in Sécurité

Les employés, de moins en moins sensibles à la sécurité informatique ? Varonis

Un rapport du Ponemon Institute commandé par Varonis examine les avis divergents entre professionnels informatique et employés.

Alors que les ransomware et autres techniques d’attaque se multiplient, seuls 39 % des employés estiment prendre toutes les mesures appropriées pour protéger les données de l’entreprise qu’ils utilisent dans le cadre de leur travail. C’est une chute brutale par rapport aux 56 % de 2014 – selon une nouvelle étude menée auprès de plus de 3 000 employés et responsables informatique aux Etats-Unis et en Europe. Le rapport a été rédigé par le Ponemon Institute et commandé par Varonis Systems, Inc., fournisseur de solutions logicielles permettant de protéger les données contre les menaces internes et toutes formes de cyberattaques.

De plus, alors que 52 % des responsables informatique interrogés estiment que les politiques contre l’utilisation abusive des données ou leur accès non autorisé sont appliquées et respectées, seuls 35 % des employés indiquent que leur entreprise impose strictement ces règles.

Le nouveau rapport intitulé « The Widening Gap Between End Users and IT » compare les pratiques et opinions des employés à celles de leurs collègues informaticiens généralistes ou spécialistes de la sécurité. Cette nouvelle analyse confirme un rapport intitulé « Closing Security Gaps to Protect Corporate Data: A Study of US and European Organisations » publié par Varonis et le Ponemon Institute le 9 août dernier. Celui-ci mettait en évidence une forte croissance de la perte ou du vol de données et une augmentation du pourcentage d’employés ayant accès aux données sensibles. De plus, selon les personnes interrogées, la négligence des utilisateurs internes constitue désormais la première préoccupation des entreprises.

Parmi les principales conclusions :

  • 61 % des personnes interrogées travaillant dans l’informatique ou la sécurité perçoivent la protection des informations critiques de l’entreprise comme une priorité élevée ou très élevée. Par contraste, seuls 38 % des autres employés estiment que c’est une priorité élevée ou très élevée.
  • Questionnés à propos de l’attitude de leur entreprise vis-à-vis de l’activité et de la sécurité, 38 % des informaticiens et 48 % des employés indiquent que leur entreprise pourrait accepter de plus grands risques de sécurité afin de maintenir sa productivité.
  • Questionnés sur la priorité accordée à la protection des données par le PDG et autres cadres dirigeants, seuls 35 % des employés estiment qu’il s’agit d’une priorité majeure pour la direction, contre 53 % des informaticiens.
  • Questionnés sur les causes les plus probables de la compromission des comptes internes, 50 % des informaticiens et 58 % des employés indiquent la négligence des utilisateurs. Le « collaborateur négligent » a constitué la réponse la plus fréquente aussi bien pour les informaticiens que pour les employés. Elle est deux fois plus fréquente que la réponse « attaquants externes » et plus de trois fois plus fréquente que la réponse « collaborateurs malveillants ».
  • Les employés sont beaucoup plus enclins à attribuer les atteintes à la protection des données à des erreurs de leurs collaborateurs, que les informaticiens ou les professionnels de la sécurité. 73 % des employés déclarent que les violations de données sont fréquemment ou très fréquemment dues aux erreurs, négligences ou à la malveillance des collaborateurs, contre 46 % des informaticiens interrogés.

« Dans une période où l’on pourrait s’attendre à une amélioration généralisée de l’hygiène informatique des employés en raison de la croissance du nombre d’attaques et des efforts en matière de sensibilisation menés par les entreprises, cette enquête montre un déclin alarmant des pratiques et des attitudes », remarque le Dr LarryPonemon, président et fondateur du Ponemon Institute. « Si les dirigeants d’une entreprise ne font pas de la protection des données une priorité, celle-ci restera une bataille perdue d’avancer pour obtenir l’adhésion des employés aux stratégies et procédures de sécurité informatique. »

« L’erreur humaine sera toujours le maillon faible de la sécurité », déclare Yaki Faitelson, directeur général et cofondateur de Varonis. « Les collaborateurs compromettent la sécurité de manière malveillante ou accidentelle et les attaquants externes continuent de pirater les identifiants et les systèmes des employés, des administrateurs, des fournisseurs et des dirigeants. La seule façon de faire face aux menaces est de mettre en place des contrôles d’accès aux données, de superviser toutes les activités et d’utiliser les analyses du comportement des utilisateurs et les technologies d’alerte les plus évoluées dans l’ensemble de l’entreprise. »

Les résultats de l’enquête se fondent sur des entretiens menés en avril et mai 2016 auprès de 3 027 employés aux États-Unis, au Royaume-Uni, en France et en Allemagne. L’ensemble des personnes interrogées comprend 1 371 utilisateurs finaux ainsi que 1 656 informaticiens et professionnels de la sécurité informatique issus d’entreprises dont la taille varie de quelques douzaines à plusieurs dizaines de milliers d’employés, tous secteurs d’activité confondus : finance, secteur public, santé, sciences, commerce, industrie, technologies et logiciel.

Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.