Les utilisateurs se sont tellement appropriés les outils mis à disposition par l'entreprise que la frontière entre les domaines pro/perso est de plus en plus floue. Ces mêmes utilisateurs sont de plus en plus mobiles et collaboratifs, ce qui rend les informations de l'entreprise de plus en plus vulnérables.
Une récente étude à l'initiative de Cisco et menée par InsightExpress LLC, a mis en avant les comportements à risque des utilisateurs :
- Modification des paramètres de sécurité de son ordinateur afin d'accéder à des sites non autorisés par la politique sécurité de l'entreprise (concerne 1 employé sur 5),
Usage d'applications non autorisées (impliqué dans 50% des incidents conduisant à des pertes de données), - Accès non autorisés à des réseaux ou des locaux (2/5 des IT managers ont à gérer ce type de situation),
- Divulgation d'informations sensibles pour l'entreprise (1/4 des employés admet avoir partagé verbalement des informations sensibles avec des personnes extérieures à l'entreprise),
Partage d'équipements sans supervision (concerne la moitié des employés. ex: PC utilisé par les enfants...), - Usage des ressources professionnelles à des fins personnelles. 2/3 des employés admettent utiliser quotidiennement les ressources de l'entreprise à des fins personnelles (téléchargement de musique, gestion de ses comptes bancaires...),
- Usage des ressources personnelles à des fins professionnelles. La moitié des employés utilisent leur messagerie personnelle pour contacter leurs collègues ainsi que leurs clients (seuls 40% déclarent cette pratique autorisée par l'IT),
- Absence de protection des périphériques par l'utilisateur. Au moins 1/3 des employés laisse son PC non verrouillé et session ouverte lorsqu'il s'absente de son bureau.
- Absence de protection des mots de passe. 1/5 des utilisateurs consigne ses mots de passe sur son ordinateur ou sur papier (en laissant le dit papier à porté de main sur le bureau),
- Perte de périphériques portables (1/4 des employés transporte des données de l'entreprise sur laptop, clés USB... à l'extérieur de l'entreprise)
Le nombre de cas d'usage augmente avec la multiplication des ressources mises à disposition du salarié par l'entreprise. Il est donc nécessaire de mettre en place des actions concrètes afin de conserver un minimum de maîtrise sur les données sensibles de l'entreprise :
- Inventorier ces données et établir leur cycle de vie (principalement où et comment elles sont stockées, qui peut y accéder, comment...),
- Formaliser les règles d'usage pour manipuler ces documents dans une politique,
Communiquer activement sur cette politique auprès des utilisateurs (sensibilisation, formation...), - Mettre en place des moyens techniques pour aider à l'application de la poilitique. Les éléments techniques interviennent en dernier lieu, car rien ne peut se faire sans l'adhésion pleine et entière des utilisateurs.
En conclusion, faîtes de vos utilisateurs des acteurs privilégiés de votre sécurité.
Edit de l'équipe Orange Business : Christophe a quitté le groupe Orange depuis ses derniers articles