Etude RSA sur les menaces internes de sécurité

Par:
fredericmazue

mar, 21/10/2008 - 11:10

Une nouvelle étude de RSA, la division Sécurité d’EMC, met en évidence les dilemmes et pratiques du personnel des entreprises en matière de règles de sécurité, d’accès distant et à base de rôle, et de mobilité.
Plus de 50% des personnes interrogées dans cette enquête ont contourné les règles de sécurité de leur entreprise pour pouvoir faire leur travail

RSA, la Division Sécurité d’EMC, a présenté les résultats de sa dernière enquête sur les menaces internes, réalisée lors d’événements qui se sont déroulés en Amérique du Nord et en Amérique Latine au cours du printemps et de l’été 2008. Les 417 personnes interrogées pour cette enquête, y compris des délégués de la conférence RSA, ont confessé leurs comportements et leurs attitudes au travail vis-à-vis des questions de sécurité. Les personnes interrogées travaillent dans divers secteurs, avec cependant une forte représentation des secteurs financiers et technologiques. La plupart d’entre elles occupaient des fonctions dans le domaine des technologies de l’information. En ces temps de forte médiatisation des problèmes de sécurité des données, les résultats montrent que même ceux qui sont censés connaître le mieux la question, ont au quotidien des comportements susceptibles d’exposer des informations sensibles à des risques significatifs.

Caractéristiques des personnes interrogées :
- 46% de personnes travaillant dans le secteur des services financiers
- 20% de personnes travaillant dans le secteur technologique
- 46% de professionnels de l’informatique
- 11% de cadres dirigeants
- 54% de personnes travaillant dans des entreprises employant plus de 5000 personnes.

Les gens agissent indépendamment de leur niveau de sensibilisation aux bonnes pratiques de sécurité
Les résultats de l’enquête montrent que les employés sont bien informés sur les restrictions qui leur sont imposées par les départements informatiques mais qu’ils sont nombreux à contourner les dispositifs de contrôle pour faire ce qu’ils ont à faire en temps voulu et de manière plus pratique.

Sur l’ensemble des personnes interrogées :
- 94% sont familiarisées avec les règles de sécurité informatique de leur entreprise, bien que 53% aient ressenti le besoin de contourner ces règles pour parvenir à faire leur travail.
- En réponse à une question séparée, 64% déclarent envoyer souvent ou occasionnellement des documents de travail à leur adresse email personnelle afin de pouvoir travailler chez eux
- Pour les personnes interrogées lors de l’événement qui se tenait aux États-Unis, ce chiffre tombe à 50%, mais atteint 62% au Mexique et 71% au Brésil.
- 15% ont déjà tenu la porte ouverte et laissé entrer dans les locaux de l’entreprise des personnes qu’elles ne connaissaient pas.
- Le Brésil enregistre les meilleurs résultats avec seulement 7%, suivi par le Mexique avec 16%. Les réponses recueillies lors de l’événement des États-Unis révèlent que près d’un salarié sur trois (31%) a déjà laissé un étranger entrer dans son lieu de travail.

Quand des salariés pourtant fiables contournent les règles de sécurité, des données sensibles peuvent être divulguées et exposer les entreprises et leurs clients – souvent des consommateurs – à des risques inutiles. Les organisations peuvent considérablement réduire ces risques en développant une politique de sécurité centrée sur les informations elles-mêmes, permettant de prendre en compte les besoins et les réalités de l’entreprise. Cette approche permet de préserver l’intégrité et la confidentialité des informations tout au long de leur cycle de vie, quels que soient
leurs déplacements, les personnes qui y accèdent et la manière dont elles sont utilisées. En parallèle, les organisations doivent intégrer des technologies de sécurité invisibles et plus pratiques éliminant les raisons pour lesquelles les salariés ne respectent pas les règles et fragilisent la politique de sécurité de leur entreprise.

Accès distants aux informations sensibles : aléatoires et non-protégés
Dans un monde mobile, l’enquête montre que les salariés ont besoin d’accéder à distance aux informations de l’entreprise lorsqu’ils sont hors de leur bureau, que ce soit chez eux ou dans des lieux publics.

Sur l’ensemble des personnes interrogées :
- 89% traitent fréquemment ou occasionnellement des affaires à distance via un réseau privé virtuel (VPN) ou une messagerie Web.
- 58% se connectent fréquemment ou occasionnellement à leur messagerie professionnelle à partir d’un ordinateur public et 65% via un hotspot public sans fil.

L’accès distant aux données sensibles demande des formes d’authentification plus sophistiquées que la combinaison simple, statique et vulnérable d’un nom d’utilisateur et d’un mot de passe. Pour résoudre ce problème, les entreprises peuvent conserver la souplesse et le côté pratique de l’accès distant par VPN et webmail en fournissant à leurs utilisateurs des mots de passe à usage unique, par le biais d’un token physique ou d’un token logiciel facilement accessible depuis des terminaux mobiles comme les smartphones BlackBerry®.

Les informations sont mobiles – et les données transportées tombent régulièrement entre des mains non-autorisées
Les résultats de l’enquête montrent que, pour que les employés soient plus productifs, les informations doivent pouvoir être déplacées librement. Cependant, la mobilité des salariés accroît d’autant la responsabilité collective concernant la protection des informations transportées hors de l’entreprise.

Sur l’ensemble des personnes interrogées :
- Une sur 10 a déjà perdu un ordinateur portable, un smartphone et/ou une clé USB où étaient stockées des informations de l’entreprise
- C’est au Mexique que ce type d’exposition des données d’entreprise est le plus fréquent, avec 29% des personnes interrogées confirmant avoir déjà perdu un ordinateur portable, un smartphone ou une clé USB. Aux États-Unis, la proportion tombe à 5%.
- 79% ont souvent ou parfois quitté leur lieu de travail en emportant un système mobile – ordinateur portable, smartphone et/ou clé USB – contenant des informations sensibles liées à leur activité professionnelle.

Si la mobilité est essentielle pour l’agilité de l’entreprise, les informations non-protégées – où qu’elles soient conservées ou stockées – augmentent les risques. Une approche à base de règles pour sécuriser les données permet aux entreprises de classifier leurs données sensibles, de découvrir ce type de données à travers toute l’entreprise, d’appliquer des contrôles, d’établir des rapports et de faire des audits pour vérifier la conformité aux règles de sécurité.

« Prévenir les pertes de données est aujourd’hui une préoccupation majeure pour toute personne en charge de réseaux ou d’informations d’entreprise. Les informations devenant de plus en plus faciles à transporter, il est indispensable que les données ne soient pas gouvernées par le bon vouloir et les actions au jour le jour des salariés, mais qu’elles soient régies par une politique prédéterminée, assortie des contrôles appropriés », explique Tom Corn, Vice Président, Data Security, chez RSA. « De cette manière, les entreprises peuvent par exemple empêcher l’écriture d’informations sensibles sur une clé USB, ou au moins imposer que ces informations soient chiffrées. »

S’assurer que les seuls les bons utilisateurs aient accès aux bonnes informations
Les organisations sont vivantes et les rôles des individus changent fréquemment : un salarié peut changer de poste, un consultant externe peut quitter l’entreprise à la fin de sa mission, etc. Malheureusement, la gouvernance du réseau de l’entreprise n’est pas toujours en phase avec ces changements.

Sur l’ensemble des personnes interrogées :
- 43% ont changé de poste en interne mais ont toujours accès à des comptes/ressources dont elles n’ont pourtant plus besoin
- Les meilleurs résultats sont enregistrés au Mexique (30%), suivi par le Brésil (42%). Aux États-Unis, une personne sur deux (50%) continue à avoir accès à certains domaines du système d’information alors que ses fonctions ne le justifient pas.
- 79% ont déclaré que leur société emploie des travailleurs temporaires et/ou des sous-traitants ayant besoin d’accéder à des informations et à des systèmes critiques pour l’entreprise.
- 37% ont réussi à pénétrer dans une partie du réseau de l’entreprise à laquelle ils ne pensaient pas avoir le droit d’accéder.

L’accès aux données hautement sensibles doit être accordé uniquement à ceux qui ont besoin de ces données et, dans certaines fonctions, l’accès n’est indispensable qu'à des parties très spécifiques de l’infrastructure d’information. Les entreprises ont la possibilité de gérer un très grand nombre d’utilisateurs tout en appliquant une politique de sécurité centralisée tenant compte des rôles des utilisateurs, garantissant la conformité, protégeant les ressources de l’entreprise contre les accès non-autorisés et simplifiant la vie et le travail des utilisateurs légitimes.

« L’enquête montre qu’il est tout aussi important pour les entreprises d’appliquer des contrôles et des règles de sécurité visant à protéger les actions quotidiennes du personnel interne bien intentionné que d’appliquer des mesures permettant de se défendre contre les individus ayant des intentions nuisibles », commente Christopher Young, Senior Vice Président chez RSA. « Il ressort clairement que les entreprises ont besoin d’une approche de sécurité à plusieurs niveaux afin de réduire les menaces internes et d’assurer la sécurité des données. Pour cela, il faut que toutes les organisations sachent qui accède à leurs informations ; qu’elles contrôlent les accès grâce à des règles définies dans leur politique ; qu’elles repèrent les activités suspectes pour vérifier l’identité des utilisateurs ; qu’elles créent et appliquent les politiques et contrôles de sécurité sur les données ; et enfin qu’elles transforment les données d’événements de sécurité collectées en temps réel en informations intelligibles exploitables pour renforcer leur sécurité et leur conformité. »

Pour obtenir la totalité des résultats de l’enquête 2008 et les recommandations associées,
téléchargez le rapport : The 2008 Insider Threat Survey: Workers Admit to Everyday Behavior That Puts Sensitive Information at Risk

Méthodologie
L’enquête 2008 de RSA sur les menaces internes a été réalisée dans trois pays (Mexique, Brésil et États-Unis), auprès d’une population totale de 417 personnes, lors des événements suivants :
- Conférence RSA, U.S.A (7-11avril 2008; 134 personnes interrogées)
- Conférence « Demystifying the Payment Card Industry Standard: Routes to PCI Compliance », Mexico (28 mai 2008 ; 44 personnes interrogées)
- CIAB 2008, Brésil (11-13 juin 2008 ; 239 personnes interrogées)

L’enquête de RSA sur les menaces internes publiée en novembre 2007 (Insider Threat Survey) a été réalisée auprès de personnes employées par le gouvernement ou des entreprises privées interviewées dans les rues de Boston et de Washington D.C. Dans les deux enquêtes (2007 et 2008), les personnes interrogées regroupaient des salariés, des sous-traitants, des partenaires, des visiteurs et des consultants disposant d’un accès physique et/ou logique aux informations et actifs
d’une organisation donnée. Les questions posées étaient identiques dans les deux enquêtes.

Pour plus d’informations : www.EMC.com