Selon cet article, appuyé sur le rapport « State of the Phish » de Proofpoint, bien des salariés français sont conscients des risques cyber… mais les prennent quand même !
En fait, ce que j’observe souvent lors de mes sessions de sensibilisation ou de formation, c’est que la majorité des Français sont conscients des risques (i.e. « en ont entendu parler »), mais ne les comprennent pas vraiment. Aussi, face à un appât « irrésistible » tel que « gagnez vos vacances en Polynésie en cliquant là », ils arbitrent entre un risque qui leur apparaît fumeux et une perspective attirante.
L’article se termine ainsi : « Pour les professionnels, le seul moyen d’y remédier est une fois de plus d’augmenter les formations (76%) et d’avoir des contrôles plus stricts (80%). Ce à quoi 94% des employés interrogés répondent qu’ils donneraient la priorité à la sécurité si les contrôles étaient simplifiés et plus conviviaux. »
Oui il faut contrôler, sous réserve d’avoir énoncé et communiqué la politique, de manière conviviale pour autant qu’un contrôle puisse l’être.
Oui il faut accroître les actions de formation et de sensibilisation, d’une manière vraiment pédagogique : évitons « n’ouvre pas les pièces jointes », « ne navigue pas sur un site inconnu », « choisis des mots de passe tous différents d’au moins 12 caractères aléatoires », « vérifie les clauses contractuelles des services que tu utilises »… L’expérience montre qu’une sensibilisation appuyée sur l’expérience vécue des personnes (professionnelle et personnelle), expliquant ce qui se passe derrière la scène, interactive afin de répondre aux questions… ça marche !