L’ennemi numéro 1 en sécurité IT: l’erreur humaine

Quelque soit le nombre de réglementations internes et de formations […]

January 5, 2009

Quelque soit le nombre de réglementations internes et de formations mises en œuvre, l’erreur humaine classique reste encore la plus grande menace pour la sécurité informatique. C’est la conclusion inquiétante d’une étude menée auprès de plusieurs centaines de responsables informatiques par le cabinet international de recherche YouGov* et communiquées par Clavister, fournisseur de solutions de sécurité.

86 % des responsables informatiques interrogés pensent que les causes les plus vraisemblables des problèmes de sécurité informatique proviennent de leurs propres employés. Les explications données relèvent du manque d’information du personnel insuffisamment sensibilisé ou insuffisamment formé sur les politiques de sécurité, les erreurs involontaires et l’espionnage industriel.

Cette étude révèle des données similaires quelles que soient la localisation et la taille des entreprises. D’autre part, les problèmes continuent d’apparaître malgré les politiques de sécurité et les formations mises en place, en raison du comportement humain.

31 % des personnes interrogées pensent que les problèmes de sécurité proviennent du fait que le personnel ignore sciemment les règles de sécurité, 37 % les attribuent à des erreurs humaines, 13 % au manque de formation et de prise de conscience des règles et les 5 % restant attribuent ces problèmes à l’espionnage industriel.

Au vu de ces résultats Clavister a remis en question les produits de sécurité informatique disponibles à ce jour et les politiques de sécurités appliquées et s’est demandé ce qu’une société pouvait faire pour pallier ces manques dus dans leur totalité à des erreurs humaines communes à toute personne.

« L’objectif d’une politique de sécurité est plutôt simple – écarter les utilisateurs malveillants du réseau et surveiller les utilisateurs à risque au sein de l’organisation. Assurer la conformité n’est toutefois pas une tâche facile. Les documents décrivant la politique de sécurité ont tendance à être longs et techniques et ne sont pas rédigés de façon compréhensible et importante aux yeux de la plupart des employés, » indique Andreas Åsander, VP Product Management de Clavister. « Pour que les règles de sécurité soient adoptées, les utilisateurs doivent comprendre pourquoi elles sont importantes et ce que ces règles signifient pour eux personnellement et professionnellement. »

Le sujet est vaste et le problème difficile à résoudre en quelques mots. Clavister propose une « checklist » de 6 recommandations à l’attention des entreprises :

1. Concevoir une politique de sécurité qui soit simple à lire et à comprendre. Veillez à ce qu’elle ne soit pas trop complexe et trop technique. Utilisez des exemples pour démontrer chaque point.
2. Eduquer les utilisateurs à la politique de sécurité. Il est absolument crucial qu’ils comprennent pourquoi ces règles sont nécessaires et ce qu’elles leur apportent à titre personnel et dans leur activité professionnelle.
3. Sensibiliser sur les conséquences éventuelles. Les utilisateurs qui ne respectent pas ces règles doivent en connaître les conséquences.
4. Faciliter les bonnes démarches à suivre. Ne concevez pas simplement une politique web qui déclare que quelque chose est interdit ; implémentez une passerelle de filtrage qui, par exemple, rend impossible les mauvaises actions.
5. Déterminer une hiérarchie dans les permissions d’accès. Accordez uniquement des accès utilisateurs à ce qui est nécessaire pour l’accomplissement de leur fonction.
6. Surveiller et améliorer. Surveillez la conformité aux règles en utilisant les informations sécuritaires et le système de management des événements aussi bien que le manuel de contrôle. N’ayez pas peur de metter à jour votre politique de sécurité régulièrement, les menaces évoluant elles aussi continuellement. Si les utilisateurs ne comprennent pas, donnez plus d’exemples. S’il est difficile de s’y conformer, trouvez de nouveaux supports technologiques, ils sont faits pour vous aider.

*Toutes les données, sauf précision, sont fournies par YouGov Plc. L’enquête a été menée auprès de 212 Responsables Informatique, Directeurs Télécoms et Managers Senior du secteur privé en Grande-Bretagne. L’enquête a été effectuée online entre le 22 et le 29 Septembre 2008.

Watch video

In the same category