Le facteur humain reste une cause importante de cyberincidents. KnowBe4 constate une forte augmentation des attaques où l’action humaine est à l’origine, consciemment ou non.
De plus en plus d’organisations sont touchées par des cyberattaques où les employés jouent un rôle crucial. Au cours de l’année écoulée, le nombre de cyberincidents dus à des actions humaines a augmenté de 90 %. C’est ce qui ressort d’une étude mondiale de KnowBe4 auprès de 700 responsables de la cybersécurité et de 3 500 employés.
Le phishing se propage sur plusieurs canaux
Le courrier électronique reste le principal vecteur d’attaque : 64 % des organisations signalent des incidents par ce biais. En outre, 57 % ont constaté une augmentation du nombre d’attaques par courrier électronique. Dans 59 % des cas, le phishing a conduit à des prises de contrôle de comptes.
Il est frappant de constater que les cybercriminels ne se limitent plus au courrier électronique. 39 % des organisations ont signalé des attaques réussies via des plateformes de messagerie telles que Microsoft Teams et Slack. Les médias sociaux (36 %) et le smishing via SMS (31 %) sont également de plus en plus utilisés. Cette évolution conduit à une situation où les employés peuvent être ciblés simultanément sur plusieurs canaux numériques.
Les erreurs humaines et les menaces internes restent tenaces
Outre les attaques externes, les menaces internes causent également de graves problèmes de sécurité. 36 % des responsables de la cybersécurité interrogés ont indiqué que des employés avaient délibérément provoqué des incidents. Dans seulement six pour cent de ces cas, une intervention a pu avoir lieu à temps. Dans 43 % des cas, il s’agissait de la fuite ou de la vente de données à des concurrents.
Parallèlement, les erreurs humaines constituent un risque structurel. 90 % des organisations ont été confrontées à des incidents tels que des courriers électroniques mal envoyés ou le partage d’informations sensibles via des plateformes de collaboration.
L’étude révèle également un fossé entre la politique et la perception. Moins d’un tiers des employés se sentent responsables de la sécurité des données de l’entreprise. Près de la moitié ne considère pas les données avec lesquelles ils travaillent comme la propriété de l’organisation.
Seulement 16 % des organisations disposent d’un programme pour les risques humains. Presque tous les responsables de la cybersécurité (97 %) indiquent avoir besoin de plus de moyens pour faire face aux risques humains.