Si on écoute les déclarations des employés de bureau français, la cybersécurité est une préoccupation constante. Mais, si l'on creuse un peu sur leurs pratiques, on s'aperçoit de nombreuses et profondes lacunes. C'est le sujet d'une enquête récemment menée par OpinionWay sur la commande de Mailinblack. Les répondants s'affirment ainsi vigilants (88 % des répondants dont 34 % de très vigilants), respectant scrupuleusement les règles de leur entreprise (86%), ayant confiance dans leurs capacités (85%) et étant à l'aide avec les outils informatiques (83%), même si 40 % seulement déclarent appliquer strictement les règles prudentielles informatiques de l'entreprise. Cependant, 88 % admettent vouloir aider les autres et 87 % gérer plusieurs tâches en même temps. Seulement 18 % des répondants estiment que les utilisateurs ont un rôle très important dans la cybersécurité et 42 % un rôle assez important. 39 % jugent que leur rôle est secondaire. Et 51 % jugent que leur entreprise est vulnérable aux cybermenaces.
Quand on rentre dans le détail des pratiques, les certitudes affichées fondent vite. Premier problème : la confusion d'usages entre personnel et professionnel. L'usage personnel d'outils professionnels (ordinateur, téléphone...) est ainsi la norme : seuls 19 % des répondants ne le font jamais, 26 % le faisant très souvent et 32 % de temps en temps. L'inverse, l'usage d'outils personnels à des fins professionnelles, est aussi d'une grande fréquence : 33 % s'y refusent mais 27 % le font couramment. Connecter un support personnel (clé USB...) à un ordinateur professionnel séduit aussi fortement (25 % jamais, 50 % au moins de temps en temps). L'usage de mots de passe communs personnels/professionnels (46 % de répondants avouent le faire au moins de temps en temps), se connecter à un wifi non-sécurisé (36%) et, pire que tout, cliquer sur un lien contenu dans un mail sans vérifier sa provenance (26%) sont trois attitudes souvent adoptées et particulièrement dangereuses, ce alors que 88 % jurent être vigilants quant aux e-mails reçus.
Face à un test de capacité simple, à savoir repérer dans une série de captures d'écrans de mails tantôt frauduleux tantôt légitimes lesquels sont quoi, les résultats sont déplorables. Seulement 3 % ont correctement identifié tous les mails, 11 % aucun, 25 % la moitié, alors que 67 % estiment qu'il est facile de repérer un e-mail frauduleux. Sur une liste d'une dizaine de cybermenaces, les personnes interrogées ont dû ensuite indiquer lesquelles elles connaissaient en amont. 96 % en connaissaient au moins une, le nombre moyen étant de six. Fraude à la carte bancaire et hameçonnage sont en tête avec seulement 65 % de taux de notoriété, le plus bas taux de notoriété étant le détournement d'informations personnelles (photos...) à l'insu des internautes (53%). 79 % s'estimeraient coupables s'ils étaient responsable d'un piratage de leur entreprise et 34 % avouent avoir commis des imprudences ayant mis en danger la cybersécurité de leur entreprise.
La cybersécurité vue par les collaborateurs : la théorie diffère de la pratique
Selon une étude menée par OpinionWay pour Mailinblack, la perception pertinente des cyber-risques par les collaborateurs reste très limitée.