Nicolas Rouillé, associé, expert-comptable et commissaire aux comptes chez ORCOM, ainsi qu’Amandine Zouzi, directrice de mission et responsable du département Audit & Conseil IT, reviennent sur le poids du facteur humain dans les cyberattaques en entreprise. Télétravail, phishing, mauvaise gestion des accès ou partage involontaire de données… les deux experts estiment que la cybersécurité passe aussi par une culture de vigilance quotidienne et une sensibilisation continue des collaborateurs.
La majorité des cyberattaques en entreprise ne résulte pas d’une faille technique, mais d’erreurs humaines entre l’utilisateur et ses outils numériques : ordinateurs, tablettes, smartphones, et même consoles de jeu. En effet, ce sont souvent des comportements quotidiens (cliquer sur un lien suspect, utiliser un mot de passe faible ou partager involontairement une information) qui ouvrent la porte aux attaquants.
Télétravail et digitalisation : un risque cyber accru
Avec l’essor du télétravail et la digitalisation des processus, le rôle de chaque collaborateur devient déterminant. Une vigilance insuffisante peut compromettre la sécurité des données sensibles, entraîner des pertes financières importantes et perturber le fonctionnement de l’entreprise. À l’inverse, des pratiques simples et responsables au quotidien constituent une première ligne de défense efficace contre les cybermenaces.
Erreurs humaines : des conséquences majeures pour l’entreprise
Un simple oubli, une négligence ou le fait de se sentir dans une zone de confiance peut suffire à favoriser une cyberattaque. Les conséquences peuvent être multiples et grave.
En termes financiers, une erreur humaine peut entraîner des pertes directes, liées à des fraudes ou des demandes de rançon. Une cyberattaque peut également porter atteinte à la continuité d’activité : un incident peut interrompre ou ralentir les opérations quotidiennes, impactant la productivité et la performance de l’entreprise, voire sa pérennité. Enfin, l’entreprise est impactée également en termes de réputation et conformité : une fuite de données sensibles peut porter atteinte à l’image de l’entreprise et engager sa responsabilité légale, notamment au regard du RGPD.
Dans ce contexte, l’humain constitue le premier maillon à sécuriser.
Le facteur humain : premier maillon de la cybersécurité
Avant d’investir dans des systèmes technologiques sophistiqués et coûteux, il est essentiel de former et de sensibiliser les collaborateurs pour limiter les risques à la source. Les cyberattaques peuvent survenir à cause de comportements humains involontaires ou de mauvaises pratiques, mais aussi à la suite d’actions malveillantes.
Parmi les risques principaux, il y a le vol de données par des personnes mal intentionnées : les hackers exploitent ces failles pour accéder aux informations financières ou commerciales ; le partage involontaire de données : l’envoi de documents à la mauvaise personne ou la diffusion d’informations sensibles sur des canaux non sécurisés peut compromettre la confidentialité des données (Exemple :
IA, Réseaux sociaux, Pdf Converter) ; la mauvaise gestion des accès et des mots de passe : une stratégie inadéquate de verrouillage des sessions, l’utilisation de mots de passe faibles ou réutilisés, ainsi que des droits d’accès trop étendus peuvent exposer des informations sensibles à des personnes non autorisées ; le phishing et la fraude au virement : les collaborateurs peuvent être trompés par de faux emails ou appels, conduisant à des pertes financières importantes.
Les conséquences possibles pour l’entreprise sont diverses : pertes financières directes ou indirectes, interruption ou ralentissement de l’activité, sanctions réglementaires (ex. RGPD), atteinte à la réputation et perte de confiance des clients.
Ces exemples montrent que la plupart des risques cyber proviennent le plus souvent d’une vulnérabilité humaine et ensuite d’une défaillance. Une bonne gestion des comportements et des accès constitue donc un levier essentiel pour protéger l’entreprise.
Instaurer une culture de la communication et de la sécurité
Pour réduire les risques liés au facteur humain, il est essentiel de développer une culture de la sécurité auprès de l’ensemble des collaborateurs. Cela passe par une communication claire et continue, et par la mise en place de supports visibles dans les bureaux et les espaces communs (affiches, rappels et guides pratiques) pour rappeler les comportements à adopter afin de protéger les informations sensibles.
Parmi les bonnes pratiques, il est recommandé de procéder à une sensibilisation régulière (en organisant des sessions courtes et concrètes pour familiariser les collaborateurs avec les risques et intégrer la vigilance dans le quotidien) ; mais également de mettre en place des formations pratiques et répétitives (en proposant des modules interactifs et accessibles, accompagnés de tutoriels et quiz pour renforcer l’acquisition des bonnes pratiques), de prévoir des simulations et des contrôles (cela passe par le fait de tester la vigilance via des simulations (phishing), d’analyser les erreurs et de contrôler régulièrement les droits d’accès et comportements à risque). Enfin, il est essentiel de renforcer la culture de sécurité, en encourageant le signalement des incidents, en maintenant une communication continue et en impliquant les managers comme exemples de bonnes pratiques.
Cette approche permet de transformer la sécurité en réflexe quotidien et de réduire significativement les risques liés aux erreurs humaines, qui représentent aujourd’hui la première source de vulnérabilité dans les organisations.
Chaque collaborateur joue un rôle clé dans la protection des informations sensibles. Former, sensibiliser et contrôler les équipes, même par des actions simples et régulières, permet de réduire les risques financiers et opérationnels. Instaurer une culture de sécurité et d’exemplarité des managers renforce la vigilance quotidienne. La sécurité est l’affaire de tous et doit être un réflexe bien intégré.
