Qui sont les maillons faibles de la sécurité des données de l'entreprise ?

Clavister a cherché à savoir quelles sont les personnalités et les fonctions les plus ' à risque ' pour la sécurité de l'entreprise. Une hérésie, selon des spécialistes.

Philippe Richard

01net.

le 28/01/09 à 18h25

3 réactions

Qui sont les maillons faibles de la sécurité des données dans l'entreprise ? Ou plus exactement peut-on définir des personnalités et des fonctions ' à risque ' pour l'entreprise ? C'est la question qu'a posée Clavister, société suédoise spécialisée dans la sécurité, avec l'aide de l'institut britannique YouGov, à 212 responsables informatiques, directeurs télécoms et managers senior du secteur privé, au mois de septembre 2008.

Fainéants, ambitieux, commerciaux et télétravailleurs

Résultat, selon Clavister, les personnes ' à risque ' se trouveraient surtout chez les commerciaux, les administratifs, les personnes travaillant depuis leur domicile et les intérimaires. D'autre part, les personnalités susceptibles d'engendrer des problèmes de sécurité seraient les paresseux, les fainéants, les angoissés, les créateurs de rumeurs mais aussi les ambitieux. A l'inverse, l'assistante personnelle serait la personne la plus fiable au sein d'une entreprise. ' Il est important de mesurer le capital-risque que représente chaque candidat pour une entreprise ', déclare même dans un communiqué Andreas Asander, l'un des vice-président de Clavister.

Ces résultats étonnent des spécialistes. ' On a coutume de dire que le plus grand danger du système d'information est entre la chaise et le clavier ! Etablir ce genre de liste n'apporte rien au débat parce que tel ou tel individu peut se retrouver tour à tour dans telle ou telle catégorie sans pour autant y demeurer éternellement ', rappelle Thierry Durand, PDG de Phorcys, une société de conseil en sécurité de l'information.

Tous potentiellement dangereux

Pour Michel Iwochewitsch, directeur associé de Strateco, cabinet spécialisé dans les audits de sécurité informationnelle, ' Chaque type de profil intègre ses propres failles à des degrés divers. Deux exemples. Un employé très consciencieux [un focused en terme technique, NDLR], fortement impliqué dans son travail, ne constatera probablement jamais qu'un keylogger physique [un outil qui espionne les touches frappées, NDLR] est installé sur son PC de bureau, car il ne s'attarde pas sur ce type de détails ! Cela représente-t-il un risque de sécurité ? Oui. En est-il responsable ? Non s'il n'a pas été formé à cette situation. Un extraverti marqué, ayant de forts besoins sociaux, a probablement installé divers logiciels de messagerie instantanée sur son PC, tout en étant présent sur des réseaux sociaux comme Facebook, entraînant de facto des failles. '

Quant à la fameuse assistante, elle peut aussi être une faille. Sa fiabilité et sa loyauté peuvent se retourner contre l'entreprise. ' Elle représente deux failles possibles. Premièrement, le lien entre l'assistante et son patron existe depuis des années. Elle dispose donc de l'ensemble des codes d'authentification du dirigeant tout en étant plus facile d'accès pour un prédateur informationnel ! Deuxième point faible : ce lien fort fait que de nombreux dirigeants conservent durant des mois ?" voire des années, selon nos constats ?" les mêmes codes d'accès ! Certains simplifient même ces codes pour faciliter le travail des assistantes, comme des mots de passe proches du login par exemple ', explique Michel Iwochewitsch.

En conclusion, peu importe la personnalité ou la fonction, c'est d'abord la formation et la sensibilisation des salariés de l'entreprise à la sécurité qui offrent la meilleure garantie contre les fuites de données.