TechTarget

alphaspirit - Fotolia

Actualites

La sécurité traditionnelle affecte la productivité

Selon une étude Dell, la plupart des professionnels de l’IT admettent que des mesures de sécurité contextualisées permettraient d’améliorer la productivité sans compromettre la sécurité.

Warwick Ashford
par
Publié le: 10 sept. 2015

Les processus classiques de gestion des accès limitent la productivité et souvent poussent les employés à trouver des alternatives à risque. C’est le principal enseignement d’une récente étude commandée par Dell. De fait, plus de 90 % des participants côté métiers indiquent que les mesures de sécurité affectent leur productivité.

Plus de la moitié d’entre eux assurent que cet impact négatif sur leur productivité a augmenté au cours des derniers 18 mois. Et pour 92 % de ces participants à l’étude, l’utilisation de couches de sécurité supplémentaires pour le travail à distant a eu un impact négatif. En outre, selon l’étude, 90 % des utilisateurs métiers doivent employer plusieurs mots de passe différents au quotidien.

De leur côté, 70 % des professionnels de l’IT estiment que les alternatives utilisées par les employés pour éviter les mesures de sécurité imposées par la DSI font courir un risque important à l’organisation.

Mais pour 97 % des professionnels des systèmes d’information interrogés, la mise en œuvre de systèmes de contrôle contextualisé des accès permettrait d’améliorer la productivité des employés, sans compromettre la sécurité.

La sécurité contextualisée est une approche consistant à évaluer le contexte dans lequel survient chaque demande d’accès, et à adapter les contrôles de sécurité en conséquence, en tenant compte des évolutions des menaces.

Les professionnels de l’IT voient d’autres bénéfices à cette approche, dont la capacité à affecter des priorités aux menaces en fonction du contexte : types d’applications visées ; capacité à obtenir de la visibilité sur le contexte lors de l’évaluation du risque ; et la capacité à répondre aux évolutions des besoins de sécurité en temps réel.

Selon 93 % des professionnels de l’IT sondés, l’absence de sécurité contextualisée est à l’origine de nombreux problèmes, à commencer par la difficulté à s’adapter rapidement aux transformations des menaces, ou encore à celle de gérer des besoins d’accès non standard nécessitant l’intervention de l’IT.

Des employés créatifs

Selon Dell, l’approche traditionnelle de la sécurité se caractérise par une réponse aux menaces existantes à un instant donné, mise en œuvre en silos. Ce qui se traduit par des mots de passe distincts pour chaque ressource du SI, des mesures de sécurité pour les travailleurs distants différentes de celles appliquées aux sédentaires, et une protection périphérique contre les menaces extérieures.

Cette approche débouche généralement sur une sécurité qui pénalise la productivité et expose l’entreprise aux liés aux mesures de contournement des employés.

Mais une large majorité de professionnels des SI reconnaissent les bénéfices d’une approche contextualisée de la sécurité, seules 28 % de leurs organisations y sont effectivement passées. Pour 60 % de ces professionnels, c’est d’abord un manque de connaissance de cette approche qui explique cette adoption limitée.

« Il est indéniable que les professionnels de l’IT, les responsables métiers, et les employés se débattent avec la sécurité », estime John Milburn, directeur exécutif et responsable de l’activité gestion des identités et des accès (IAM) chez Dell Security. Pour lui, « les entreprises font passer la sécurité avant le confort des employés, et pour le moment, les DSI pense qu’elles n’ont que deux options pour la sécurité : serrer la vis, ou tout ouvrir en grand ».

Mais selon Milburn, la sécurité contextualisée permet justement aux DSI d’ajuster les contrôles de sécurité en temps réel, pour ouvrir plus de confort aux utilisateurs sans qu’ils cherchent des moyens détournés risqués : « cette approche donne aux RSSI la confiance d’assurer que l’entreprise reste à la fois sûre et productive ».

Adapté de l’anglais.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close