La plupart des employés déclarent qu’ils ne connaissent pas les politiques de sécurité de leur entreprise et qu’ils ne font pas de mal s’ils utilisent pour un usage personnel les outils mis à leur disposition…
Lorsqu’ils ignorent les politiques de sécurité émises par leur entreprise, les pratiques des employés placent cette dernière en danger. Ces politiques existent et sont généralement largement diffusées, mais les employés affirment massivement qu’ils n’en ont pas connaissance, voire même qu’elles n’existent pas !
L'inconscience des employés...
C’est ce que déclarent 63% des employés, que leur entreprise n’a pas écrit de politiques en ce qui concerne la protection et la conservation des données, ni sur l'usage personnel des dispositifs mis à leur disposition au travail. Ou 56% qui déclarent que l’entreprise de dispose pas d’une politique écrite sur l’usage des médias sociaux, ou plus simplement qu’ils ne sont pas au courant de ces politiques.
L’étude en référence - « Big Data From Employees Leads to Big Risk for Employers » de kCura – révèle que 55% des employés estiment que l’usage des équipements fournis par leur entreprise pour des communications personnelles ne peut lui nuire.
Sur la vie privée, 98% des employés déclarent que c’est quelque chose d’important pour eux. On pourrait donc les croire sensibles à ce sujet, mais il n’en est rien… 60% d’entre eux déclarent qu’ils ont fait au moins une chose sur leur lieu de travail qui pourrait compromettre leurs données privées !
Comportements inquiétants avoués par les employés :
- 47% - Envoyer des emails personnels
- 45% - Usage d’Internet à des fins personnelles
- 40% - Envoi de SMS personnels
- 23% - Envoi de messages personnels via des apps de messagerie
- 22% - Affichage de renseignements personnels sur les médias sociaux
Le rapport à l’email
44% des employés déclarent préférer communiquer en face à face plutôt que d’utiliser des emails, ils sont d’ailleurs 37% à pratiquer ces derniers. Par contre, lorsqu’ils pratiquent l’email, ils sont en moyenne 16 fois par jour en copie de mails qui ne les concernent pas… Et lorsqu’une réponse ne concerne qu’une personne, ils sont 30% à expédier le message à toutes les personnes en copie !
L’usage des emails prend également d’autres formes. En particulier, 70% des employés les utilisent comme système de classement ! Les usages de l’entreprise sur la suppression des données, qu’il s’agisse de respecter certains règlements ou de gagner de la place, sont ainsi largement perturbés, avec des données qui continuent d’être stockées et parfois distribuées alors qu’elles devraient légalement être détruites.
L’explosion croissante des données augmente significativement le risque juridique, réglementaire et de réputation de l’entreprise. Les pratiques des employés, en l’absence de programmes de gouvernance même contraignants, mettent leur employeur dans une position à risque. Les dommages potentiels pourraient bien se révéler substantiels…
Image d’entête 601929788 @ iStock PrettyVectors
Merci Yves et très intéressante cette analyse statistique de la compréhension de l’utilité d’une Politique de Protection de l’Information.
On remarque que la Sécurité ou Protection de l’Information est ressentie comme une contrainte alors qu’avec des solutions de sécurité et des bonnes pratiques, on peut surfer sur Internet et utiliser les services informatiques des entreprises avec plus de confiance et ne pas risquer de perdre son identité.
On peut faire deux constats :
1) Il est évident que comme toute politique publique, le plus important est son décret d’application ; dans ce cas de figure, il s’agit des standards de sécurité qui doivent détailler le contenu de la politique. Au delà de cela, il faut aussi un document appelé les Principes de sécurité qui sont à destination de la Direction pour qu’elle aussi joue son rôle pour l’application de la Politique de Protection de l’Information auprès de tous les employés y compris le comité de Direction. En tout, li doit y avoir 4 documents ou ensemble de documents.
Enfin, il est aussi important de définir les moyens de contrôler l’application des standards par des mesures de contrôle interne sur tous les processus qui utilisent des systèmes d’information ; ces contrôles s’appliquent aussi aux fonctionnels.
N’oublions pas qu’à partir des contrôles effectués sur l’application des standards, il est possible de constituer un tableau de bords de l’application de la Politique mais aussi implicitement de la protection de l’entreprise par rapport aux menaces.
2) Il aurait été intéressant d’identifier aussi parmi la population IT des entreprises, ceux qui la connaisse et ceux qui savent où elle doit s’appliquer ; les résultats devraient être nettement meilleurs.
C’est peut-être aussi cela que l’on doit viser : l’intégration des solutions de protection de l’information de manière transparente pour les utilisateurs !
On remarque aussi un manque de rapidité dans la mise en place des Standards de Sécurité mettant l’entreprise en danger dans le contexte extrêmement risqué de nos jours.
Quant à l’utilisation de sa messagerie privée pendant les heures de bureau ou avec les moyens informatiques du bureau, il ne s’agit pas d’un problème en soi si des consignes de séparation entre ces deux environnements sont bien appliquées ; en particulier ne pas utiliser ses coordonnées professionnelles à des fins personnels.
Pour modifier le comportement des utilisateurs et consommateurs pour la prise en compte de la politique sécurité et son application, il faut d’une part, que le management soutienne régulièrement la communication organisée par le CISO et d’autre part, que ce dernier rend attractif un environnement sécurisé avec des technologies qui nous donnent confiance. C’est un vrai travail d’évangélisateur comme je l’avais indiqué dans une précédente publication : http://magazine.qualys.fr/conformite-organisation/rssi-methode-mormone/ en détaillant cette technique de communication.