Brèches accidentelles de sécurité: une menace pour l'entreprise

Selon le livre blanc publié par l'institut de recherche IDC, les incidents de sécurité  « accidentels » provoqués par les collaborateurs/membres de l'entreprise sont devenus + fréquents. Selon cette publication,ces incidents pourraient avoir des conséquences + graves que les actes internes « malveillants ».
Ce rapport a aussi mis en évidence une incohérence dans la hiérarchisation des priorités  des règles de sécurité. En effet, ceux-ci ont pris le parti de se protéger en premier lieu contre des actes malveillants volontaires -plutôt que contre des actes accidentels-.

On a remarqué qu'aucune technologie n'est actuellement en mesure d'assurer une protection contre les actes des personnes travaillant dans l'entreprise. Outre le personnel même de l'entreprise, il faut englober également un grand nombre de personnes -dont les consultants, les partenaires externes, les fournisseurs ou encore les partenaires commerciaux-. 
IDC déclare qu'un « cadre global de gestion des risques est la seule solution pour gérer le risque opérationnel de manière efficace, assurer son avance concurrentielle, réduire les vulnérabilités, gérer les défauts de configurations, dimunuer le nombre croissant de violations des règles de conformité et contrôler les incidents importants de fuites d'informations de l'entreprise».

Après avoir interrogé un échantillon de 400 entreprises en France, en Allemagne, au Royaume-Uni et aux Etats-Unis, IDC a conclu que :
-52 % d'entre elles avaient caractérisé les incidents provoqués par des employés comme étant d'origine accidentelle, contre 19 % qui estimaient quant à elles que les incidents étaient délibérés.
-26 % des entreprises interrogées considéraient que les incidents étaient soient accidentels soient délibérés.

Qu'ils s'agissent d'incidents accidentels ou délibérés, leurs conséquences n'en sont pas moins graves : l'accès  à des tiers d'informations sensibles peut avoir des conséquences nuisibles à l'entreprise ( par exemple, désavantage compétitif, détérioriation de l'image de l'entreprise, mauvais audits...). Les informations sensibles à risque incluent les informations relatives aux clients et aux employés, les plans de conception, les codes sources et tout ce qui concerne la propriété intellectuelle.

L'étude a montré qu'au cours des 12 derniers mois, les entreprises ont du faire face à une moyenne de 14,4 pertes de données -dues à la négligence d'un collaborateur-  En outre, il est constaté que travailleurs intérimaires/temporaires représentent le risque le plus élevé. Un contexte économique difficile peut constituer une cause indirecte. En effet, de nombreuses d'entreprises sont dans la nécessité d'employer de + en + de travailleurs temporaires ou intérimaires. Cela alourdit de manière non négligeable la charge de travail des services informatiques. Ceux-ci doivent gérer les droits d'accès temporaires, suivre l'activité de chacune des personnes intérimaires/temporaires, désactiver les comptes utilisateurs obsolètes, tout en continuant de protéger les informations sensibles et en se conformant aux règles de confidentialité.

Les types d'incidents les plus récurrents sont la perte accidentelle de données due à la négligence d'un employé, une attaque d'un logiciel malveillant/espion émanant de l'intérieur l'entreprise, des droits de contrôle d'accès/privilège non adaptés ou des violations délibérées de la politique de sécurité des informations de l'entreprise. Les pertes de données dues à la négligence sont plus fréquentes -dans les domaines de la finance,de la santé ou dans le secteur public. Les attaques des logiciels malveillants/espions ont plus fréquemment lieu dans le secteur des entreprises de télécommunications.

43 % environ des entreprises allouent un budget spécifique aux risques de sécurité internes, et  40 % d'entre elles prévoient d'augmenter l'année prochaine leurs dépenses .

L'enquête conduite par IDC,a été financée par la société de sécurité des entreprises RSA.

+ de communications entraîne + de risques :
En parallèle, la société de sécurité des données Proofpoint a remarqué que les entreprises américaines sont « de plus en plus soucieuses du nombre croissant de fuites d'informations engendrées par l'utilisation d'e-mails, des réseaux sociaux en ligne, des blogs ou de chaines multimédia ou encore de l'usage des SMS par les employés ».

Il a été révélé que :
-33 % des 220 entreprises interrogées employaient une personne dont le travail « de base et unique » est de surveiller le contenu des e-mails envoyés, contre 15 % en 2008.
-34 % des personnes interrogées ont déclaré que leur entreprise avait été touchée par la révélation d'informations sensibles ou embarrassantes, contre 23 % en 2008. Les e-mails représentent la plus grande menace : au cours des douze derniers mois,
-43 % des entreprises ont lancé une enquête concernant une fuite d'informations confidentielles ou exclusives par e-mail.
-18 % ont  enquêté sur des problèmes ayant rapport avec une violation relative à un forum ou à un blog ( 9 % ont été contraintes de renvoyer un employé pour ce motif).
Enfin, les sites de partage multimédia tels que YouTube, les sites de réseaux sociaux (dont Facebook,LinkedIn,Twitter...), les SMS et Twitter augmentent d'autant plus la probabilté de menaces pour la sécurité.

Le site web TelecomTV a soulevé que pour les entreprises européennes, où la législation applicable aux employés est différente de celle des Etats-Unis, une politique « claire et sans équivoque » d'utilisation des e-mails et d'internet est essentielle afin d'éviter les poursuites qui risquent d'être débouter devant les tribunaux.

Le rapport de Proofpoint est téléchargeable ici.

Nicolas Jacquey
jacques herbaut

nsp