52% des 12 000 salariés interrogés par Cisco sur la zone Europe/Moyen-Orient/Afrique/Russie pensent que l'attitude des collaborateurs est une menace pour la cybersécurité de leur entreprise. Sur les 1000 répondants en France, ce chiffre tombe à 40%, derrière l'hacktivisme (57%) et la cybercriminalité (46%). En Suisse, le chiffre est de 62% et de 53% en Allemagne ! Ce faible score en France est bien de l'inconscience. En effet, la même étude indique que 82% des répondants français n'ont pas entendu parlé des récentes cybermenaces comme Heartbleed contre 61% en Allemagne et 42% au Royaume-Uni.

Un quart des salariés français ignore si leur entreprise a une politique en matière de cybersécurité (contre 19% en Allemagne et 15% au Royaume-Uni), 53% pensent qu'il y en a une et 22% qu'il n'y en a pas. 48% des Français ne remarquent l'existence d'une telle politique que lorsqu'elle les empêche de faire quelque chose. 27% des Français sont rigoureux chez eux contre... 13% au bureau ! Il est vrai que 40% s'attendent à ce que l'entreprise ait conçu une sécurité globale qui tiendra compte de leur attitude et qui les protégera. 77% des Français jugent d'ailleurs que leur attitude personnelle n'aura pas d'impact significatif sur la cybersécurité de leur entreprise, même si 62% continuent d'utiliser les mêmes mots de passe sur chaque application.

Suite à cette étude, Cisco a défini quatre profils types de collaborateurs sans préciser la proportion de chacun dans la population française. Le premier type, le conscient de la menace connaît les risques liés à la sécurité et s'efforce d'avoir un comportement sûr en ligne. Le bien-intentionné, lui, essaie de se conformer aux politiques de sécurité mais prend des décisions « à l'aveuglette ». A l'inverse, le complaisant attend que l'entreprise fournisse un environnement de sécurité global et donc, ne prend aucune responsabilité individuelle pour la sécurité des données. Enfin, le désabusé-cynique contourne les politiques car il pense que la menace liée à la sécurité est surestimée et que la sécurité informatique l'empêche de travailler.