes malveillantes, ils vont pouvoir récupérer des documents, regarder ce qui est affiché sur les écrans des ordinateurs, photographier des mots de passe négligemment inscrits sur des Post-it® par des employés tête en l'air, capter des informations ou des adresses de personnes qui pourront ensuite être ciblées par des campagnes de phishing ou de chantage par exemple.

Faire de la pédagogie

C'est pour cela qu'il est important que tous les collaborateurs soient sensibilisés au risque cyber et aux bonnes pratiques à mettre en oeuvre. Comme pour les gestes barrières en période de pandémie, nous les connaissons, mais nous avons toujours de bonnes raisons de nous en affranchir ou de les oublier. Là aussi, il ne faut pas hésiter à faire de la pédagogie pour que ces gestes soient bien ancrés dans les esprits de chacun et deviennent des automatismes. Il ne faut pas laisser son écran déverrouillé lorsqu'on n'est pas dans son bureau ou laisser en évidence son mot de passe écrit traîner sur son bureau, ne pas ouvrir les pièces jointes d'e-mails suspects même si les e-mails infectés sont parfois difficiles à détecter.