Discussion :

[Bill Fassinou]

94 % des DSI et RSSI ont déjà renoncé à une mise à jour de sécurité pour ne pas gêner l’activité commerciale de l’entreprise,
selon un rapport

Avec l’accroissement du volume de données en entreprise, la protection de données est devenue un enjeu capital pour les RSSI (responsables de la sécurité des systèmes d’informations) et en particulier pour la bonne organisation d’une l’entreprise. De plus, plus le volume des données stockées et traitées au niveau des entreprises augmente et plus les risques liés à la violation de données augmentent. Ainsi, lorsque cela arrive (la violation de données), à qui doit-on attribuer la faute ? Certains parmi les RSSI l'attribuent aux employés, mais un rapport publié dernièrement par Tanium indique que cette faute peut également revenir aux RSSI des entreprises.

Selon un rapport publié en fin du mois dernier par Opinion Matters, un cabinet de recherche indépendant, environ 61 % des RSSI concernés par l’étude ont accusé les employés d’être, dans la plupart des cas, à l’origine des violations de données en entreprise. Ces RSSI estiment en effet que les employés divulguent accidentellement des données de leurs entreprises. L’étude a montré qu'il existe un décalage entre les responsables informatiques et les employés quant à la manière dont chaque groupe considère les données sensibles. D’après l’analyse du cabinet de recherche, cet écart de perception associé à la croissance rapide des données non structurées et à la multiplication des moyens utilisés par les employés pour les partager peut avoir un impact négatif sur la politique de sécurité d’une entreprise.

En explorant le rapport, les conclusions indiquent que 95 % des responsables informatiques sont conscients du fait que les menaces internes constituent une préoccupation pour leur organisation. On lit également que 79 % d’entre eux pensent que les employés ont mis accidentellement en péril les données sensibles de l'entreprise au cours des 12 derniers mois. Seulement, les employés ne semblent pas voir la chose de la même manière que leurs responsables. Ils semblent ne pas du tout être conscients de la situation. Les résultats montrent une déconnexion significative entre les perspectives des responsables informatiques et des employés concernant les violations de données par les employés. Néanmoins, les employés qui ont reconnu avoir accidentellement partagé des données, près de la moitié (48 %) ont indiqué qu’ils s’étaient précipités, 30 % accusaient un environnement de travail très stressant et 29 % affirmant que c’était arrivé parce qu’ils étaient fatigués.

Cela dit, un rapport établi par Tanium, une société privée de gestion de systèmes de sécurité et de systèmes d'extrémité basée à Emeryville, en Californie, semble rejeter la faute sur les RSSI ou encore les DSI (directeur des systèmes d’informations). « Un manque de visibilité et de contrôle sur les ordinateurs d'extrémité (ordinateurs portables, serveurs, machines virtuelles, conteneurs ou infrastructure cloud) n'empêche pas uniquement les directeurs informatiques et les gestionnaires de systèmes de sécurité de prendre des décisions en toute confiance, il laisse également les entreprises ouvertes à la perturbation », est une conclusion tirée par Tanium. Ce manque de visibilité sur les terminaux empêche aussi les entreprises de fonctionner efficacement et de rester résilientes contre les perturbations.

Pour comprendre exactement comment les entreprises gèrent les perturbations technologiques, Tanium a commandé une étude en deux phases. La première enquête a interrogé plus de 4000 décideurs économiques aux États-Unis, au Royaume-Uni, en Allemagne, en France et au Japon, afin de comprendre les obstacles à la résilience face aux perturbations. La seconde analyse les compromis en matière de sécurité informatique et d’exploitation auxquels plus de 500 DSI et RSSI sont confrontés pour protéger leurs activités contre un nombre croissant de cybermenaces et d’autres perturbations. D’après ce que rapporte Tanium, les deux phases de l’étude montrent clairement qu’une nouvelle approche est nécessaire pour assurer la visibilité et le contrôle des technologies de l’information.

Ce rapport indique à son tour que 94 % des DSI et des RSSI concernés par l’étude admettent qu'ils ont fait des compromis pour bien protéger leur entreprise contre les cybermenaces, les pannes et autres formes de perturbation. Ainsi, 81 % des DSI et des RSSI se sont abstenus d'effectuer une mise à jour ou un correctif de sécurité important, parfois plus d'une fois, en raison d'inquiétudes quant à leur impact sur les opérations commerciales de l’entreprise. On note aussi que 80 % d’entre eux ont constaté qu'une mise à jour ou un correctif essentiel qu'ils pensaient avoir déployé n'avait pas mis à jour tous les périphériques comme prévu. D’autres par contre semblent ne pas reconnaître cet état de choses. Ils sont ainsi environ 32 % parmi les répondants à avoir déclaré que les ministères et les chefs d’entreprise travaillent en silos, leur laissant un manque de visibilité et de contrôle sur les opérations informatiques.

La lecture de ce rapport montre que les DSI et les RSSI font usage de compromis quelque peu dangereux pour la sécurité des données de l’entreprise. Il montre également un autre aspect de la violation de données en entreprise que d’autres rapports n’ont pas forcément souligné, celui du rôle joué par les RSSI et les DSI. Cependant, demeure-t-il toujours un principal acteur de la violation de données entre les employés et responsables des systèmes d’informations ? Enfin, autre part sur Internet, certains associent cette peur des DSI et RSSI face aux mises à jour qui pourraient endommager les activités de l’entreprise aux problèmes de rétrocompatibilité que pose souvent une grande partie des applications ou logiciels utilisés en entreprise.

Source : Tanium

Et vous ?

Que pensez-vous des résultats de ce rapport ?
Êtes-vous un RSSI ou DSI, comment gérez-vous la sécurité des données dans votre entreprise ?

Voir aussi

61 % des RSSI estiment que les employés divulguent accidentellement des données de leurs entreprises selon une enquête

Gartner : les dépenses en sécurité vont dépasser 124 milliards de $ en 2019 à cause des risques de sécurité et les changements en industrie

Les clés de sécurité physiques, une solution efficace contre les attaques d'hameçonnage ? Oui, d'après le retour d'expérience de Google

L'équipe sécurité Drupal annonce la fin du support officiel de la version 7 du CMS open source pour novembre 2021

Les conteneurs du DevOps présentent-ils des risques pour la sécurité de vos données ? Oui, selon une étude

[sebastiano]

Les DSI ne prennent pas toujours les bonnes décisions (comme absolument tout le monde dans le monde du travail), mais il faut se mettre à leur place.

S'ils mettent à jour le système et que ça fait péter/réclame une adaptation de la part des secteurs commerciaux et marketing, voilà le scud qu'il va prendre dans la tronche. Et entre les mecs qui signent des contrat et ceux qui dirigent l'informatique, je vous laisse deviner qui aura le plus de crédit face au big boss (malheureusement).

S'ils ne mettent rien à jour par crainte de piéger l'activité commerciale, ils se prennent aussi un scud pour pas faire leur boulot.

Avoir le cul entre 2 chaises n'est pas facile.

[gangsoleil]

Bonjour,

L’étude a montré qu'il existe un décalage entre les responsables informatiques et les employés quant à la manière dont chaque groupe considère les données sensibles.

Oui, chacun voit midi à sa porte, mais c'est aux responsables de mener les formations pour que tout le monde comprenne ce qu'est une donnée sensible et pourquoi. Si ces formations ont lieu, alors le décalage n'existera plus.

94 % des DSI et des RSSI concernés par l’étude admettent qu'ils ont fait des compromis pour bien protéger leur entreprise contre les cybermenaces, les pannes et autres formes de perturbation.

Le compromis est la base de ce boulot : on peut avoir une sécurité infinie, à un coût infini, et cela empêchera probablement tout le monde (ou presque) de travailler. C'est inquiétant que les DSI/RSSI ne sachent pas ça.

Ainsi, 81 % des DSI et des RSSI se sont abstenus d'effectuer une mise à jour ou un correctif de sécurité important, parfois plus d'une fois, en raison d'inquiétudes quant à leur impact sur les opérations commerciales de l’entreprise.

Oui, c'est pour ça qu'on fait des études de risque, et qu'on ne déploie pas immédiatement en prod qui impacte tout le monde, mais qu'on fait des essais. Encore une fois, cela fait partie de leur travail que de savoir ça, et d'organiser les mises à jour en conséquences.