Terranova Security présente les résultats d’une étude exclusive menée en partenariat avec l’institut de sondage Ipsos. Alors que le risque cyber n’a jamais été aussi élevé pour les entreprises comme pour les particuliers], et dans un contexte de mutation de l’environnement de travail déclenché par la crise sanitaire, cette étude, menée à l’été 2022 en France, aux Etats-Unis, en Australie, au Canada et au Royaume-Uni vise à établir le niveau d’intérêt et d’adhésion du public au sujet de la sensibilisation à la cybersécurité. Assiste-t-on, enfin, à l’émergence d’une « conscience cyber » dans nos sociétés ? Quel est le rôle des entreprises dans l’éveil du public aux enjeux de cybersécurité ? Quelles pistes, enfin, faut-il privilégier afin d’enrayer ce qui ressemble à un glissement inexorable vers un monde de la « terreur cyber » généralisée ?

Une connaissance des risques cybers à relativiser

Bonne nouvelle, l’enquête de Terranova Security et Ipsos révèle que la population active en poste (de 18 à 75 ans) dans sa grande majorité, a bien conscience de la menace cyber. Près de 76 % des répondants de France, du Royaume-Uni, du Canada, d'Australie et des États-Unis déclarent d’ailleurs avoir déjà été personnellement visés par une cyberattaque ou connaître quelqu'un qui l'a été. En proportion, les employés français sont moins nombreux à déclarer avoir été directement victime d’une attaque : 72% en Australie, 61% aux Etats-Unis contre seulement 54% en France.

Autre fait intéressant : lorsque les répondants déclarent être familiers des sujets liés à la cybersécurité, ils ne sont, au niveau mondial, que 24% à partager leurs connaissances avec leur environnement. Les employés français sont plus nombreux, à 28%.

Les répondants estiment faible le niveau de connaissances général en matière de cybersécurité : un répondant sur trois (34%) l’estime « bon » dans leur entreprise. Ils sont en revanche plus durs avec eux-mêmes et leurs collègues : 30 % évaluent leur niveau personnel comme bon, et 22 % déclarent que leurs collègues ont un « bon » niveau de connaissance ce qui laisse supposer un manque de formation sur le sujet et peut-être aussi d’intérêt.

Travail à distance et nouveaux enjeux

Selon l’étude, 54% des répondants travaillent à distance, dont 34% davantage depuis les mesures mises en place en 2020. Et si les pays anglophones sont nombreux, notamment dans les grandes entreprises à avoir adopté cette pratique, la France semble résister au changement de paradigme professionnel (56 % des répondants ne pratiquent pas le télétravail). Une situation qui met en lumière des besoins plus importants : 54 % des télétravailleurs (58 % en France) déclarent avoir besoin d'un support informatique plus important en situation de télétravail pour éviter les problèmes de cybersécurité. Une proportion non-négligeable (37%) déclare toutefois moins se préoccuper de cybersécurité lorsqu’ils télétravaillent.

Ils s’accordent en revanche sur la question de la montée des attaques : 58% d'entre eux estiment que le phishing et les escroqueries sont en augmentation depuis 2020.

Un fort besoin de sensibilisation

Malgré ce constat d’alerte, l’effort de formation à la sensibilisation à la cybersécurité proposées par les entreprises semble particulièrement insuffisant. D’après l’étude, à peine plus d'un tiers (38 %) des personnes interrogées dans le monde déclarent que leur entreprise a mis en place un programme de sensibilisation à la cybersécurité obligatoire pour tous. Ce chiffre est particulièrement faible en France, où seuls 25 % des répondants travaillent au sein d’entreprises qui ont entrepris ce type d’actions. 45 % des entreprises françaises, selon l’étude, ne proposent aucun type de formation de sensibilisation à la cybersécurité (contre 31% outre-Manche). Ainsi, les répondants français ne sont que 29% à avoir terminé une formation de sensibilisation, quand la médiane entre tous les autres pays interrogés est de 49%. L'Australie est le meilleur élève, avec 51% des répondants ayant terminé leurs modules, 50% au Canada et au Royaume-Uni.

Pour les personnes n’ayant jamais participé à des formations de sensibilisation à la cybersécurité, la raison majeure réside, pour plus de la moitié des répondants (53%) réside dans le simple fait qu’ils ne se sont pas vu offrir de formations de ce type. Un chiffre qui culmine en France avec 70% des répondants en accord avec cette affirmation. Le fait que ces formations, lorsqu’elles existent, ne soient pas obligatoires, est le second facteur avancé par les répondants (30 % au niveau mondial).

L’intérêt des salariés, pourtant, est indéniable : plus des deux tiers des personnes interrogées (79 %) estiment intéressante la formation en sensibilisation à la cybersécurité, même si leur entreprise ne la propose pas. Les répondants ont par ailleurs des préférences marquées quant au type de formation dispensé : au niveau mondial, les activités pratiques et les cours en ligne sont plébiscités, devant les supports ludiques de format court et les sessions avec instructeur (virtuelles ou en personne). La France se distingue là encore puisque ce dernier type d’apprentissage y est cité en première position.

Malgré cet intérêt pour la formation, le sentiment de responsabilité des répondants vis-à-vis de la protection des données de leur entreprise est fluctuant : pour plus des trois quarts (78 %) des personnes interrogées, il est du ressort de l’entreprise d'assurer la sécurité de tous ses salariés. Même si la plupart d'entre elles (59 %) reconnaissent également qu'il leur incombe de protéger leur entreprise dans leurs tâches et missions quotidiennes, 52% déclarent que leur emploi n’a rien à voir avec la cybersécurité.

La « conscience cyber », une réalité en gestation

Indépendamment de leur exposition aux risques et aux questions de cybersécurité, il est indéniable que les personnes interrogées ont commencé à mettre en place de bonnes pratiques en matière de cyber-protection. Au travail, les cinq principes de base permettant de prévenir toute attaque sont connus :

• Créer des mots de passe uniques pour chaque compte (mais seulement 38% en France).
• Analyser minutieusement les courriels pour détecter les signes d'hameçonnage (47%)
• Être prudent lors de la réception d'emails/textes (59%)
• Ne jamais cliquer sur les liens et les pièces jointes des courriels et des textes non sollicités (61%)
• Signaler les courriels suspects aux équipes informatiques (45%)
•  

Le seul obstacle restant à la généralisation d’une culture cyber semble être la communication et le rôle que les individus s’attribuent en tant qu'aide potentielle pour les autres : moins d'un quart (24 %) des personnes interrogées ont déclaré partager leurs bonnes pratiques et parler des problèmes de cybersécurité avec leurs pairs.

Lorsqu'il s'agit de leur sphère personnelle cependant, les personnes interrogées semblent un peu plus bavardes : 29 % d'entre elles disent parler des principes de cybersécurité avec d'autres personnes. Et leur connaissance des meilleures pratiques est également assez étendue, voire meilleure que dans le cadre du travail, à l'exception notable de la dimension signalement, qui est pourtant une mesure potentiellement très efficace.

« Si la perception des menaces de cybersécurité par les actifs en poste nous semble juste, ce sont les bons gestes qui manquent pour garantir ce que nous pouvons qualifier d'hygiène numérique. La notion de responsabilité reste trouble et le niveau de compétence perçu en cybersécurité au niveau de l'entreprise ou des collègues est basse. Tout cela induit la nécessité d'attaquer par les fondamentaux pour construire une culture solide de la cybersécurité en entreprise. » indique Anselme Laubier, Directeur d’études chez IPSOS. « En termes de cybersécurité, la France est en net retrait par rapport aux pays anglo-saxon, que ce soit au niveau de la formation, des gestes ou du niveau de compétence perçu. Cela peut s'expliquer par une part de télétravail plus faible et, par extension, une exposition moindre aux risques. La perception des menaces reste néanmoins élevée, soulignant un enjeu fort de pédagogie en termes de cybersécurité. », ajoute-t-il.

« Il est nécessaire de rappeler qu’une majorité d’individus dans notre société, dans l’entreprise, ne sont pas des experts informatiques, que différentes générations se côtoient et n’ont pas la même culture ni la même sensibilité face au numérique. C’est là tout le défi que pose l’évolution de notre quotidien de plus en plus dématérialisé. Aussi, les actions de sensibilisation à la cybersécurité et, de manière plus générale, la sensibilisation au numérique doivent constituer des piliers éducatifs essentiels de nos sociétés » observe Dalila Ben Attia, Directrice Générale de Terranova Security France.