Les comportements à risque continuent de peser sur la sécurité

Dans les travées de nombreux événements, on les appelle les « divas », un terme qui désigne les cadres dirigeants des entreprises, des personnes auxquelles il est difficile de dire non ou d’imposer des règles de sécurité. Et selon une étude Redshift pour Palo Alto Networks, cette appellation n’est pas dépourvue de pertinence.

Conduite au mois d’octobre auprès de 765 décisionnaires œuvrant dans des entreprises de plus de 1000 collaborateurs en Allemagne, en Belgique, en France, aux Pays-Bas et au Royaume-Uni, cette étude montre, selon les termes de l’équipementier, « qu’un nombre alarmant d’employés haut placés fait sciemment courir des risques en matière de cybersécurité aux entreprises ».

Dans les chiffres, 27 % des sondés reconnaissent avoir exposé leur entreprise à une menace informatique potentielle… en toute connaissance de cause, pour un peu plus de la moitié d’entre eux. D’ailleurs, 18 % des dirigeants considèrent ne pas avoir de rôle personnel à jouer pour améliorer la posture de sécurité de leur entreprise. 40 % des sondés préfèrent se reposer entièrement sur la DSI. Ouf ! Serait-on tenté de dire au regard de cet autre chiffre : 21 % des sondés considère la responsabilité individuelle.

Et la sensibilisation ne semble pas encore suffire : en France, seuls 17 % des sondés indiquent ne pas comprendre pleinement ce qu’est un risque pour la sécurité informatique.

Une surprise ? Non. A l’automne 2012, alors que Patrick Pailloux, alors patron de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), déclenchait une polémique autour du BYOD, certains RSSI, dans les couloirs des Assises de la Sécurité, dénonçaient « l’exemple de toutes les mauvaises postures qui vient d’en haut ».

Plus tard, au printemps 2013, Hervé Dubillot, responsable de la sécurité des systèmes d’information de Danone, soulignait une réalité : «le BYOD est surtout apporté par des personnes qui ont un certain pouvoir» et auxquelles, de fait, il s’avère impossible de dire «non». Parce que leur dire «non» ne les empêchera pas d’essayer à tout prix d’utiliser leur smartphone flambant neuf ou leur tablette personnelle à l’insu de la DSI. Et même si celle-ci explique au préalable que l’utilisateur ne bénéficiera d’aucun support, «ils appelleront le support technique et celui-ci ne pourra s’interdire de leur répondre, quitte à y passer des jours ».