Blue Coat Systems, nouvelle société de Symantec, le leader mondial de la cybersécurité, présente les résultats d’une enquête en ligne menée par YouGov auprès de 3 130 professionnels d’une variété de secteurs au Royaume-Uni, en France et en Allemagne. Ces résultats révèlent que les organisations restent exposées aux cybermenaces de plus en plus sophistiquées de l’ingénierie sociale (soit la collecte d’informations personnelles et professionnelles via les médias sociaux, puis leur utilisation afin d’user de menaces complexes au sein de réseaux).
Malgré l’utilisation croissante d’applications de médias sociaux aussi bien en entreprise qu’en dehors, les professionnels ne savent toujours pas se protéger entièrement des techniques d’ingénierie sociale. Parmi celles-ci figurent notamment le phishing, une forme de fraude où des pirates prétendant être des organisations ou des individus légitimes incitent des utilisateurs à cliquer sur ou à télécharger des logiciels malveillants afin de récupérer des informations sensibles telles que des identifiants ou des mots de passe.
Sur le plan de la sécurité, les comportements des utilisateurs ne se sont pas améliorés depuis 2015, et ont parfois même empiré. Ainsi, bien que l’on constate une utilisation plus sage des médias sociaux dans certains domaines, dans les autres contextes, les pirates modernes disposent de nombreuses opportunités à exploiter.
Les principaux résultats de l’enquête menée auprès des utilisateurs des médias sociaux :
En 2016, 42 % des personnes interrogées (43 % en 2015) affirment n’avoir accepté que des requêtes provenant de connaissances. La majorité fait donc preuve d’une volonté croissante d’interagir avec des inconnus.
La gestion de l’accès à des informations privées et des paramètres de confidentialité reste une problématique : ainsi, seuls 40 % des professionnels auraient réglé leurs paramètres afin que seuls certains individus puissent visualiser leurs profils, soit le même pourcentage que l’année dernière.
En cas de demande de contact, 41 % des personnes interrogées en 2016 font preuve de prudence et vérifient systématiquement les identités des individus, un pourcentage en légère hausse par rapport aux 38 % de 2015.
Cette année, les employés de 18-24 ans ont moins tendance à régler leurs paramètres de confidentialité qu’en 20015 (49 % contre 60 % l’an passé). Ils sont également moins susceptibles de vérifier l’identité des individus leur soumettant des requêtes avant de les accepter (53 % contre 57 % en 2015). Malgré cela, cette génération fait cependant preuve de davantage de discernement dans ces domaines que les autres tranches d’âge.
Les comportements des professionnels de 45-54 ans se sont améliorés sur le plan de la sécurité en 2016 : 37 % d’entre eux vérifient toujours les identités des individus leur soumettant des requêtes, contre 32 % l’année dernière. Ce pourcentage atteint 40 % pour les individus âgés d’au moins 55 ans, contre 30 % en 2015. En dépit de ces améliorations, les données montrent que les employés de plus de 45 ans sont nettement moins vigilants que les autres.
En 2016, les individus de 18-24 ans (la génération Y) sont ceux qui font preuve des pires habitudes en matière de gestion de mots de passe. Ils sont 14 % à utiliser le même mot de passe pour chaque application, soit près du double du pourcentage calculé pour l’ensemble des actifs (8 %).
Seul un peu plus du tiers (36 %) des personnes interrogées utilisent un mot de passe différent pour chaque application de médias sociaux et de messagerie.
Seuls 12 % des personnes interrogées préfèrent n’utiliser que des applications chiffrant leurs données par défaut telles que WhatsApp et Facebook Messenger.
Les employés allemands sont ceux qui utilisent les plus des applications chiffrées (21 %, contre 10 % des Britanniques et 5 % des Français).
Les experts financiers sont ceux qui ont le plus tendance à entrer en contact avec des inconnus. Ils ne sont que 37 % à n’accepter de requêtes que de la part de leurs connaissances, contre 40 % des spécialistes des RH et 41 % des professionnels de santé.
En ce qui concerne l’utilisation de mots de passe différents pour l’ensemble de leurs applications, les informaticiens ne font pas mieux que leurs collègues pourtant moins bien informés. Seuls 39 % d’entre eux appliquent ce principe, contre 43 % des spécialistes des RH. En outre, ils font à peine mieux que les professionnels de santé (36 %), les commerciaux (35 %) et les experts financiers (32 %).
Les informaticiens sont les plus nombreux (16 %) à n’utiliser que des applications chiffrées ; à l’opposée figurent les professionnels de santé avec un pourcentage de 10 %.
Les membres d’équipes informatiques ont davantage tendance à vérifier les identités des individus en cas de demande de contact (51 %, contre 45 % des spécialistes des RH, 43 % des professionnels de santé et 34 % des experts financiers)..
Seuls 33 % des professionnels des RH ont configuré les paramètres de confidentialité de leurs profils, contre 47 % des informaticiens et 45 % des professionnels de santé (les deux groupes ayant obtenu les meilleurs pourcentages).
Pour Robert Arandjelovic, directeur marketing des produits Blue Coat pour l’EMEA chez Symantec : « Cette enquête souligne les risques auxquels doivent faire face les organisations en raison des agissements de leurs salariés sur les médias sociaux et les applications de messagerie. L’ingénierie sociale reste un classique pour les pirates cherchant à accéder à des réseaux d’entreprises. Cela est dû en partie au grand nombre d’employés leur ouvrant des brèches à cause de leurs mauvaises pratiques sur les médias sociaux. Leurs comptes sont ainsi plus vulnérables, et les pirates peuvent ensuite infiltrer des applications métiers plus sensibles et contenant des données critiques. »
« Les auteurs d’attaques par ingénierie sociale ne piratent pas des ordinateurs, mais des individus. Il est donc important de s’assurer que l’homme ne soit pas le maillon faible de l’infrastructure de cybersécurité. Pour éviter de tomber dans les pièges complexes des menaces d’aujourd’hui, les entreprises doivent encourager leurs employés à se protéger en ligne avec des mots de passe complexes uniques pour chacune de leurs applications, et en réglant leurs paramètres de confidentialité. »