Cybersécurité : des dirigeants qui peinent encore à montrer l’exemple

Le décalage apparaît critique entre le comportement recommandé par les dirigeants et celui qu’ils adoptent eux-mêmes en matière de sécurité informatique. Encore, ne manqueront pas de dire certains.

Sources : Le Mag IT – Valéry Marchive – 25 juillet 2018

Plus de sept Pdg sur dix admettent avoir quitté un précédent poste en emportant avec eux de la propriété intellectuelle de leur ex-employeur. C’est l’une des principales conclusions d’une étude montrant plus généralement comment les cadres supérieurs se moquent des pratiques de référence en matière de sécurité des données, ainsi que des politiques de leurs entreprises.

Malgré cela, ils restent près de 8 sur 10 à reconnaître que les idées, sous la forme de propriété intellectuelle, constituent les actifs les plus précieux d’une entreprise. De quoi souligner le décalage entre les actes et les paroles des dirigeants.

Qui plus est, plus de 90 % des Pdg admettent conserver une copie de leurs documents de travail sur un terminal personnel, loin donc des serveurs ou des applications cloud administrés par leur entreprise.

Pour établir ces chiffres, Code42 a sondé plus d’un millier de responsables de l’informatique et de la sécurité et un peu moins de 700 dirigeants aux Etats-Unis, outre-Manche, et en Allemagne. Mais il est difficile d’imaginer que les cadres supérieurs français soient véritablement plus vertueux. Une étude commandée par Palo Alto Networks en 2015, et incluant des sondés français, produisait d’ailleurs des résultats allant dans ce sens. Déjà, à l’automne 2012, lorsque Patrick Pailloux, alors patron de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), déclenchait une polémique autour du BYOD, certains RSSI, dans les couloirs des Assises de la Sécurité, dénonçaient d’ailleurs « l’exemple, de toutes les mauvaises postures, qui vient d’en haut ».

Aujourd’hui, alors que les entreprises dépensent des milliards pour prévenir la perte de données, l’étude Data Exposure Report de Code42 tend à montrer que les choses n’ont hélas guère évolué.

Irresponsables, inconscients ou simplement humains ?

Mais ce n’est pas tout. Ainsi, 63 % des Pdg interrogés ont admis avoir cliqué sur un lien qui n’aurait pas dû tomber sous le pointeur de leur souris, ou sur lequel ils n’avaient pas l’intention de cliquer, mettant ainsi des données personnelles et d’entreprise en danger en raison de logiciels malveillants.

Qui plus est, 59 % des dirigeants sondés admettent télécharger des logiciels sans savoir s’ils sont approuvés par la sécurité de l’entreprise. Et ils sont près de 8 sur 10 (77 %) à estimer que leur service informatique considérerait ce comportement comme à risque. Mais ils le font malgré tout.

Jadee Hanson, RSSI de Code42, estime dès lors qu’il « est clair que même les politiques de sécurité des données les mieux intentionnées ne rivalisent pas avec la nature humaine ». Pour lui, « comprendre comment les forces émotionnelles induisent les comportements à risque est un pas dans la bonne direction, tout comme reconnaître les décalages au sein de l’organisation qui créent des vulnérabilités. Dans un paysage de menaces de plus en plus complexe, les stratégies de prévention ne suffisent plus ».

Pour Code42, les résultats de l’étude soulignent la nécessité d’une stratégie de sécurité réaliste qui tienne compte du comportement humain, tout en recouvrant prévention et récupération.

L’étude souligne également à quel point le travail des RSSI devient de plus en plus difficile, même dans les organisations qui disposent des meilleurs outils et politiques de cybersécurité : « les risques se résument à un manque de visibilité sur les données », estiment les auteurs de l’étude. De fait, 73 % des responsables de la sécurité et de l’informatique indiquent que certaines données de l’entreprise ne sont présentes que sur les terminaux. Et ils sont 70 % à admettre que la perte de toutes les données de l’entreprise détenues sur les terminaux serait destructrice ou, à tout le moins, sévèrement perturbatrice.

De multiples révélations de brèches à venir

Selon l’étude, 64 % des RSSI pensent que leur entreprise souffrira d’une brèche dans les 12 prochains mois qui sera rendue publique. Ils sont à peu près autant à affirmer que leur entreprise a déjà connu une brèche au cours des 18 derniers mois. La menace d’une cyberattaque a conduit près de 73 % des RSSI à stocker des crypto-deniers pour payer des cyber-délinquants. D’ailleurs, ils sont 79 % à admettre avoir déjà payé une rançon.

Une situation que déplorent les auteurs de l’étude. Selon eux, « avec une stratégie globale de sécurité des données qui inclut la visibilité, les entreprises auraient une meilleure compréhension de ce qui s’est passé et quand. Dès lors, ils seraient en mesure de récupérer beaucoup plus rapidement après un incident ». Et justement, 72 % des RSSI et 80 % des dirigeants reconnaissent avoir à travailler sur la résilience de leur entreprise face à des brèches de sécurité, au cours des 12 prochains mois.