En 2021, KnowBe4, Lynchpin et ITWeb ont mené des sondages au Nigeria, en Afrique du Sud et au Kenya pour découvrir comment le télétravail influençait le paradigme de la sécurité pour les entreprises. Le sondage a révélé qu’un pourcentage important d’entreprises continueront très probablement à adopter le télétravail. Au moment de la rédaction du rapport, 57 % des entreprises en Afrique du Sud, 29 % au Kenya et 32 % au Nigéria continueront à adopter le télétravail, comme le souligne Anna Collard, vice-présidente de Content Strategy et évangéliste chez KnowBe4 Afrique ; le télétravail est peut-être devenu un outil inestimable pour l’entreprise, mais il s’accompagne d’un risque de sécurité : les gens doivent être correctement formés pour reconnaître les risques inhérents aux interactions en ligne.
» Un employé bien formé et capable de repérer et signaler les cybermenaces représente la première ligne de défense contre la cybercriminalité », ajoute-t-elle. « Les gens doivent savoir à quoi ressemble une attaque d’ingénierie sociale et pourquoi ils ne doivent pas cliquer sur des liens ou ouvrir des pièces jointes. Alors que de nombreux participant au sondage pensaient que leurs télétravailleurs étaient suffisamment formés pour faire face aux attaques d’ingénierie sociale, un pourcentage important n’était pas sûr de la réaction de leur personnel face à une menace de sécurité. Et cela souligne un besoin urgent de formation à la sécurité.
En effet, les gens sont à la fois le problème et la solution. D’une part, ils sont le pare-feu humain qui peut résister aux menaces et jouer un rôle important dans l’atténuation des risques de sécurité. D’autre part, ils peuvent représenter une vulnérabilité qui contourne la sécurité complexe et coûteuse en cliquant simplement sur un lien, ou en succombant à une tentative de phishing. Les entreprises qui adoptent des modes de travail hybrides ou à distance devront placer la formation au premier plan de leurs politiques et de leur planification. En fin de compte, une violation pourrait leur coûter cher sur le plan financier ainsi que pour leur réputation – surtout aujourd’hui, à l’ère d’une législation rigoureuse sur la protection des informations personnelles – et le mauvais comportement des utilisateurs est l’une des principales causes d’incidents de sécurité dans les trois pays. Alors que le nombre d’incidents de sécurité rencontrés par les entreprises dans l’ensemble a chuté en 2021, les attaques qui ont utilisé le phishing, l’ingénierie sociale, les ransomwares et des logiciels malveillants. Les fuites de données non intentionnelles occupaient la troisième position en Afrique du Sud, aux côtés du vol d’informations d’identification, tandis que le Kenya luttait contre le phishing et les ransomwares. Les plus gros problèmes du Nigéria étaient l’ingénierie sociale et le phishing.
« Des entreprises du Nigeria, du Kenya et d’Afrique du Sud ont également été confrontées à des réseaux Wi-Fi domestiques non sécurisés et à des personnes partageant leurs appareils professionnels avec leur famille et leurs amis », déclare Collard. « La pandémie a jeté tout le monde dans le grand bain en 2020, et ils ont tous passé 2021 à apprendre à nager. Maintenant, en 2022, il est temps de redéfinir et de remodeler la façon dont l’entreprise gère la sécurité et le travail à distance aussi efficacement et dynamiquement que possible. »
Cela signifie que les entreprises doivent affiner leurs processus de sensibilisation à la sécurité tout en offrant une formation et une éducation. La première étape consiste à investir dans des politiques de sécurité robustes qui décrivent les risques et qui informent les utilisateurs sur la manière de signaler et d’agir face à une cyberattaque potentielle. Plus ces processus et outils sont simples et directs, plus la probabilité que les gens assurent leur rôle est élevée. Alors que le rapport a révélé que la plupart des entreprises ont consacré beaucoup de temps et d’efforts à renforcer les murs de sécurité, beaucoup ne lui accordent pas autant de priorité qu’elles le devraient – réduisant souvent les budgets consacrés à la sécurité et limitant les budgets dédiés aux équipes informatiques.
« La réalité est que la cybersécurité est un paysage en constante évolution qui s’attend à ce que les entreprises évoluent parallèlement », conclut Collard. « Alors que le travail à distance gagne en popularité et en stabilité, les cybercriminels vont exploiter toutes les faiblesses qu’ils peuvent trouver – d’un réseau domestique mal sécurisé à un employé mal formé. C’est le moment idéal pour établir une culture de la sécurité au sein de l’entreprise et prioriser sa valeur et son importance. »