Cyber-attaques : l’erreur humaine pointée du doigt

La dernière enquête du Club des experts de la sécurité de l’information et du numérique montre que les négligences et les erreurs humaines constituent le principal cyber-risque pour les entreprises.

Comme chaque année, le Club des experts de la sécurité de l’information et du numérique (Cesin) publie son baromètre de la cyber-sécurité des entreprises. L’occasion pour les grandes entreprises membres du club de faire le bilan de leur année en termes d’attaques informatiques.

Il ressort, tout d’abord, de ce cinquième baromètre réalisé par OpinionWay pour le compte du Cesin que le nombre de cyber-attaques constatées par ces entreprises, s’il reste important tend à baisser. Ainsi, en 2019, 65 % de ces grandes sociétés disent avoir été touchées par au moins une cyber-attaque contre 80 % en 2018. Un recul qui traduit une plus grande sensibilité au sujet et un meilleur déploiement d’outils destinés à limiter le nombre d’attaques et à contrer leurs effets : près de 12 solutions techniques sont, en moyenne, utilisées par les entreprises ayant répondu à l’enquête. Pour autant, seules 39 % des entreprises se disent préparées à faire face à une cyber-attaque de grande ampleur.

Quels impacts ?

Dans 57 % des cas, les attaques subies en 2019 par les entreprises ont eu un impact sur leur business (contre 49 % en 2018). Parmi les dégâts constatés, elles notent principalement un ralentissement de la production (27 %), une indisponibilité du site Web pendant une période significative (17 %), une perte de chiffre d’affaires (9 %), des retards de livraison (8 %) ou encore une dégradation de leur image de marque (5 %).

Quant aux types d’attaques subies, les plus régulièrement cités pour 2019 sont le phishing (79 %), la fraude au président (47 %) et l’exploitation d’une vulnérabilité (43 %).

Les erreurs humaines

Enfin, lorsqu’on les interroge sur le type de cyber-risques qu’ils ont identifié au sein de leur entreprise, 38 % des dirigeants évoquent l’utilisation par les collaborateurs d’applications non approuvées, 30 % des erreurs de manipulation et de configuration d’un administrateur et 43 % une négligence ou une erreur de manipulation ou de configuration d’un autre salarié de l’entreprise.

Un constat qui rappelle que la cyber-sécurité n’est pas qu’un problème technique qu’il est possible de résoudre en adoptant des outils de protection. Comme disent les spécialistes de la cyber-sécurité, « le principal risque se situe entre le clavier et la chaise ». Aussi est-il absolument nécessaire de sensibiliser, de former et d’impliquer tous ses collaborateurs pour parvenir à faire descendre le niveau de cyber-risque de l’entreprise.

Article du 30/01/2020 - © Copyright Les Echos Publishing - 2019