Discussion :

[Malick]

Bromium : 35 % des professionnels de la sécurité reconnaissent avoir contourné la politique de sécurité de leur entreprise,
10 % ont déjà payé une rançon

Le célèbre fournisseur de solution de sécurité Bromium vient de publier un rapport dans lequel il s'est intéressé à la cybersécurité. Pour les besoins de son étude, Bromium aurait interrogé près de 210 professionnels de la sécurité lors de la conférence RSA 2017 qui s'est tenue au mois de février dernier au centre Moscone à San Francisco. Au terme de ces interrogations, Bromium rapporte que des informations extrêmement choquantes ont été recueillies, et pour confirmer ces dernières, le spécialiste en sécurité affirme avoir interrogé d'autres professionnels du secteur aux États-Unis et au Royaume-Uni. Il se trouve que dans ces deux pays, les données recueillies ont été même pires.

Il ressort ainsi de l'analyse du rapport de Bromium que globalement, plus d'un tiers des professionnels de la sécurité de l'information ont affirmé avoir au moins une fois ignoré la politique de sécurité de leur entreprise, cela en contournant les contrôles de sécurité mis en place. « Au total, 35 % des spécialistes en matière de sécurité informatique ont reconnu qu'ils désactivaient ou ignoraient les paramètres de sécurité au cours de leur travail, cela lorsque le besoin est là », déclare Bromium.

« Nous entendons souvent des personnes dire qu'elles sont frustrées par l'ensemble des règles ou contraintes de sécurité mises en oeuvre au sein des entreprises dans lesquelles elles travaillent. Cela parce que ces dernières les empêchent d'exercer leur rôle aussi efficacement que possible », aurait déclaré Fraser Kyne, le responsable technique de Bromium dans la zone EMEA (pour désigner l'Europe, le Moyen-Orient (Middle East) et l'Afrique). En effet, pour ces personnes qui ont eu à contourner les règles, trop de sécurité constitue un problème, car cela contribue à ralentir la productivité des travailleurs.

Selon certaines sources, Fraser Kyne a même soutenu que les équipes de sécurité devraient donner le bon exemple. « Même ceux qui sont les plus conscients des risques liés à la sécurité vont contourner les procédures et règles existantes si cela les aide à faire leur travail plus efficacement », aurait-il déclaré.

Face à cette situation, certains spécialistes estiment qu'il serait plus pratique de lutter contre les intrusions, plutôt que d'essayer de contrôler le comportement des utilisateurs avec des codes de conduite stricts. Selon ces spécialistes, les organisations, plutôt que de mettre en place un tas d'arrêts et de contrôles qui font obstacle aux employés notamment en impactant sur leur capacité à travailler efficacement, devraient chercher à donner à ces derniers la liberté de travailler efficacement sans se soucier des menaces liées à la sécurité.

Dans ledit rapport, Bromium ajoute également que près de 10 % des professionnels interrogés ont soutenu avoir déjà payé une rançon aux auteurs de ransomwares, ou avoir caché une brèche, et tout cela sans en informer qui que ce soit ; donc une opération effectuée en cachette.

Simon Crosby, cofondateur et CTO de Bromium, déclare dans le rapport que les professionnels de la sécurité s'efforcent de protéger leurs entreprises, toutefois, apprendre que leurs décisions ne protègent pas l'entreprise est franchement choquant.

Source : blog Bromium

Et vous ?

Que pensez-vous des conclusions de l'étude de Bromium ?

[NSKis]

N'est-ce pas un peu court de conclure que "35 % des professionnels de la sécurité reconnaissent avoir contourné la politique de sécurité" après avoir interrogé que 210 mecs et en conclure que cela fait une statistique applicable aux spécialistes du monde entier???

[BufferBob]

35 % des professionnels de la sécurité reconnaissent avoir contourné la politique de sécurité de leur entreprise

les 65% restants manquent d'honnêteté ou ignorent carrément qu'ils l'ont fait

[4sStylZ]

Je pense que ce genre d’étude est vue et revue et ne m’apprend rien.
Le shadow-IT et précisement le contournement de solution sécuritaire dans un objectif d’efficience existe surement depuis l’invention des cadenas ou des portes.

[champsy_dev]

Avec un peu de recul ... L'argument mis en avant pour s'autoriser a contourner les procédure de sécurité est .... Roulement de tambour ... La productivité le problème n'est clairement pas les règles de sécurité qui sont déjà tellement faible qu'un malheureux ransonware est capable de mettre a l'arrêt complet des grandes entreprises mais bel et bien la charge se travail et la compétition entre employé. Encore une fois ce système ce mort la queue vivement qu'il s'étouffe avec. J'attends avec joie le jour ou on virera les quelques expert en sécurité qu'il reste dans les staff info des boîtes qui ne font pas de l'info,ou pire celui ou l'on sous traitera cette sécurité a une boite tiers en qui bien sur on peut avoir une confiance totale. Informatisons tous et sacrifions toute la sécurité au nom du productivisme avec un peu de chance tout finiras par Peter ( au sens propre)

[Maxy35]

Qui peut prétendre offrir une sécurité complète (à part les marqueteux) ?

A part les offres mirifiques des suites de sécurité, celle-ci est forcément très relative.

[Modyun]

banalité : "Trop de sécurité tue la sécurité !"

Dans une société industrielle où le grand sport est de faire faire son travail par les autres il n'est pas étonnant de voir les "services informatiques" imposer des contraintes d'utilisation des systèmes informatiques ( réseaux compris) plutôt que de réellement protéger les utilisateurs et leur entreprise (ce qui démontrerait clairement leur incompétence). Et il ne faut surtout pas croire que ce sont les plus petites entreprises qui sont touchées ! Les plus grosses ne font que grossir les problèmes des plus petites.

Par ailleurs, si les utilisateurs concourent entre eux pour contourner les règles édictées par des incompétents, ne croyez pas que ce soit pour "augmenter la productivité" : c'est bien plutôt pour palier aux usages en cours dans ces grandes sociétés de demander de plus en plus de productivité tout en s'efforçant de mettre des bâtons dans les roues des employés qui se cassent le cul à tenter de mettre un peu de cœur à l'ouvrage et de réaliser honnêtement leur job.

Et ce n'est pas leur seul domaine de dissonance cognitive à laquelle il faut faire face dans l'industrie !

Ce qui se traduit immanquablement à la démotivation ... même des plus jeunes !

Qui, ici, travaillant dans une grande entreprise ( particulièrement rattachée à l'état au travers des diverses "maisons mères" ) me contredira ?