Cybersécurité : seuls 3% des salariés détectent tous les e-mails suspects
La plupart des salariés se disent prudents derrière leurs écrans… Mais selon une enquête menée par OpinionWay, ils ne sont que 3% à repérer tous les e-mails frauduleux. «La surestimation de soi est flagrante», alerte le chercheur Bruno Teboul.
Si 88 % des collaborateurs estiment être vigilants quant aux emails reçus et que 67 % considèrent comme facile de détecter les e-mails frauduleux, seuls 3 % des sondés sont parvenus à repérer tous ceux qui leur ont été adressés lors de l’étude conduite par OpinionWay, pour évaluer leurs compétences en matière de cybersécurité. Et 11 % du millier de salariés interrogés du 16 au 21 mars 2022 dans des entreprises de toutes tailles n’ont identifié aucun de ces messages dangereux pour la sécurité informatique !
L’écart entre le niveau de vigilance affiché et les compétences réelles illustre « le manque de compréhension et de prise de conscience des enjeux », estime Cassie Leroux, chez Mailinblack, société marseillaise de 70 collaborateurs créée en 2003, qui forme les entreprises aux risques cyber.
« La surestimation de soi est flagrante, appuie Bruno Teboul, chercheur en sciences cognitives et économie comportementale. Cette étude fera date : le sujet de la cybersécurité n’est pas uniquement technologique, managérial, organisationnel. Le diagnostic repose aussi sur la compréhension des mécanismes psychologiques. »
Gare au « tunneling »… et à la curiosité
Les résultats montrent que face à la menace cyber, il n’y a pas de différence de comportement entre les sexes, et peu selon l’activité ou la taille de l’entreprise, même si les employés des PME se sentent plus exposés. En revanche, les écarts se creusent entre générations. Les collaborateurs de 35 ans et plus sont davantage vigilants (plus de 90 %), ont confiance en leurs capacités (89 %). Les 18-24 ans ont moins de temps pour effectuer leurs tâches (77 %) que leurs aînés (51 % des plus de 50 ans), se disent plus stressés (71 %, contre 48 %) et sont plus prompts à cliquer sur un lien sans vérifier (59 % des jeunes contre 26 % toutes générations) !
« Vous pouvez être un jeune super diplômé, mais si vous subissez un stress élevé, cela va baisser votre niveau de vigilance », explique Bruno Teboul. L’autre facteur de vulnérabilité est le « tunneling » de l’attention, c’est-à-dire le fait de se focaliser sur le contenu du message, en ignorant les autres éléments (expéditeur, orthographe…) qui pourraient inciter à la prudence. À cela s’ajoute l’expertise accrue des pirates informatiques. « Il y a des biais cognitifs connus des hackeurs, comme l’empathie, la curiosité », constate-t-il, faisant de certains salariés des cibles de choix.
« La formation en cyber reste trop souvent un problème de DSI (direction des systèmes informatiques) », note Cassie Leroux, dont l’entreprise mise sur des formations adaptées au profil des entreprises, et de leurs employés, en s’appuyant sur ces facteurs cognitifs.
