La cyber-sécurité d’une entreprise dépend plus du facteur humain que de l’efficacité des technologies de protection mises en place. 60% des incidents de cyber-sécurité auxquels une entreprise pourrait être confrontée sont dus, en tout ou partie, aux comportements de ses propres collaborateurs.
L’incompréhension, voire la négligence, des processus de cyber-sécurité sont plus à même de mettre en danger les données de l’entreprise qu’une mauvaise protection logicielle. Pourquoi une telle prééminence du facteur humain ?
La cyber-sécurité d’une entreprise dépend étroitement de son degré d’orientation-client et de la qualité de ses formations
Nous avons isolé dans notre base de données, et analysé, la perception de leur entreprise qu’ont 450.000 salariés à travers le monde : ils ont en commun d’avoir travaillé dans 12 entreprises ayant subi d’importantes brèches dans la sécurité des données. Ces perceptions ont été comparées à celles de salariés d’entreprises internationales hautement performantes¹. D’autre part, les perceptions des équipes IT au sein des 12 entreprises victimes de cyber-incidents ont été isolées et comparées aux réponses fournies par des salariés travaillant dans les technologies de l’information (IT)¹.
Après analyse, les scores des 450.000 salariés étudiés sont « plus négatifs » que ceux des salariés des entreprises hautement performantes, ce qui était attendu, car nous les avons comparés aux « best in class ». Nous nous sommes intéressés plus spécifiquement aux thématiques pour lesquelles les écarts de perceptions sont les plus importants : l’image de l’entreprise auprès de ses salariés, le degré d’orientation client et la qualité/disponibilité des formations.
Lorsque les opinions des salariés IT des entreprises vulnérables sont comparées à celles des salariés IT au global, seules la formation et la rémunération en lien avec la performance se situent en-dessous de la moyenne (cf. graphiques ci-dessous).
Ces différences apparaissant entre les perceptions des groupes étudiés induisent des comportements différents au sein des entreprises victimes de cyber-incidents par rapport aux autres. Ces écarts précisent ce que l’on entend ici par « facteur humain » : la cyber-sécurité d’une entreprise dépend étroitement de son intégrité (ou, plus largement, de son niveau de Responsabilité Sociale d’Entreprise – RSE), de son degré d’orientation-client et de la qualité de ses formations (notamment pour les nouveaux arrivants), ainsi que de sa politique de rémunération en lien avec la performance (en ce qui concerne plus spécifiquement les équipes IT).
1 – Méthodologie : Willis Towers Watson a analysé les résultats des enquêtes auprès des collaborateurs tirés de sa base de données. Le cabinet de conseil a ainsi traité l’opinion formulée par plus de 450 000 salariés de 12 entreprises à travers le monde, au cours de périodes où ces mêmes entreprises ont subi d’importantes brèches dans la sécurité des données.
Ces résultats ont ensuite été comparés à ceux d’entreprises internationales hautement performantes (28 entreprises ayant des performances financières supérieures à la moyenne de leur secteur de référence pendant 36 mois consécutifs et des scores aux enquêtes d’opinion auprès de leurs salariés parmi les plus élevés). Nous avons ensuite isolé les perception des équipes IT au sein des 12 entreprises vulnérables en termes de cyber-sécurité pour les comparer aux réponses fournies par des salariés du domaine des technologies de l’information (IT) provenant de la base des données d’enquêtes de Willis Towers Watson (150000 travailleurs du secteur IT dans plus de 400 entreprises différentes).
