Une enquête de Ponemon Institute pour Varonis et menée auprès de plus de 2 000 salariés, montre que les employés disposant d’accès excessifs constituent le risque le plus important de fuites de données.
Malgré le nombre croissant d’atteintes à la protection des données relayées régulièrement dans les médias, 71 % des employés déclarent avoir accès à des données qu’ils ne devraient pas voir, et plus de la moitié indique que ces accès s’avèrent fréquents ou très fréquents.
Alors que l’attention se détourne des attaques externes sophistiquées pour se concentrer sur le rôle souvent joué par les vulnérabilités et les négligences internes, une nouvelle étude commandée par Varonis Systems, Inc. et réalisée par le Ponemon Institute suggère que la plupart des entreprises rencontrent des difficultés à trouver l’équilibre entre un besoin de sécurité renforcée et les exigences de productivité des employés. Les employés qui disposent de privilèges excessifs d’accès aux données représentent un risque croissant pour les entreprises en raison de l’exposition accidentelle et intentionnelle d’informations sensibles ou critiques.
« Les atteintes à la protection des données se généralisent », selon le Dr Larry Ponemon, président et fondateur du Ponemon Institute, un des principaux centres de recherche sur la confidentialité, la protection des données et les politiques de sécurité de l’information. « La croissance du volume des informations numériques et de notre dépendance vis-à-vis d’elles peut submerger les tentatives de protection des données sensibles des entreprises. Cette étude fait apparaître un facteur important souvent négligé : les employés disposent généralement d’accès aux données trop étendus, au-delà de ce qui est nécessaire à l’exécution de leurs tâches professionnelles. Et quand cet accès n’est pas suivi ou audité, une attaque ayant accès aux comptes des employés peut avoir des conséquences dévastatrices. »
Manque de contrôle et croissance des données entravent la productivité
Les informaticiens comme les utilisateurs finaux témoignent d’un manque de contrôle en ce qui concerne l’accès aux données et leur utilisation par les employés. Les deux groupes conviennent généralement du fait que leur entreprise préférerait négliger les risques de sécurité plutôt que sacrifier la productivité. Seulement 22 % des collaborateurs ayant participé à l’enquête estiment que leur entreprise accorde une priorité très élevée à la protection de ses données. Moins de la moitié des employés pensent que leur entreprise applique des politiques de sécurité strictes en ce qui concerne l’utilisation et l’accès aux données. De plus, la prolifération des données commerciales a déjà une incidence négative sur la productivité. En effet, les employés éprouvent davantage de difficultés pour trouver les données dont ils ont besoin et auxquelles ils devraient pouvoir accéder, et pour partager les données appropriées avec les clients, fournisseurs et partenaires.
Les autres principaux résultats en matière de contrôle et de supervision sont les suivants :
Des vulnérabilités internes exposées
Les conclusions de l’enquête indiquent également que les informaticiens et les utilisateurs finaux s’accordent sur le fait que les comptes d’employés détournés pouvant conduire à des fuites de données sont très probablement le fait de collaborateurs internes disposant d’accès excessifs et souvent inconscients des risques que ceux-ci représentent. 50 % des utilisateurs finaux et 74 % des informaticiens estiment que les erreurs, les négligences ou la malveillance d’employés sont fréquemment ou très fréquemment à l’origine des fuites de données. Et seulement 47 % des informaticiens indiquent que les employés de leur entreprise prennent des mesures appropriées pour protéger les données auxquelles ils accèdent. Lorsque des fonctionnalités de gestion des permissions et d’audit ne sont pas mises en place, l’accès excessif des employés aux données et leur négligence vis-à-vis de la sécurité constituent des dangers supplémentaires pour les données de l’entreprise.
Les autres principaux résultats relatifs aux causes premières d’atteinte à la protection des données sont les suivants :
« Ces conclusions devraient servir de signal d’alarme pour toute organisation stockant des informations sur ses clients, ses employés ou ses partenaires commerciaux, c’est-à-dire presque n’importe quelle entreprise ou institution du monde d’aujourd’hui », déclare Yaki Faitelson, cofondateur et directeur général de Varonis. « La protection du périmètre a fait l’objet d’une attention et d’investissements énormes, mais les bases fondamentales de la sécurité des données à l’intérieur de l’entreprise, à savoir les contrôles d’accès et l’audit, sont souvent négligées. La combinaison d’accès inutiles et d’un manque de fonctionnalités d’audit constitue la recette d’une catastrophe inévitable. Nous constatons également que l’absence de contrôle et de supervision a une incidence sur la productivité des employés, car ceux-ci éprouvent des difficultés pour trouver les données, y avoir accès et les partager facilement et en toute sécurité avec les partenaires commerciaux. Varonis aide des milliers d’entreprises du monde entier à relever ces défis non seulement en réduisant les risques de manière considérable, mais aussi en améliorant simultanément la productivité et l’efficacité des collaborateurs. »
Le rapport d’étude intitulé « Données : actifs protégés ou bombe à retardement ? » se fonde sur des entretiens menés en octobre 2014 auprès de 2 276 employés aux États-Unis, au Royaume-Uni, en France et en Allemagne. L’ensemble des personnes interrogées comprend 1 166 informaticiens et 1 110 utilisateurs finaux issus d’entreprises de tailles variant de quelques douzaines à plusieurs dizaines de milliers d’employés, dans divers secteurs, dont les services financiers, le secteur public, le secteur santé et l’industrie pharmaceutique, la vente au détail, le secteur industriel, le secteur technologique et l’industrie du logiciel.
Source : (varonis.com)
Espace CHSCT, plateforme N°1 d'information CHSCT, édité par son partenaire Travail & Facteur Humain, cabinet spécialisé en expertise CHSCT et formation CHSCT