nos newsletters
Abonnez-vous à Micro Hebdo : 4,90 €/mois
Abonnez-vous à l'Ordinateur Individuel : 3 €/mois
Abonnez-vous à la version digitale
Abonnez-vous à 01Business et Technologies : 19 €/mois
Qui sont les maillons faibles de la sécurité des données de l'entreprise ?
Clavister a cherché à savoir quelles sont les personnalités et les fonctions les plus ' à risque ' pour la sécurité de l'entreprise. Une hérésie, selon des spécialistes.
Qui sont les maillons faibles de la sécurité des données dans l'entreprise ? Ou plus exactement peut-on définir des personnalités et des fonctions ' à risque ' pour l'entreprise ? C'est la question
qu'a posée
Clavister, société suédoise spécialisée dans la sécurité, avec l'aide de l'institut britannique YouGov, à 212 responsables informatiques, directeurs télécoms et managers senior du secteur
privé, au mois de septembre 2008.
Fainéants, ambitieux, commerciaux et télétravailleurs
Résultat, selon Clavister, les personnes ' à risque ' se trouveraient surtout chez les commerciaux, les administratifs, les personnes travaillant depuis leur domicile et les intérimaires. D'autre part,
les personnalités susceptibles d'engendrer des problèmes de sécurité seraient les paresseux, les fainéants, les angoissés, les créateurs de rumeurs mais aussi les ambitieux. A l'inverse, l'assistante personnelle serait la personne la
plus fiable au sein d'une entreprise. ' Il est important de mesurer le capital-risque que représente chaque candidat pour une entreprise ', déclare même dans un communiqué Andreas Asander, l'un
des vice-président de Clavister.
Ces résultats étonnent des spécialistes. ' On a coutume de dire que le plus grand danger du système d'information est entre la chaise et le clavier ! Etablir ce genre de liste n'apporte rien au débat parce
que tel ou tel individu peut se retrouver tour à tour dans telle ou telle catégorie sans pour autant y demeurer éternellement ', rappelle Thierry Durand, PDG de Phorcys, une société de conseil en sécurité de l'information.
Tous potentiellement dangereux
Pour Michel Iwochewitsch, directeur associé de Strateco, cabinet spécialisé dans les audits de sécurité informationnelle, ' Chaque type de profil intègre ses propres failles à des degrés divers. Deux exemples. Un
employé très consciencieux [un focused en terme technique, NDLR], fortement impliqué dans son travail, ne constatera probablement jamais qu'un keylogger physique [un outil qui espionne les touches frappées,
NDLR] est installé sur son PC de bureau, car il ne s'attarde pas sur ce type de détails ! Cela représente-t-il un risque de sécurité ? Oui. En est-il responsable ? Non s'il n'a pas été formé à cette
situation. Un extraverti marqué, ayant de forts besoins sociaux, a probablement installé divers logiciels de messagerie instantanée sur son PC, tout en étant présent sur des réseaux sociaux comme Facebook, entraînant de facto des
failles. '
Quant à la fameuse assistante, elle peut aussi être une faille. Sa fiabilité et sa loyauté peuvent se retourner contre l'entreprise. ' Elle représente deux failles possibles. Premièrement, le lien entre
l'assistante et son patron existe depuis des années. Elle dispose donc de l'ensemble des codes d'authentification du dirigeant tout en étant plus facile d'accès pour un prédateur informationnel ! Deuxième point
faible : ce lien fort fait que de nombreux dirigeants conservent durant des mois ?" voire des années, selon nos constats ?" les mêmes codes d'accès ! Certains simplifient même ces codes pour faciliter le travail
des assistantes, comme des mots de passe proches du login par exemple ', explique Michel Iwochewitsch.
En conclusion, peu importe la personnalité ou la fonction, c'est d'abord la formation et la sensibilisation des salariés de l'entreprise à la sécurité qui offrent la meilleure garantie contre les fuites de données.
envoyer
par mail
par mail
imprimer
l'article
l'article
Actu précédente
Actu Suivante
Avis sur «Qui sont les maillons faibles de la sécurité des données de l'entreprise ?»
Et si...
de
Logan.fr
, posté le 28 janvier 2009 à 20h20
Un constat récurrent (et qui frise l'unanimité) est donc que la faille principale se situe entre le fauteuil et le clavier. Certes.
Mais puisqu'ici on parle de "maillon faible de la sésurité en entreprise", j'adhère au constat que, l'individu évoluant, il peut passer du stade de potentiellement dangereux (inconscient des risques qu'entrainent ses actes/habitudes) au stade de personne avertie et respectueuse des règles de sécurité.
Ce même individu reste acteur, mais ses actions changent, et donc son impact sur la sécurité.
C'est pourquoi, à mon sens, la notion de maillon faible de la sécurité doit s'envisager sous forme de :
"Qui assumera le rôle de responsabiliser à la sécurité ?"
Autant nommer tout de suite le département IT de l'entreprise et, de facto, son manager.
C'est à lui de prendre conscience que, quel que soit le nombre de collaborateurs que compte le/les site(s) dont il a la charge, tous n'ont pas le même niveau de culture/connaissance quant aux outils/risques informatiques.
C'est à lui qu'incombe la tâche de les informer, voire de les former.
Et je ne parle pas d'envoyer un mail global qui énumère une longue liste de pratique bonnes ou mauvaises, ni des liens qui pointent vers telle ou telle partie obscure d'un Intranet rébarbatif.
Une particularité des IT est d'appartenir aux fonctions "Support", alors que le risque sécuritaire est massivement dans le secteur des Opérations (production). La responsabilité revient à l'IT de former ceux qui mettent la sécurité en péril.
En envoyant des rappels d'usage aux managers du secteur à risque ?
Non. Plutôt en assumant qu'il est le mieux placé pour prendre en main ces formation et... les délivrer.
Messieurs les IT : créez des "ateliers sécurité".
Frottez-vous aux collaborateurs de votre entreprise et, par groupes, expliquez-leur pourquoi ceci ou cela est dangereux, et comment l'éviter.
Faites appel au département formation de votre entreprise (si vous avez la chance d'en avoir un) pour vous y aider.
Nul message ne sera mieux entendu, et appliqué, que s'il vient de vous. En direct.
Sinon ? Sinon il vous reste la répression, le blocage à gogo des IP, des ports USB, les collaborateurs qui utilisent 'Teamviewer' et que vous gérez une fois les dégâts faits (ça vous parle, ça, hein :)
Bref, vous l'aurez compris : autre que les collaborateurs ou managers, le maillon faible de la sécurité en entreprise est à mon avis un manager IT qui concentre son activité sur la gestion des outils mais oublie de s'investir dans la gestion des personnels qui les utilisent.
Mais puisqu'ici on parle de "maillon faible de la sésurité en entreprise", j'adhère au constat que, l'individu évoluant, il peut passer du stade de potentiellement dangereux (inconscient des risques qu'entrainent ses actes/habitudes) au stade de personne avertie et respectueuse des règles de sécurité.
Ce même individu reste acteur, mais ses actions changent, et donc son impact sur la sécurité.
C'est pourquoi, à mon sens, la notion de maillon faible de la sécurité doit s'envisager sous forme de :
"Qui assumera le rôle de responsabiliser à la sécurité ?"
Autant nommer tout de suite le département IT de l'entreprise et, de facto, son manager.
C'est à lui de prendre conscience que, quel que soit le nombre de collaborateurs que compte le/les site(s) dont il a la charge, tous n'ont pas le même niveau de culture/connaissance quant aux outils/risques informatiques.
C'est à lui qu'incombe la tâche de les informer, voire de les former.
Et je ne parle pas d'envoyer un mail global qui énumère une longue liste de pratique bonnes ou mauvaises, ni des liens qui pointent vers telle ou telle partie obscure d'un Intranet rébarbatif.
Une particularité des IT est d'appartenir aux fonctions "Support", alors que le risque sécuritaire est massivement dans le secteur des Opérations (production). La responsabilité revient à l'IT de former ceux qui mettent la sécurité en péril.
En envoyant des rappels d'usage aux managers du secteur à risque ?
Non. Plutôt en assumant qu'il est le mieux placé pour prendre en main ces formation et... les délivrer.
Messieurs les IT : créez des "ateliers sécurité".
Frottez-vous aux collaborateurs de votre entreprise et, par groupes, expliquez-leur pourquoi ceci ou cela est dangereux, et comment l'éviter.
Faites appel au département formation de votre entreprise (si vous avez la chance d'en avoir un) pour vous y aider.
Nul message ne sera mieux entendu, et appliqué, que s'il vient de vous. En direct.
Sinon ? Sinon il vous reste la répression, le blocage à gogo des IP, des ports USB, les collaborateurs qui utilisent 'Teamviewer' et que vous gérez une fois les dégâts faits (ça vous parle, ça, hein :)
Bref, vous l'aurez compris : autre que les collaborateurs ou managers, le maillon faible de la sécurité en entreprise est à mon avis un manager IT qui concentre son activité sur la gestion des outils mais oublie de s'investir dans la gestion des personnels qui les utilisent.
alerter le modérateur
Power User
de
berty44
, posté le 02 février 2009 à 09h50
Une fois les formations (instructions de sécurité : ne faites pas...) dispensées et respectés pas les utilisateurs, il reste ceux qui savent mieux que les autres : j'ai un copain qui s'y connait !
Ceux là savent aller sur des site "bizarres", ceux là savent télécharger le dernier crack (avec le backdoor à l'interieur), ceux là savent tripoter les configs de machines pour la booster et enlever ces anti-virus et autres firewall qui l'empèchent de télécharger les dernieres copies pirates.
Mais ceux là savent ce qu'il font ils ne mettent pas en péril la sécurité de l'entreprise puisqu'ils ont un copain qui s'y connait !
Ceux là savent aller sur des site "bizarres", ceux là savent télécharger le dernier crack (avec le backdoor à l'interieur), ceux là savent tripoter les configs de machines pour la booster et enlever ces anti-virus et autres firewall qui l'empèchent de télécharger les dernieres copies pirates.
Mais ceux là savent ce qu'il font ils ne mettent pas en péril la sécurité de l'entreprise puisqu'ils ont un copain qui s'y connait !
alerter le modérateur
Pb de coût.
de
Réactionnaire
, posté le 29 janvier 2009 à 15h18
Bonjour.
L'informatique n'est pas une science infuse. En plus du métier de chacun, il faudrait en connaître un autre : l'informatique (dans le sens utilisation de la machine).
Comme le dit si bien le post précédent, la formation est un bon vecteur pour habituer les gens à des pratiques meilleures en terme de sécurité.
Je crois que le problème principal est celui des ressources financières. La formation coûte doublement. Premièrement dans le coût de la formation elle-même. Deuxièmement dans le coût du manque à gagner de production passé à se former (mais ce coût ne sera-t-il autrement pas compensé en évitant des problèmes graves de sécurité par des utilisateurs non formés ?)
Avant tout, il y a une chose qui ne coûte pas cher, c'est de fermer les portes des entreprises (oû plutôt de filtrer les entrées). Il est parfois bien facile de rentrer dans certaines entreprises et de réaliser ce que les pirates appellent le contact physique, c'est-à-dire le contact direct avec la machine.
A réfléchir !
Bonne journée.
L'informatique n'est pas une science infuse. En plus du métier de chacun, il faudrait en connaître un autre : l'informatique (dans le sens utilisation de la machine).
Comme le dit si bien le post précédent, la formation est un bon vecteur pour habituer les gens à des pratiques meilleures en terme de sécurité.
Je crois que le problème principal est celui des ressources financières. La formation coûte doublement. Premièrement dans le coût de la formation elle-même. Deuxièmement dans le coût du manque à gagner de production passé à se former (mais ce coût ne sera-t-il autrement pas compensé en évitant des problèmes graves de sécurité par des utilisateurs non formés ?)
Avant tout, il y a une chose qui ne coûte pas cher, c'est de fermer les portes des entreprises (oû plutôt de filtrer les entrées). Il est parfois bien facile de rentrer dans certaines entreprises et de réaliser ce que les pirates appellent le contact physique, c'est-à-dire le contact direct avec la machine.
A réfléchir !
Bonne journée.
alerter le modérateur
à lire aussi
SUR LES MÊMES THÈMES 
Nos partenaires