Les utilisateurs de comptes à privilèges enclins au laxisme

Une étude de Balabit montre que les utilisateurs de comptes à privilèges seront tentés de relâcher leur vigilance durant les fêtes de fin d’année.

En matière de sécurité, les fêtes de fin d’années semblent propices à la relâche, selon une étude réalisée par Balabit auprès de 300 utilisateurs de comptes à privilèges. Certes, ceux-ci travailleront : 70 % des sondés indiquent qu’ils se connecteront à distance au système d’information de leur entreprise, au moins pour consulter leur courrier électronique, et même plusieurs fois par jour pour 39 % d’entre eux.

Las, 72 % des sondés utiliseront un appareil non contrôlé pour se connecter, qu’il s’agisse d’un terminal personnel, de celui d’un proche, ou encore d’un appareil mis à disposition du public. Surtout, les entreprises de 38 % des sondés ne demanderont pas d’authentification renforcée lors de ces connexions.

Mais il y a plus préoccupant. D’autant plus que certains incidents de sécurité récents – comme celui dont ont été victime Home Depot et Target – ont commencé par là : par l’utilisation détournée d’identifiants de connexion… Et justement, 14 % des sondés par Balabit reconnaissent avoir déjà partagé leurs identifiants avec des collègues. Et l’éditeur d’ajouter, dans un communiqué : « allant à l’encontre des meilleures pratiques en matière de protection par mot de passe, le même nombre de personnes interrogées a déjà communiqué son mot de passe via son téléphone, de façon à ce qu’un collègue puisse réaliser une tâche urgente en son nom. » A croire que l’incident Snowden, qui a conduit aux révélations que l’on sait sur les activités de la NSA, n’a pas servi d’exemple en matière de gouvernance de la sécurité. D’ailleurs, un tiers des sondés reconnaissent en outre n’avoir pas changé leur mot de passe suite à cette communication.

La faille humaine, encore, serait-on tenté de conclure : « 20 % des personnes interrogées admettent qu’elles ont communiqué leur mot de passe parce qu’elles faisaient confiance à la personne » en cause.

Pour approfondir sur Gestion d’identités (IGA, PAM, Bastion, PASM, PEDM)

Close