beebright - Fotolia

Menace interne : un vrai manque de sensibilisation, mais aussi un réel risque de malveillance

Les employés peuvent être tentés par des conduites à risque pour les données de l’entreprise. Souvent faute de sensibilisation mais également sous l’effet de l’appât du gain.

C’était en septembre 2015 : dans une étude, Intel Sécurity (McAfee) estimait que des acteurs internes seraient impliqués dans 43 % des pertes de données. Une menace interne dont IBM estimait plus tôt que 55 % des attaques survenues en 2014 avaient été conduites par des personnes ayant accès aux systèmes internes des entreprises.

Suite de l'article ci-dessous

Une étude conduite l’été dernier par Atomik Research pour Forcepoint apporte un éclairage complémentaire. Pour celle-ci, le cabinet a interrogé un échantillon représentatif de plus de 4000 salariés (à temps plein ou partiel), également répartis entre l’Allemagne, la France, l’Italie et Royaume-Uni. Plus d’un tiers d’entre eux indique avoir été « précédemment impliqué » dans une compromission de données. Et pour Forcepoint, ce chiffre élevé s’explique en partie par un manque de conscience de la menace : 42 % des sondés estiment que leur entreprise est à l’abris de la menace interne ; 30 % indiquent ne pas être sûrs. En outre, près d’un tiers des salariés interrogés est soit inconscient soit ignorant des conséquences que peut avoir une compromission de données - 22 % pour le coût de ces incidents. Plus inquiétant encore : 26 % des sondés assurent ne pas savoir ou ne pas être bien sûrs du risque que peut présenter le fait de partager des identifiants informatiques professionnels !

L’an passé, Skyhigh Networks soulignait à quel point l’adoption de services Cloud continuait de se faire à l’insu des DSI. S’il en fallait un peu plus pour inquiéter ces derniers, 43 % des sondés par Atomik Research indiquent ne pas être sûrs de la sécurité de leurs données dans le Cloud. Et 27 % ne s’en préoccupent pas… En France, le doute concerne 53 % des sondés. Et un tiers ne s’inquiète pas de la question. 

Alors, imprudents, ces salariés, ou mal informés ? Forcepoint relève que « les employeurs doivent s’assurer qu’ils donnent à leurs équipes une chance de comprendre et de prévenir les problèmes en jeu ». Las, 39 % des sondés indiquent n’avoir jamais reçu de formation à la protection des données - une proportion qui atteint 47 % en France. Et 27 % des salariés interrogés estiment que leur entreprise « soit manque de règles de sécurité pour prévenir la perte de données, soit échoue à les faire appliquer ». 

Si les accidents surviennent - 11 % des sondés indiquent avoir « accidentellement » transmis des informations à des tiers, et 18 % en France, avoir perdu ou s’être fait volé un appareil d’entreprise -, la malveillance n’est pas à ignorer : 29 % des sondés reconnaissent avoir volontairement partagé ainsi des données. Mais il y a potentiellement pire. Récemment, RedOwl relevait que des cybercriminels offrent à des utilisateurs internes la possibilité de monnayer leur accès aux systèmes d’information derrière les systèmes de sécurité périmétriques. Selon l’étude d’Atomik Research, 14 % des salariés envisageraient de le faire. Et pas forcément pour bien cher : 40 % d’entre eux ne demanderaient pas plus de 235 €. En outre, 15 % des sondés ont déjà emporté avec eux des informations métiers critiques en quittant un précédent employeur - 59 % avec l’intention de les utiliser dans leurs nouvelles fonctions.

Pour approfondir sur Gestion de la sécurité

Close