Quand le stress devient un risque pour la sécurité

"L’humain est le point faible numéro un". De nombreux employés lisent ou entendent de plus en plus cette affirmation, parfois formulée différemment, dans leur environnement de travail. Les gros titres sont légion: fuites de données, demandes de rançon, arrêts de production dans les usines. Les "coupables" sont souvent des employés qui ouvrent un mauvais lien dans leur boîte de réception ou qui répondent à un mauvais e-mail.

On parle alors d’ingénierie sociale. Cette expression désigne une méthode utilisée par les cybercriminels pour accéder à des informations confidentielles par l’intermédiaire des employés de l’organisation - généralement par le biais d’e-mails d’hameçonnage. L’ingénierie sociale compte aujourd’hui parmi les plus grandes menaces pour les entreprises. Pour y répondre, elles investissent dans des formations en cybersécurité pour leur personnel, établissent des dizaines de règles de comportement ou envoient même des e-mails de phishing fictifs afin de créer une "prise de conscience" et de mettre leurs employés à l’épreuve.

La boîte de réception comme facteur de stress

Malgré cela, le taux de réussite des attaques de phishing et de spear phishing a encore augmenté ces dernières années. Enseigner les bases de la reconnaissance des e-mails malveillants est une chose, mais il est encore plus important de comprendre précisément ce qui incite les employés à cliquer sur les liens des e-mails de phishing et de fraude. Diverses études montrent que le sexe ou l’âge y contribuent. Mais il existe également d’autres facteurs que la génétique qui expliquent ces comportements, comme le manque de concentration, la fatigue et le stress.

La boîte mail est la plaque tournante du travail quotidien de nombreux employés. Chaque année, le volume de courriels envoyés et reçus augmente, surtout depuis le début de la pandémie. L’utilisation quotidienne de la boîte aux lettres électronique est donc exigeante, voire stressante. Des études montrent qu’un ­volume élevé d’e-mails augmente la charge mentale et le développement d’émotions négatives. De plus, cette charge a un impact sur les performances des collaborateurs dans leurs tâches professionnelles, ce qui augmente encore le niveau de stress.

La pression des cybermenaces

A cela s’ajoute la pression psychologique que les employés ressentent en raison de l’augmentation des cybermenaces. Ils se voient eux-mêmes comme des "dangers latents", comme des portes d’entrée pour les cybercriminels. La pandémie les a contraints à travailler à domicile, probablement dans un environnement réseau moins sûr qu’au bureau – ce qui augmente encore la pression de prendre les bonnes décisions. Enfin, les employés subissent la pression des gros titres des actualités, des notes de service internes ou des formations de sensibilisation.

Ce stress mental ne conduit pas seulement à une culture de travail malsaine, il favorise également les erreurs. Des erreurs qui peuvent réduire à néant tout le travail de "sensibilisation" en quelques secondes. Un seul clic suffit.

Alléger la charge des collaborateurs comme mesure de sécurité

Se pose ainsi la question de savoir si et comment les entreprises devraient repenser leur stratégie de cybersécurité de manière à se saisir des véritables facteurs à l’origine des vulnérabilités. Il incombe aux entreprises ainsi qu’à leur direction de créer les bonnes conditions pour leurs collaborateurs. Elles doivent trouver des solutions qui améliorent la sécurité des employés et des actifs de l’entreprise sans pour autant augmenter le stress des individus.

----------

Nous voulons que les utilisateurs puissent se fier au flot d’e-mails

Le flot croissant d’e-mails est source de stress pour les collaborateurs. La boîte mail doit ainsi faire l’objet d’une attention particulière dans l’organisation du travail, pour déjouer le phishing. Les explications de Philipp Bachmann, COO et Sales/Channel Manager de SEPPmail. Interview: Colin Wallace, rédaction: Marc Landis

L’homme a-t-il fait son temps en tant que "première ligne de défense" contre le phishing?

Pas du tout. Les collaborateurs ont généralement une bonne ­intuition et font preuve de bon sens. Ils remarquent quand quelque chose cloche ou quand un message électronique est louche dans le cas du phishing. En observant attentivement, on peut voir si la facture d’un expéditeur donné est soudainement beaucoup plus élevée que d’habitude. L’être humain reste donc un facteur important lorsqu’il s’agit de détecter l’hameçonnage. Toutefois, en raison de la pression et du stress croissants au travail, l’attention des collaborateurs est parfois diminuée. Notre étude en atteste. Dans de tels moments, la détection automatisée de messages potentiellement dangereux peut aider les utilisateurs et attirer leur attention sur le fait que la signature manque ou que le message, qui provient habituellement de l’interne, est soudainement envoyé depuis un serveur externe. A mon avis, la question n’est pas de savoir si l’humain est la première ou la dernière ligne de défense. Pour une bonne stratégie de cybersécurité, il faut un humain ­attentif devant son ordinateur et un logiciel state-of-the-art qui détecte les e-mails dangereux. Ce n’est que dans cette association que les ­attaques peuvent être repoussées de manière ­conséquente.

Vous dites que la pression et le stress au travail ­favorisent les attaques de phishing. Pourquoi les ­employés de bureau sont-ils plus stressés aujourd’hui qu’auparavant?

L’une des raisons est certainement que le flot de courriels a massivement augmenté ces dernières années. Lorsque les collaborateurs traitent les e-mails rapidement, il peut arriver qu’un e-mail d’hameçonnage ne soit pas reconnu en tant que tel. Surtout si l’expéditeur supposé est le CEO de l’entreprise. Paradoxalement, les formations de sensibilisation qui sont censées entraîner les utilisateurs à reconnaître des messages de phishing ou d’arnaque au CEO, peuvent au contraire réduire leur attention. Au moment où l’on ouvre la boîte mail, le stress augmente et le bon sens qui prévaut d’habitude est tout à coup désactivé. Impossible dans ces conditions de prendre les bonnes décisions.

Quel rôle joue la numérisation croissante dans ce contexte?

La numérisation a le potentiel de soulager énormément les collaborateurs. Si elle est bien mise en œuvre, nous voyons des effets positifs allant jusqu’à rendre la boîte aux lettres "améliorée", car elle est plus claire avec des informations déposées de manière plus concrète sur les plateformes et dans les systèmes de fichiers. En revanche, si la numérisation n’est pas mise en œuvre de manière structurée, on court le risque que les collaborateurs s’y perdent, avec des informations et messages d’e-mails, de chats, de vidéoconférences, de médias sociaux dispersés dans différents systèmes. Ces problèmes liés à une mise en œuvre rapide et peu intégrée ont d’ailleurs plutôt augmenté durant la pandémie.

Quelles mesures concrètes les entreprises peuvent-elles prendre pour réduire la charge de travail de leurs collaborateurs?

Nous voulons réduire le stress des collaborateurs et pour cela nous faisons en sorte que les utilisateurs puissent se fier au flot d’e-mails qui leur parvient. Grâce à des expéditeurs clairement identifiables, à une transmission sécurisée et à l’utilisation de filtres intelligents qui détectent les virus et les spams, nous aidons l’organisation à se sentir en sécurité en matière de trafic e-mail. Depuis que nous utilisons notre propre solution chez SEPPmail, je n’ai pratiquement plus de messages indésirables dans ma boîte de réception. En réduisant le nombre de courriels et en augmentant en même temps la qualité des messages reçus, on peut éviter aux collaborateurs le stress lié aux e-mails.