Une nouvelle étude de Symantec vient confirmer que le principal enjeu pour limiter les risques de sécurité informatique dans et hors l’entreprise demeure le manque de sensibilisation des employés, un phénomène qui s’amplifie avec l’augmentation des risques à distance.
Tout d’abord mettons les choses au point : quels que soient la stratégie et les règles de gouvernance de l’entreprise, les équipements personnels, en particulier de type smartphone, ont franchi les frontières du périmètre de sécurité. C’est ainsi qu’aujourd’hui, dans les organisations françaises, 41% des employés et 85% concernant les moins de 25 ans utilisent leurs terminaux personnels dans le cadre de leur activité professionnelle. Un usage d’autant plus répandu que de plus en plus d’employés travaillent en mobilité et à distance.
Ces équipements sont-ils sécurisés ?
18% des employés français ignorent le niveau de sécurité des appareils qu’ils utilisent. A l’inverse, 42% seulement des employés, soit moins d’un sur deux, sont capables de confirmer que les outils (logiciels) de sécurité dans leurs appareils professionnels comme personnels sont à jour.
Vision cruelle pour la DSI, malgré le long travail de sensibilisation des utilisateurs sur la sécurité, ses actions de protection et de mise à jour des paramètres de sécurité sur les équipements des utilisateurs sont peu connues. Paradoxalement, l’automatisation de ces mises à jour est un avantage certain pour les administrateurs, mais elle les coupe des utilisateurs, et ceux-ci ignorent le travail accompli par les équipes de la DSI.
Ce n’est donc plus une surprise si dans ces conditions 16% seulement des employés français s’assurent que leurs paramètres de sécurité sont automatiquement mis à jour. Ce qui impose à la DSI, pour 84% des autres employés, d'intervenir directement et manuellement !
Android et génération Y
41% des employés français utilisent leurs terminaux personnels sur leur lieu de travail, nous l’avons déjà évoqué. Mais lorsqu’ils sont hors de l’entreprise, ce chiffre passe à 77%. Et bien évidemment la plupart de ces terminaux ne doivent pas embarquer une solution de sécurité efficace. Quant à la DSI, elle ne peut sérieusement disposer d’une sécurité que dans la périphérie déterminée de l’entreprise.
Ce fort usage des équipement personnels se traduit par un accès à des données professionnelles sur des dispositifs personnels non protégés. Le risque est par ailleurs accentué par deux phénomènes. L’âge des utilisateurs, 85% des employés français de la génération Y (moins de 25 ans) utilisent leurs équipements personnels dans le cadre de leur travail, à la place des appareils fournis par leur employeur. L’usage de ces derniers équipements, approuvés par leur employeur, n’est confirmé que par 19% des employés de plus de 45 ans, contre un ridicule 6% pour les moins de 25 ans.
Second phénomène qui accentue les risques, face à une gamme de smartphones et tablettes sous iOS d’Apple séduisants mais chers pour un produit personnel, la majorité des employés possèdent à titre personnel un appareil sous système d’exploitation Andoid… Que la popularité, le nombre et la diversité font une cible de choix pour les attaques. Et une menace dont les DSI se seraient bien passés.
Le mythe de la sécurité 8 heures par jour
En théorie, les systèmes de défense déployés par l’entreprise assurent sa protection, à la condition que les utilisateurs demeurent dans ce périmètre. Nous venons de le voir, les équipements personnels qui se généralisent ne sont pas sécurisés, mais même s’ils pouvaient l’être, les deux tiers des employés ne respectent pas les pratiques recommandées par l’entreprise !
C’est donc de nouveau la sensibilisation du personnel qui est à pointer. Faire prendre conscience des comportements à risque se révèle être une mission de tous les instants, mais veine… Qu’il faut pourtant en permanence replacer sur l’ouvrage, en espérant qu’au fur et à mesure des répétions l’information finisse par être intégrée et les comportements modifiés.
Et en espérant qu’un accident majeur n’arrive pas. Ce qui aura en revanche pour effet une véritable prise de conscience des victimes d’une attaque. Faut-il en arriver là pour qu’enfin les employés adoptent un comportement responsable et sécurisé ?
Source : étude Symantec réalisée par YouGov
Image d’entête 643553156 @ iStock studiogstock