Les jeunes travailleurs peuvent présenter un plus grand risque pour la cybersécurité d’une organisation que les travailleurs plus âgés, selon une étude publiée mardi par la société de sécurité informatique Ivanti.
Basée sur une enquête du quatrième trimestre 2022 menée auprès de 6 500 dirigeants, professionnels de la sécurité de l’information et employés de bureau dans le monde entier, l’étude conclut que les travailleurs de la génération Y et de la génération Z sont plus susceptibles d’avoir des habitudes de cybersécurité dangereuses que leurs pairs plus âgés. Il a trouvé :
- 38 % des employés de bureau de moins de 40 ans utilisent les mêmes mots de passe sur plusieurs appareils, contre 28 % des employés de bureau de plus de 40 ans.
- 34 % des employés de bureau de moins de 40 ans partageaient un ou plusieurs appareils de travail avec leur famille ou des amis, contre 19 % des employés de bureau de plus de 40 ans.
- 34 % des employés de bureau de moins de 40 ans utilisent une date de naissance dans leur mot de passe, contre 19 % des employés de bureau de plus de 40 ans.
- 13 % des employés de bureau de moins de 40 ans ont cliqué sur un lien de phishing lorsqu’ils étaient ciblés, contre 8 % des employés de bureau de plus de 40 ans.
« Beaucoup pensent que les employés plus âgés sont moins doués en technologie et sont donc plus susceptibles d’adopter des comportements à risque », note le rapport. « En fait, le contraire est vrai. »
« Les jeunes professionnels (ceux de moins de 40 ans) sont nettement plus susceptibles de ne pas tenir compte des consignes de sécurité importantes par rapport à la génération X et aux personnes plus âgées », poursuit-il. « Cela est vrai lorsqu’il s’agit d’assurer l’hygiène des mots de passe, de cliquer sur des liens de phishing et de partager des appareils avec la famille et les amis. »
Non seulement les jeunes travailleurs représentent un risque en raison de leur indifférence à l’égard de la cyber-hygiène, ajoute l’étude, mais ils sont également moins susceptibles de signaler des signes de menaces potentielles pour la sécurité lorsqu’ils les rencontrent.
L’étude a révélé que parmi les travailleurs de 40 ans et moins, 23 % ont déclaré ne pas avoir signalé le dernier e-mail ou message de phishing qu’ils ont reçu, contre 12 % des plus de 40 ans qui n’ont pas non plus signalé.
Un scepticisme sain
Les travailleurs plus âgés ne sont pas aussi familiers avec la technologie en ligne que les jeunes travailleurs. Ils peuvent donc faire preuve d’un scepticisme sain et d’un sens de la prudence lorsqu’ils exercent leurs activités en ligne, a observé Mika Aalto, co-fondateur et PDG de Hoxhunt, un fournisseur de services Internet. solutions de sensibilisation à la sécurité d’entreprise, à Helsinki.
« Lorsque vous parlez de la génération X et des générations supérieures, ces générations se souviennent de l’incertitude entourant le paiement en ligne aux débuts du commerce électronique ou l’envoi d’informations sensibles par courrier électronique plutôt que par fax. Parfois, être trop confiant peut conduire à une erreur d’inattention », a-t-il déclaré à TechNewsWorld.
Les jeunes travailleurs peuvent être trop sûrs d’eux lorsqu’il s’agit de technologie, a reconnu George Jones, responsable de la sécurité de l’information chez Critical Start, une société nationale de services de cybersécurité. « Les jeunes employés manquent souvent de sensibilisation et ont une confiance excessive dans la technologie, privilégiant la commodité plutôt que la sécurité, ce qui entraîne des comportements plus risqués », a-t-il déclaré à TechNewsWorld.
« La nature technophile de cette génération peut conduire à un excès de confiance dans sa capacité à naviguer dans le paysage numérique sans prendre les précautions nécessaires, comme ne pas réutiliser les mots de passe ou partager des informations sensibles en ligne », a-t-il déclaré.
Simulez des attaques pour contrer l’excès de confiance
Il est essentiel que les équipes de sécurité gardent à l’esprit que la familiarité peut engendrer la négligence, en particulier lorsqu’il s’agit d’utilisateurs plus confiants, a ajouté Erich Kron, défenseur de la sensibilisation à la sécurité chez KnowBe4, un fournisseur de formation de sensibilisation à la sécurité à Clearwater, en Floride.
« Éduquer le groupe le plus confiant sur certaines des attaques les plus intelligentes qui peuvent tirer parti de cette confiance peut aider les groupes plus jeunes à comprendre à quel point certains des mauvais acteurs peuvent facilement intégrer leurs attaques dans la routine de travail quotidienne normale si les employés ne sont pas protégés. attention », a-t-il expliqué.
« Les attaques simulées, telles que les campagnes de phishing simulées, peuvent vraiment faire ressortir ce point, en particulier lorsqu’une personne qui a confiance en sa capacité à éviter de tomber dans une ruse se retrouve trompée », a-t-il observé.
Un élément d’Ennui
Les travailleurs plus jeunes ont également expérimenté la technologie différemment de leurs pairs plus âgés, a affirmé Tom Molden, CIO de Global Executive Engagement chez Tanium, un fournisseur de gestion convergente des points finaux à Kirkland, Washington.
« La technologie a progressé si rapidement au cours des cinq à dix dernières années que nous avons une génération de jeunes sur le marché du travail qui n’ont jamais connu l’évolution de la technologie de la même manière que beaucoup d’autres », a-t-il déclaré à TechNewsWorld.
« Avec une vague constante de nouvelles innovations et une multitude de nouvelles façons d’exploiter la technologie, il est difficile d’imaginer que quelqu’un ait le temps de se concentrer sur les fondamentaux », a-t-il déclaré.
Molden a souligné, par exemple, que quelqu’un qui écrit du code aujourd’hui utilise généralement des éléments de base créés par quelqu’un d’autre et suppose qu’ils sont sécurisés. Cela contraste avec un ancien développeur de logiciels qui a écrit son code à partir de zéro et a dû apprendre à penser à la sécurisation de son code.
Il peut également y avoir un certain ennui parmi les jeunes travailleurs face aux réalités de la vie en ligne. « En tant que GenXer/Xillenial qui a adopté Internet parmi les premiers à adopter Internet, je suppose que mes données ont été compromises au-delà des violations pour lesquelles j’ai reçu des notifications », a avoué Karen Walsh, PDG d’Allegro Solutions, une société de conseil en cybersécurité de l’Ouest. Hartford, Connecticut.
« Pour beaucoup d’entre nous, les données compromises sont une réalité plus qu’un risque futur potentiel qui peut être évité », a-t-elle déclaré à TechNewsWorld.
« Cette approche fataliste a un impact sur nos activités en ligne », a-t-elle poursuivi. « Si nous pensons que rien de ce que nous faisons n’a d’importance parce que les attaquants voleront nos données ou que les entreprises deviendront un point d’échec, alors prendre des mesures de sécurité supplémentaires semble inefficace tout en restant inefficace. »
Impacts sur le genre et l’ancienneté
L’étude a également noté que le sexe et l’ancienneté peuvent avoir un impact sur la force collective de la sécurité d’une organisation dans son ensemble. Par exemple, les chercheurs ont constaté que les hommes et les dirigeants sont plus à l’aise pour contacter un employé de sécurité pour lui faire part d’une question ou d’une préoccupation – les dirigeants d’une organisation étant les plus susceptibles de poser une question à 72 %.
En revanche, l’étude a révélé que les femmes sont moins susceptibles que les hommes de faire de même. Vingt-huit pour cent ont contacté un employé en cybersécurité pour lui poser une question ou une préoccupation, contre 36 % des hommes.
« Il est intéressant de constater que les hommes et les dirigeants sont plus à l’aise avec le personnel de sécurité. Cela suggère qu’il peut y avoir un préjugé involontaire ou une barrière culturelle qui fait que les autres se sentent moins bienvenus », a observé Roger Neal, responsable produit chez Apona Security, un fabricant d’outils de sécurité logicielle à Sacramento, en Californie.
« Pour résoudre ce problème », a-t-il déclaré à TechNewsWorld, « les organisations pourraient envisager de mettre en œuvre un portail commun et convivial pour signaler les incidents de cybersécurité ».
« Un tel portail démocratiserait le processus de signalement, le rendant accessible et moins intimidant pour tout le monde, indépendamment de sa position ou de son sexe », a-t-il poursuivi. « Cette inclusivité peut conduire à une stratégie de cybersécurité plus complète et plus efficace. »
Adapter la formation en cybersécurité pour une main-d’œuvre diversifiée
Cette enquête semble valider l’hypothèse selon laquelle il n’existe pas d’approche unique en matière de formation et de culture de cybersécurité, a noté Debrup Ghosh, chef de produit senior au Synopsys Software Integrity Group à Sunnyvale, en Californie.
« Les chefs d’entreprise doivent adapter leur formation en matière de cybersécurité en fonction des données démographiques de leurs employés et solliciter leurs commentaires sur la manière de rendre la formation plus efficace, au lieu de simplement cocher une case et de passer à autre chose », a-t-il déclaré.
« De plus », a-t-il ajouté, « la formation à la cybersécurité doit tenir compte des pratiques de diversité et d’inclusion dans le cadre de la méthode de prestation afin de garantir que tous les employés – quels que soient leur âge, leur sexe, leur religion ou d’autres préférences – se sentent inclus dans le processus d’instauration d’une solide cybersécurité. pratiques dans toute l’organisation.