10 nouvelles tendances en matière de cybersécurité dans les petites entreprises

L’état de la sécurité dans les petites organisations et les entreprises en expansion.

Au cours des deux dernières années, les espaces de travail hybrides se sont imposés comme « l’avenir du monde du travail ». Dans cette optique, les employés bénéficient d’une plus grande flexibilité quant à leur rythme de travail, tandis que les employeurs sont en mesure de renforcer la résilience de leur entreprise. Mais une telle évolution modifie également la façon dont les entreprises abordent la cybersécurité : elles ne peuvent plus se permettre de mettre la sécurité sur la touche ou de la dissocier de leurs objectifs métier.

Nous voulions déterminer l’impact de l’avenir du monde du travail sur la façon dont les petites et moyennes entreprises des secteurs privé et public envisagent la cybersécurité et la gestion des mots de passe. Pour identifier les tendances en matière de cybersécurité, nous avons mené des enquêtes distinctes auprès des employés et des responsables informatiques, ainsi que des entretiens complémentaires avec un groupe restreint de leaders du secteur. Voici ce que nous avons appris.

Conclusion n° 1 : il y a eu une meilleure sensibilisation des entreprises, mais seules certaines d’entre elles ont adopté des mesures

Des antennes sont en place dans la plupart des entreprises. Parmi tous les participants à notre enquête, 83 % ont constaté une meilleure sensibilisation et une plus grande importance de la sécurité au sein de leur entreprise. Cela signifie que les petites et moyennes entreprises réalisent que les enjeux sont considérables face à l’ère numérique.

Cette sensibilisation renforcée s’est traduite par des actions, mais seulement pour un petit groupe d’entreprises. En résumé :

• 38 % ont renforcé l’utilisation de leur gestionnaire de mots de passe existant
• 36 % ont adopté de nouvelles politiques de sécurité
• 37 % ont multiplié le nombre de formations relatives à la cybersécurité
• 23 % ont déclaré que leur entreprise a commencé à utiliser un gestionnaire de mots de passe

Conclusion n° 2 : les dirigeants et les employés ont une vision différente de la cybersécurité de leur entreprise

Au cours de nos deux enquêtes distinctes, nous avons remarqué que les perceptions des dirigeants différaient de celles des employés sur de nombreux points. Par exemple :

• 98 % des dirigeants et 88 % des employés estiment que leur entreprise accorde davantage d’attention à la sécurité à la suite des récentes failles de données à grande échelle
• 97 % des dirigeants et 75 % des employés ont fait état d’une meilleure sensibilisation et d’une plus grande importance de la sécurité au sein de leur entreprise
• 65 % des dirigeants et 25 % des employés ont relevé qu’ils utilisaient plus souvent leur gestionnaire de mots de passe existant
• 31 % des dirigeants et 43 % des employés ont déclaré que leur entreprise avait adopté de nouvelles politiques de sécurité
• 23 % des dirigeants et 40 % des employés ont souligné que le nombre de formations en matière de cybersécurité avait augmenté
• 32 % des dirigeants et 20 % des employés ont indiqué que leur entreprise avait commencé à utiliser un gestionnaire de mots de passe

Ces différences ne sont pas surprenantes, car les rôles individuels influencent la façon dont les gens perçoivent le fonctionnement interne de leur entreprise. Et comme les dirigeants sont à l’origine de nombreuses initiatives en matière de sécurité, ils voient les changements en matière de sensibilisation et de pratiques de sécurité sous un angle différent de celui de la plupart des employés.

Conclusion n° 3 : les grandes entreprises sont plus enclines à accorder de l’importance à la cybersécurité

Notre enquête a révélé de nombreuses différences entre les grandes et les petites entreprises. Les entreprises de plus de 300 employés étaient plus disposées à faire état d’une sensibilisation accrue à la cybersécurité, de modifications de leurs comportements en matière de sécurité et même d’une plus grande implication des employés quant à la cybersécurité.

• La sensibilisation des employés croît proportionnellement à la taille de l’entreprise : 82 % dans les entreprises de 401 à 500 employés et 72 % dans les entreprises de 51 à 100 employés.
• Les plus petites entreprises (51-100 employés) étaient les moins susceptibles d’adopter de nouvelles politiques de sécurité ou d’accroître le nombre de formations relatives à la cybersécurité en raison de la généralisation du travail à distance
• Dans les entreprises de plus de 300 personnes, les employés et les dirigeants étaient plus susceptibles de juger leurs collègues comme étant des passionnés de cybersécurité

Certaines de ces différences peuvent être attribuées à la plus faible proportion d’employés travaillant à distance dans les plus petites entreprises. Toutefois, les principales causes sont probablement le manque de ressources en matière de cybersécurité et la conviction que les cybercriminels ne ciblent pas les petites entreprises. Pourtant, ces dernières années ont clairement démontré que la taille n’a aucune importance pour les cybercriminels : les petites entreprises sont tout aussi exposées aux cyberattaques, si ce n’est plus.

Conclusion n° 4 : l’utilisation d’un gestionnaire de mots de passe est le premier changement apporté par les entreprises pour renforcer la sécurité

La hausse de l’utilisation de gestionnaires de mots de passe constitue le principal changement opéré par les entreprises en raison de la généralisation du travail à distance, comme le soulignent 38 % des employés et des dirigeants. Une meilleure formation en matière de cybersécurité et l’adoption de nouvelles politiques ne sont pas loin derrière (37 % et 36 %, respectivement).

Cela témoigne du fait que les entreprises sont conscientes que les utilisateurs et les politiques revêtent une importance égale pour assurer une bonne sécurité. Pour faire évoluer les comportements et améliorer la culture en matière de sécurité, il faut également une sécurité centrée sur l’humain, et ces conclusions montrent que de nombreuses entreprises sont en passe d’adopter cet état d’esprit. Nous avons également constaté que :

Conclusion n° 5 : les employés veulent désormais se doter d’un gestionnaire de mots de passe, et les dirigeants partagent cet avis

Si les employés et les dirigeants interrogés dans le cadre de nos deux enquêtes ont des avis différents sur plusieurs aspects de la cybersécurité, ils sont sur la même longueur d’onde en ce qui concerne la nécessité d’une solution de gestion des mots de passe. Mais les dirigeants y sont beaucoup plus sensibles.

Environ la moitié (52 %) des employés pensent que leur entreprise devrait se doter d’un gestionnaire de mots de passe ; chez les dirigeants, ils sont 97 % à partager cet avis. Cela nous amène à penser que les employés veulent des outils de sécurité numérique qui les aident à assurer une meilleure cybersécurité afin de préserver leur entreprise, et que les dirigeants adhèrent pleinement au désir des employés de disposer de meilleurs outils.

De nombreux employeurs prennent déjà des mesures en ce sens : 41 % des entreprises ayant participé à nos enquêtes requièrent un gestionnaire de mots de passe pour tous, 18 % l’adoptent partiellement et 13 % proposent cette option. Les employeurs de 301 à 400 travailleurs (51 %) sont ceux qui ont le plus besoin de cet outil de sécurité numérique, suivis de ceux dont les effectifs sont compris entre 401 et 500 travailleurs (42 %).

Nos entretiens complémentaires avec les dirigeants nous ont également appris que les employés souhaitent disposer d’une solution spécifique, au-delà d’un chef de bureau ou d’un administrateur informatique, qui puisse gérer l’accès aux gestionnaires de mots de passe. Ils pensent pouvoir assumer leur gestion pendant un certain temps, mais lorsque celle-ci prend de l’ampleur, les choses peuvent rapidement se gâter. Opter pour un gestionnaire de mots de passe simple et doté d’excellentes fonctionnalités de prise en main peut y contribuer ; plus l’outil est simple, plus les employés sont susceptibles de l’adopter.

52 % des employés estiment que leur entreprise devrait disposer d’une solution de gestion des mots de passe. Les opinions varient toutefois selon les secteurs.

Conclusion n° 6 : la plupart des employés utilisent au moins cinq mots de passe

La majorité de nos participants ont déclaré qu’ils utilisent régulièrement plus de cinq mots de passe pour leurs comptes professionnels, 6 à 10 étant le nombre le plus fréquemment mentionné (par 41 % des répondants). Il n’est pas surprenant que, compte tenu de leur rôle, les dirigeants en utilisent beaucoup plus : 72 % utilisent plus de cinq mots de passe, et 53 % en utilisent de 6 à 10. Les employés des secteurs de l’éducation, de la finance et de la santé sont plus susceptibles de faire partie de la fourchette allant de 6 à 10 comptes.

Tous secteurs confondus, c’est dans le secteur bancaire que les employés sont le plus sollicités (34 % d’entre eux utilisent 10 mots de passe ou plus), suivi par le secteur de l’éducation (25 %). Les secteurs du retail et de la finance se partagent la troisième place (23 %). La fatigue suscitée peut conduire les employés à recourir à des raccourcis, comme la réutilisation de mots de passe ou l’utilisation d’identifiants simples et faciles à mémoriser. De tels raccourcis présentent un risque considérable pour les entreprises, car les acteurs malintentionnés profitent généralement de la présence de mots de passe faibles ou compromis pour accéder aux systèmes.

Conclusion n° 7 : le recours aux gestionnaires de mots de passe par les employés demeure un défi

Malgré le nombre impressionnant d’identifiants, les employés ne sont pas convaincus que leurs collègues utilisent fréquemment des gestionnaires de mots de passe. Bien que 41 % des entreprises interrogées requièrent un gestionnaire de mots de passe, seul un cinquième des employés pense que son taux d’adoption par leurs collègues est de 95 à 100 %. Plus grave encore, près d’un tiers (29 %) pense que son taux d’adoption est de 50 % ou moins.

Là encore, les dirigeants ont un avis différent : les employés sont beaucoup plus sceptiques que les équipes informatiques. Près de 40 % de nos responsables informatiques pensent que le taux d’adoption au sein de leur entreprise est de 95 à 100 %, et seulement 20 % pensent que ce taux est de 50 % ou moins.

Les dirigeants ayant une vision plus approfondie des outils de sécurité de leur entreprise que les autres employés, il est probable que leur perception des taux d’adoption reflète mieux la réalité. Malgré tout, il est clair que les entreprises ont du mal à susciter la coopération des employés.

Conclusion n° 8 : le manque de confiance dans les outils de sécurité et la méconnaissance de ceux-ci sont les principaux obstacles à leur adoption

Même lorsque les entreprises investissent dans des outils de sécurité, les employés pourraient ne pas les utiliser s’ils n’ont pas suffisamment confiance en ces outils ou s’ils ne savent pas comment s’en servir. Notre enquête a révélé que tant les employés que les dirigeants estiment que le principal obstacle à l’adoption d’un gestionnaire de mots de passe est le manque de connaissances quant à ses fonctionnalités.

Étant donné que de nombreux responsables informatiques ne comprennent pas les fonctionnalités de leur gestionnaire de mots de passe, trouvent que l’outil est complexe à configurer ou n’ont pas l’impression que le retour sur investissement est satisfaisant, cela explique en partie les faibles taux d’adoption évoqués précédemment. Il serait ardu pour les dirigeants d’« évangéliser » l’utilisation de l’outil au sein de leur entreprise s’ils ne savent pas comment fonctionne le gestionnaire de mots de passe et s’ils n’ont pas la conviction que son utilisation soit à la portée de tous.

Pour assurer une adhésion efficace, les employés doivent savoir non seulement pourquoi ils ont besoin d’un gestionnaire de mots de passe, mais aussi quelles sont les fonctionnalités qui les concernent et comment elles permettent de renforcer la sécurité. Exploitez les ressources que de nombreux fournisseurs proposent dans le cadre de leur démarche de familiarisation.

• La méconnaissance des fonctionnalités est un problème beaucoup plus répandu chez les dirigeants que chez les employés, 58 % des dirigeants mentionnant « la méconnaissance des fonctionnalités » comme principal problème, contre 31 % des employés
• Le manque de confiance vis-à-vis des fournisseurs est la deuxième raison pour laquelle les employés n’utilisent pas de gestionnaire de mots de passe (30 % d’entre eux sont de cet avis), suivie par la difficulté de configuration (25 %). D’autre part, les dirigeants citent la difficulté de configuration comme le deuxième obstacle le plus sérieux (51 %), suivi du retour sur investissement (46 %).

Conclusion n° 9 : les entreprises disposant d’un gestionnaire de mots de passe estiment être moins sujettes aux risques de cyberattaque que celles qui n’en ont pas

Pour les entreprises ayant réussi à surmonter ces obstacles et à adopter cette solution, les résultats sont positifs. Parmi les participants à notre enquête, tant les employés que les dirigeants des espaces de travail qui requièrent un gestionnaire de mots de passe estiment que leur entreprise est moins susceptible d’être piratée ou victime d’une faille.

Les dirigeants en sont beaucoup plus convaincus : 90 % d’entre eux estiment que leur entreprise ne risque pas ou ne risque pas du tout d’être victime d’un piratage ou d’une faille, contre 59 % des employés.

Les fuites de mots de passe sont monnaie courante dans le milieu criminel en raison du nombre colossal de failles de données. En recourant à des outils automatisés, les cybercriminels peuvent tester la fiabilité de ces mots de passe rapidement et à grande échelle. Un gestionnaire de mots de passe réduit le risque que les mots de passe soient compromis ou faibles, et notre enquête montre que les entreprises en sont les premiers témoins.

Conclusion n° 10 : les opinions et les pratiques en matière de cybersécurité diffèrent selon les secteurs

Les secteurs de l’assurance, de la finance et de la banque sont ceux qui adoptent le plus d’outils de sécurité, peut-être parce que les réglementations plus strictes conduisent à des impératifs plus ambitieux en matière de sécurité.

Les bonnes pratiques en matière de cybersécurité peuvent varier légèrement d’un secteur à l’autre, mais nombre d’entre elles sont essentielles, quelle que soit la branche d’activité. La connaissance de ces bonnes pratiques et l’adoption des principes élémentaires aideront les entreprises de toutes tailles à renforcer leurs dispositifs de cybersécurité.

• L’assurance est de loin le secteur requérant le plus le recours à un gestionnaire de mots de passe (80 %, contre 41 % pour l’ensemble des secteurs)
• Les employés du secteur de la production sont ceux qui s’inquiètent le plus des risques de faille de données à grande échelle, avec un pourcentage impressionnant de 96 %
• L’éducation est le secteur qui compte le plus grand nombre de réponses mentionnant une utilisation facultative d’un gestionnaire de mots de passe (26 %)
• Bien que les employés du gouvernement soient parmi ceux qui pensent pouvoir se passer d’un gestionnaire de mots de passe, les agences gouvernementales sont l’un des secteurs qui en ont le plus besoin

Notre dernière étude a révélé que le travail à distance et le travail hybride se généralisent : seuls 10 % de l’ensemble des employés et dirigeants interrogés ont déclaré ne pas avoir de travailleurs à distance dans leur entreprise. Avec la généralisation du travail à distance, le taux d’adoption des outils en ligne va continuer à croître, ce qui signifie que la cybersécurité deviendra rapidement une priorité pour les petites entreprises.

La protection des données sensibles dans ce nouvel environnement suppose un changement de comportement fondé sur une culture de sécurité rigoureuse et centrée sur l’humain.