84% des incidents de sécurité informatique sont liés au facteur humain, mais seulement 55% des budgets lui sont consacrés... (avec infographie).
Erreur humaine, attaque interne ou externe, pertes de données, le facteur humain est à l'origine de la majorité des incidents de sécurité informatique, à hauteur de 84%. C'est ce que révèle l'étude eCSI de BalaBit, présentée lors du Gartner Identity & Access Management Summit 2014.
L'étude va plus loin en évaluant le coût potentiel des menaces : pour 51% les erreurs humaines provoqueraient la plus grande perte financière, contre 18% seulement pour la menace externe, 15% pour la menace interne, 9% pour les dysfonctionnements du système et 7% pour les attaques automatiques (injection SQL, DDoS, etc.).
Des priorités mal orientées...
Ces chiffres sont révélateurs de ce qui devrait être une priorité pour les entreprises et leur stratégie de sécurité, se protéger des erreurs humaines qui sont plus dévastatrices pour l'entreprise que les attaques venant de l'extérieur. Ce n'est pourtant pas le cas au regard des budgets qui sont consacrés à la gestion du risque, qui affichent un déséquilibre marqué...
30% des entreprises placent la gestion du risque externe au-dessus de tous les autres risques, 17% lui préfèrent la gestion des attaques automatiques, mais seulement 28% ont qualifié les dysfonctionnements du système parmi les risques les plus importants. Pire, pour 40% des entreprises les menaces humaines sont considérées comme la menace la moins importante !
La protection dédiée aux erreurs humaines n'est une priorité que pour 13% des personnes interrogées pour l'eCSI, et la protection contre les hackers internes que pour 12% !
Plus de menaces mais moins de budgets !
Au regard des budgets consacrés à la sécurité, 45% sont consacrés à l'infrastructure, mais 55% seulement à la gestion du risque humain... alors que ce dernier est à l'origine de 84% des incidents de sécurité ! La disproportion est flagrante.
Concrètement, elle se traduit par le déploiement de solutions de sécurité qui se révèlent en partie inefficaces face au risque humain. Elles affichent un manque de surveillance qui associe la détection, d'alerte et de blocage des activités suspicieuses. Ainsi qu'un manque de flexibilité.
L'étude pointe en particulier l'absence de surveillance et d'alertes en temps réel sur les comptes à privilèges, ceux qui disposent d'un accès à l'information stratégique de l'entreprise. Résultat, 83% des entreprises interrogées dans le cadre de l'enquête ont estimé que le niveau de sécurité des utilisateurs à privilèges est réduit. Alors que c'est l'inverse que l'on attend d'elles...