Sondage
OpinionWay pour LockSelf : Les salariés de bureau et les usages numériques en
entreprise
• 94% des salariés considèrent que la
cybersécurité en entreprise est l’affaire de tous.
• Mais près de 40% des salariés ne sont pas inquiétés par la possibilité́ d’une cyberattaque et
36% estiment que leurs
pratiques représentent un risque important pour leur entreprise.
• 94% des répondants déclarent être en mesure
de reconnaître un e-mail de phishing,
pourtant près d’1
salarié sur 2 admet encore cliquer sur des liens douteux dans leurs boîtes
mails.
• 46% avouent cliquer sur des liens dans des emails professionnels sans vérifier leur provenance ;
35% des moins de 35 ans
téléchargent du contenu sans vérification.
• Près d’1 salariés sur 2 n’a jamais reçu de
formation liée à la cybersécurité ; 7 salariés sur 10 souhaiteraient être
davantage informés sur les risques numériques.
• Près de 4 salariés sur 10 (39%) partagent
leurs mots de passe professionnels avec des collaborateurs. Pourtant, seuls 27%
bénéficient aujourd’hui d’un gestionnaire de mots de passe fourni par leur
entreprise, permettant de sécuriser cette pratique.
Drive-by download, phishing, logiciels malveillants, ransomwares, attaques par mot de passe…
La
liste des cybermenaces est longue et ne cesse de s’étendre, tout comme le
nombre d’entreprises victimes. Dans ce contexte, la cybersécurité en entreprise
est devenue une priorité collective, les salariés étant souvent la première
ligne de défense … ou la première vulnérabilité.
Au travers son
baromètre sur la Cybersécurité en entreprise, LockSelf, première solution SaaS
de coffre-fort numérique française certifiée par l'ANSSI, a souhaité comprendre
et analyser les pratiques des salariés de bureau en matière de sécurité́
numérique et l’importance du sujet au sein de leurs entreprises. Intitulée «
Les pratiques numériques des salariés », cette étude, réalisée en partenariat
avec OpinionWay, met en évidence des comportements à risque encore trop
fréquents parmi les salariés français.
Synthèse
« Les résultats de
notre étude mettent en lumière une véritable dichotomie entre les pratiques
numériques des salariés et leur perception des risques. Malgré une prise de
conscience croissante, des habitudes dangereuses comme le partage de mot de
passe non-sécurisé entre collaborateurs, ou les clics sur des liens de
phishings persistent, souvent par manque de formation. Il est désormais urgent
d’investir dans des outils de cybersécurité accessibles et dans
l’accompagnement des collaborateurs. L’objectif : renforcer la sécurité tout en
simplifiant leur quotidien, pour que ces solutions puissent être adoptées à
tous les niveaux de l’entreprise, quelle que soit sa taille », commente Julien
Tessier, Co-Fondateur et Président de Lockself.
1 - Les pratiques
numériques des salariés : une porte d’entrée pour les menaces numériques
Attaque informatique :
« La menace fantôme »
La possibilité d’une
cyberattaque contre son entreprise est un scénario écarté par près de 40% des
répondants. Parmi eux, 27% le juge peu probable et 10% inexistant. Cette
sous-estimation du risque cyber nécessite pour les entreprises une vigilance
proactive et l’investissement dans la sensibilisation aux risques numériques.
En effet, elle révèle un certain décalage avec la réalité, car les mauvaises
pratiques ne sont pas loin…
Top 3 des mauvaises
habitudes informatiques en entreprise
Les comportements à
risque en matière de cybersécurité restent largement répandus en entreprise.
Parmi les mauvaises pratiques les plus fréquentes, on retrouve en priorité :
1. L’usage personnel des outils professionnels : 49% des salariés déclarent utiliser leurs outils professionnels (ordinateur, téléphone, etc.) à des fins personnelles. Si on ajoute ceux qui le font
«
rarement », c’est au total 71% de l’échantillon qui a déjà eu recours à cette
mauvaise habitude.
2. L’utilisation d’un même identifiant de
connexion pour plusieurs comptes professionnels : 63% du panel utilisent le
même identifiant ou mot de passe pour plusieurs comptes professionnels.
3. Le partage de documents professionnels par des
services personnels : 61% des salariés ont déjà eu recours à une adresse mail
ou à un service type Wetransfer pour partager un document. Ce partage de
fichiers non sécurisé pour les services professionnels (également appelé
“Shadow IT”) n’est pas sans risque, n’importe qui pouvant les intercepter, et
donc accéder à des informations sensibles.
Gestion des mots de
passes : des pratiques encore trop peu sécurisées
En plus de ces
pratiques, la fiabilité des mots de passe constitue une autre source de
préoccupation :
• 30% des salariés
utilisent des informations personnelles ou facilement devinables (comme une
date de naissance ou le nom d’un proche) pour leurs mots de passe
professionnels.
• 27% reconnaissent
avoir des mots de passe de faible sécurité (suite de chiffres, absence de
caractères spéciaux).
• Moins d’un tiers (31%)
des salariés utilisent régulièrement l’authentification à deux facteurs (MFA)
pour se connecter à des comptes ou applications professionnelles.
Pire, 4 salariés sur 10
(39%) partagent leurs mots de passe professionnels avec des collaborateurs,
démontrant un besoin urgent d'encadrer et de sécuriser ces pratiques autour de
la gestion des mots de passe sur le lieu de travail. Cela est assez marqué dans
les structures de petites tailles (52% pour les entreprises de 20 à 49 salariés
vs. 30 % pour les structures de plus de 1 000 salariés), mais également chez
les salariés de moins de 35 ans (52%). Seuls 27% des salariés bénéficient
aujourd’hui d’un gestionnaire de mots de passe fourni par leur entreprise,
permettant de sécuriser cette pratique.
Si ces habitudes
augmentent le risque de compromission des systèmes, il y a encore plus
inquiétant.
Le phishing : une
menace toujours d’actualité …
L'hameçonnage ou
phishing représente un risque réel : 46% des salariés avouent encore cliquer
sur des liens douteux dans leurs emails professionnels, offrant ainsi une porte
d’entrée idéale pour les cyberattaques.
Dans la même lignée,
ils sont quasiment autant (44%) à télécharger du contenu dans un mail
professionnel sans en vérifier la provenance. Pourtant, la quasi-totalité́ des
répondants (94%) se déclare en mesure de reconnaître un e-mail d’hameçonnage ou
de phishing...
… Surtout chez les plus
jeunes
Ces deux pratiques à
risque sont particulièrement répandues chez les moins de 35 ans :
• 35% téléchargent du
contenu sans vérification (contre 17% chez les 35-49 ans et 12% chez les plus
de 50 ans), et
• 30% cliquent sur des liens contenus dans des emails sans précaution (18% chez les 35-49 ans,
16%
chez les plus de 50 ans).
Seul 1/3 des salariés
admets avoir des pratiques à risque
Dans les faits, les
salariés sont donc très nombreux à adopter des comportements dangereux.
D’ailleurs, l’étude révèle beaucoup d’autres habitudes à risques qui, bien que
moins répandues, exposent tout autant les entreprises. Pourtant, lorsqu’on les
interroge sur l’impact de leurs pratiques numériques sur la sécurité de leur
entreprise : ils sont 64% à considérer ce risque numérique comme faible ou nul,
révélant une certaine méconnaissance des menaces liés à leurs comportements. Ce
chiffre grimpe à 43% chez les moins de 35 ans.
2/ La sécurité informatique au bureau : quelle importance accordée par les
salariés ?
L’accès à la sécurité
informatique : des salariés trop sûrs d’eux
Malgré des mauvaises
pratiques encore très répandues, les salariés sont confiants en leurs capacités
et jugent être bien outillés.
Quel que soit le sexe, l’âge ou la taille de l’entreprise, ils sont ainsi unanimes sur deux points :
89% considèrent disposer des outils requis pour garantir cette sécurité et 90%
estiment avoir les réflexes nécessaires pour assurer leur propre sécurité
informatique au bureau. Cette assurance contraste fortement avec les risques
observés et le niveau de formation.
La formation en
cybersécurité : un manque à combler pour près d’un salarié sur deux
L’importance des
mauvaises pratiques peut en effet s’expliquer par le manque de formation
régulière des collaborateurs aux menaces numériques.
Près de la moitié des
salariés (46%) n’a jamais reçu de formation en cybersécurité, un chiffre qui
grimpe à 68% dans les entreprises de moins de 20 salariés et à 51% pour les
femmes (contre 41% pour les hommes). Parmi les 54% ayant bénéficié d’une
formation, un quart (25%) l’a reçue il y a plus d’un an. Les entreprises de 50
à 259 salariés et celles de plus de 1 000 sont les bons élèves par rapport aux
entreprises de 1 à 19 salariés).
Une préoccupation qui
dépend de la taille de la structure
L’importance accordée à
la sécurité numérique progresse avec la taille d’entreprise. Ainsi, 65% des
salariés d’entreprise de 1 à 19 salariés estiment que la cybersécurité́ est un
enjeu prioritaire pour leur entreprise contre 88% des répondants d’entreprises
de 1 000 salariés et plus.
La cybersécurité : un
enjeu « collectif » sous-exploité
94% des salariés considèrent que la cybersécurité en entreprise est l’affaire de tous, pas seulement du service informatique. Cependant, les attentes des salariés dans ce domaine sont encore loin d’être pleinement satisfaites que ce soit en termes de sécurisation des mots de passe (prioritaire pour 92%) ou encore de formations aux risques numériques (souhaitées par 70% des salariés).