Le salarié, maillon faible de l’attaque informatique dans l’entreprise

C'est mon boulot Sarah Lemoine Le samedi à 7h25, 9h25, 11h25 et 13h25, le dimanche à 7h22, 9h22, 11h22, 13h22

Près d’une entreprise sur deux a subi au moins une cyberattaque significative l’an dernier, avec des conséquences parfois importantes sur l’activité, la clientèle ou la réputation. Or, les comportements à risques des salariés restent largement répandus.

Sarah Lemoine

Radio France

Publié le 16/02/2025 10:00

Temps de lecture : 2min

46% des salariés n'ont pas été formés aux risques cyber, selon une étude. (RICHARD VILLALON / MAXPPP)

On pourrait faire un parallèle avec la pratique sportive. Tout le monde sait que faire du sport, c’est bon pour la santé, mais s’y mettre régulièrement et changer de routine, c’est plus compliqué. En matière de sécurité informatique, c’est un peu pareil. Sur le papier, presque tous les salariés sont d’accord pour dire que la cybersécurité en entreprise, c’est l’affaire de tous. Pourtant, une partie d’entre eux décrivent toujours des pratiques à risques. C’est ce qui ressort d’une étude réalisée par Opinionway pour Lockself, auprès de 1.300 actifs disposant d’un ordinateur de bureau.

Tarder à mettre à jour ses logiciels

Par exemple, utiliser son ordinateur professionnel pour des travaux personnels : aller sur des sites commerçants pas très sécurisés, cliquer sur un lien et faire entrer potentiellement un virus dans son système informatique, etc. 49% des salariés disent le faire souvent ou de temps en temps. Autres points faibles : garder le même identifiant de connexion pour plusieurs comptes professionnels, partager ses mots de passe avec ses collègues, tarder à mettre à jour ses logiciels, ou partager des documents professionnels en utilisant des services personnels comme WeTransfer.

Ce site d'expédition en masse est bien pratique quand sa messagerie professionnelle bloque les envois volumineux. Mais c’est formellement déconseillé, pour Pierre Randget, directeur des opérations chez Lockself. Ce site n’est pas chiffré, il y a un risque d’interception et de vols de données. C’est un gros sujet, dit-il, dans les entreprises, d'autant que 61% des salariés affirment utiliser ce type de service.

La moitié des salariés n'a pas été formée

La quasi-totalité des salariés interrogés affirme savoir reconnaître un mail d’hameçonnage. Pourtant, près de la moitié indique cliquer sur des liens douteux dans leurs e-mails professionnels. Le phishing reste le vecteur dominant des attaques cyber, selon le dernier baromètre de la cybersécurité des entreprises du Cesin (un club réunissant des responsables de la cybersécurité venant d’entreprises de tous secteurs d’activité et d’administrations).

Pour lutter contre les mauvaises habitudes, les entreprises doivent sensibiliser plus fortement toutes les parties prenantes. 46% des salariés affirment n’avoir jamais été formés aux risques cyber. Un chiffre qui grimpe à 68% dans les entreprises de moins de 20 salariés.