Discussion :

[Stan Adkens]

L'homme demeure le maillon le plus faible de la sécurité de l'information
Selon un nouveau rapport sur la protection des données aux Etats-Unis

Dans un monde qui se connecte davantage, les entreprises engrangent de plus en plus de données qu’elles stockent sur des bases informatiques en les rendant accessibles par le personnel et certains partenaires. La protection de ces données est donc un enjeu majeur dans la relation de confiance que souhaite construire l’entreprise avec ses employés, ses clients et ses fournisseurs dans un environnement où les exigences en matière de protection des données et les meilleures pratiques continuent d'évoluer. C’est par ailleurs ces meilleures pratiques en matière de protection des données que le service de sécurité de l'information Shred-It cherche à déterminer chaque année parmi les propriétaires de petites entreprises (SBO), les cadres supérieurs des grandes entreprises et le grand public, à travers les Etats-Unis pour aider les Américains à atteindre leurs objectifs dans ce paysage changeant de la protection d’informations.

L’enquête annuelle sur l'état de la protection des données 2019 de Shred-It a porté sur 100 cadres supérieurs, 1000 propriétaires de petites entreprises et 2000 personnes du grand public à travers les États-Unis. L’objectif étant de découvrir et de quantifier les risques et les opportunités auxquels font face les entreprises et les consommateurs américains, y compris les avantages et les inconvénients d'une mauvaise manipulation des données et/ou d'une violation.

Selon un nouveau rapport sur la protection des données Shred-It, plus de la moitié (53 %) de tous les cadres supérieurs interrogés et 28 % des propriétaires de petites entreprises qui ont déjà subi une atteinte à la protection des données affirment que l'erreur humaine ou la perte accidentelle par un distributeur ou un fournisseur externe en est la cause. Le rapport révèle également que 21 % des cadres supérieurs et 28 % des propriétaires de petites entreprises admettent que le vol délibéré ou le sabotage par un employé ou un membre de la direction a été la cause de la violation de données. Ann Nickolas, vice-présidente senior chez Stericycle, le fournisseur de solutions de sécurité de l'information Shred-It, a déclaré à ce propos :

« Pour la deuxième année consécutive, la négligence des employés et la collaboration avec des fournisseurs externes continuent de menacer la sécurité de l'information des entreprises américaines ». « Cependant, cette année, le rapport a révélé à quel point le sabotage délibéré par les employés et les partenaires externes est un risque bien réel auquel les organisations sont confrontées aujourd'hui », a-t-elle ajouté.

Le nouveau rapport constate également que les règles de sécurité sont en hausse, mais que leur pratique dans les entreprises est en baisse. En effet, 43 % des cadres supérieurs et 31 % des SBO affirment que le vol délibéré ou le sabotage d'un distributeur ou d'un fournisseur externe a causé une violation des droits de leur organisation.

En outre, alors que 98 % des cadres supérieurs et 88 % des propriétaires de petites entreprises ont indiqué qu'ils comprenaient bien les exigences légales, seulement 73 % de ces cadres supérieurs ont admis qu'ils respectent strictement les règles connues et comprises en matière de stockage et d'élimination des documents papier confidentiels, et 69 % de cette même catégorie confirment qu'ils respectent les politiques relatives aux appareils électroniques en fin de vie. 57 % des SBO interrogés admettent le strict respect des règles de protection de données pour les documents papier et 42 % seulement de cette même catégorie confirment le respect des mesures relatives aux dispositifs électroniques en fin de vie.

Bien que des atteintes à la protection des données aient couramment pour conséquences des dommages juridiques, financiers et une atteinte à la réputation de l’entreprise victime, le rapport sur la protection des données Shred-It a révélé un autre impact que pourraient avoir ces violations de données. Selon le rapport, « les atteintes à la protection des données peuvent également affecter la rétention des employés ». En effet, l’enquête 2019 de Shred-It a constaté que l'un des facteurs les plus importants est qu'une atteinte a un effet immédiat sur la confiance des employés dans une organisation.

En fait, 33 % du personnel des entreprises américaines affirme qu'ils chercheraient probablement un nouvel emploi si leur employeur subissait une violation des données des clients (31 %) ou des employés (35 %). Tandis que près de la moitié des consommateurs, 47 % des répondants, attendraient de voir comment une entreprise réagit à une atteinte à la protection des données avant de décider quoi faire, 23 % cesseraient de faire affaire avec l'entreprise et 31 % en parleraient aux autres de la violation de données.

L’enquête s’est aussi intéressée à la proportion des atteintes à la protection des données signalées aux Etats-Unis. Selon le rapport, le nombre d'atteintes à la protection des données signalées aux États-Unis a doublé au cours de la dernière année : ainsi cette année, selon le rapport Shred-It, 43 % des cadres supérieurs ont confirmé une atteinte à la protection des données comparativement à 32 % en 2018, 8 % des petites entreprises ont signalé une atteinte comparativement à 3 % en 2018.

Mais malgré cette hausse de la proportion des atteintes à la protection des données signalées, 55 % des cadres supérieurs répondants ont affirmé à Shred-It que ces atteintes ne constituent pas un problème majeur exagéré. Bien au contraire, 79 % des propriétaires de petites entreprises pensent qu'une infraction est un problème sérieux pour toute organisation et 86 % des consommateurs américains sont d'accord avec eux.

Selon le rapport, cette divergence de point de vue sur la gravité des atteintes à la protection des données entre les cadres supérieurs et les consommateurs est inquiétante à un moment où la protection des données personnelles est devenue une exigence pour toutes les tailles d’entreprises. Par ailleurs, les études qui mettent l’accent sur les dangers internes à l’entreprise se multiplient ces dernières années.

En effet, le rapport de BetterCloud, spécialiste de la gestion des opérations SaaS, publié en mars dernier, 91 % des professionnels de l'informatique et de la sécurité se sentent vulnérables aux menaces internes et 75 % estiment que les risques les plus importants résident dans les applications cloud telles que les solutions de stockage de fichiers et de courrier électronique telles que Google Drive, Gmail et Dropbox. Le rapport indique également que 62 % des personnes interrogées pensent que la plus grande menace pour la sécurité provient de l'utilisateur final bien intentionné, mais négligent.

Un autre rapport publié en février dernier par Dtex Systems, le spécialiste des menaces internes, a analysé les informations des terminaux utilisés en milieu professionnel, mais aussi plus de 300 000 comptes d’employés et de sous-traitants. Et il s’est avéré aussi que les employés négligents ont été la cause principale des menaces internes.

Source : Shred-It

Et vous ?

Quel commentaire faites-vous de ce rapport ?
Selon vous, l’homme reste-t-il le maillon le plus faible de la sécurité de l'information ?

Lire aussi

Les employés et les sous-traitants exposent les informations en ligne dans 98% des organisations, selon un rapport
Les menaces internes posent les plus grands risques de sécurité dans une entreprise, selon un sondage qui met l'accent sur les employés négligents
La plupart des entreprises n'investissent pas suffisamment dans la sécurité des applications, jusqu'à ce que survienne une attaque informatique
BYOD : 85 % des entreprises autorisent l'accès à leurs données sur des appareils personnels, mais, craignent pour la sécurité et la confidentialité

[TheLastShot]

Un "nouveau" rapport qui nous dit ce qu'on sait déjà et qui a déjà été montré de nombreuses fois, fort intéressant comme information.

[Songbird]

Un "nouveau" rapport qui nous dit ce qu'on sait déjà et qui a déjà été montré de nombreuses fois, fort intéressant comme information.

C'est le principe de la recherche.

[TheLastShot]

C'est le principe de la recherche.

Le principe de la recherche c'est la publication dans les revues scientifique, pour une revue par les pairs, et une confrontations des résultats....
Jusqu'à preuve du contraire, développez.com n'est pas une revenue scientifique et nous ne sommes pas les pairs de ces chercheurs. Le principe de la recherche voudrait que le reste de la population soit informer une fois que ce processus a été fait et qu'il y a consensus.
Donc non ce n'est pas "le principe de la recherche", c'est le principe médiatique de "j'ai une info, il faut que je la publie le plus vite possible avant que quelqu'un d'autre de le fasse" (ce que font beaucoup (trop) de médias)

[Neckara]

C'est le principe de la recherche.

Je ne savais pas que Shred-it (entreprise vendant des solutions pour détruire des documents confidentiels) était un journal scientifique.

[Mingolito]

Jusqu'à preuve du contraire, développez.com n'est pas une revenue scientifique et nous ne sommes pas les pairs de ces chercheurs.

Quand un sujet informatique pro est commenté par des professionnels IT ce qui est le cas sur certains sujet sur ce forum dans un sens si, ça reviens exactement à ça à savoir par l'expérience confirmer ou infirmer une hypothèse.
La ici c'est pas le cas puisque c'est parti sur des banalités sans intérêts voir des commérages hors sujet au lieu de traiter du fonds du sujet, bref comment troller pour rendre un débat inintéressant et idiot.

Pour ma part je pense que d'un point de vue des directions DI/DSI et sécurité cette question est d'une importance capitale, d'une part certains essaient de mettre en place des solutions de sécurités prétendument inviolables, mais en fait tout cela est vain puisque dans une entreprise le personnel se comporte toujours de façon aussi débile vis à vie des problèmes de sécurité.

Donc les Directions informatique ou cybersécurité sont elles toujours aussi incompétentes à former les utilisateurs ? Problème de sous effectif ? de formation ? de prise de conscience ? ou simple négligence ou incompétence ?

Et puis il est clair que même les développeurs, censés être des professionnels, sont très mal formés à la cybersécurité, exemples flagrants : Nombreux sont les développeurs d'applications sur iOS qui prennent des raccourcis en matière de sécurité, Certains développeurs freelances et étudiants en IT ne sécurisent pas les mots de passe au stockage à moins d'y être invités, etc...

Après que peu on attendre des développeurs ? Si on crois qu'on peu former un développeur web full stack en 3 mois, alors qu'il à même pas le Bac, on risque pas de pouvoir le former aussi à la cybersécurité, donc on met sur le marché quoi : une faille de sécurité sur pattes : Coding Bootcamp : on leur a promis un job de développeur, mais c'était une arnaque.

Mais il y a pire, en fait même s'ils le voulaient les directions informatique ou cybersécurité en réalité ne peuvent le plus souvent pas faire leur boulot, voila pourquoi : 94 % des DSI et RSSI ont déjà renoncé à une mise à jour de sécurité pour ne pas gêner l'activité commerciale de l'entreprise + Sécurité : 72 % des professionnels de la cybersécurité envisagent de quitter la profession faute de ressources.

[Doksuri]

faudrait mettre a jour l'article :

L'homme demeure et demeurera le maillon le plus faible de la sécurité de l'information

[Neckara]

Quand un sujet informatique pro est commenté par des professionnels IT ce qui est le cas sur certains sujet sur ce forum dans un sens si, ça reviens exactement à ça à savoir par l'expérience confirmer ou infirmer une hypothèse.
La ici c'est pas le cas puisque c'est parti sur des banalités sans intérêts voir des commérages hors sujet au lieu de traiter du fonds du sujet, bref comment troller pour rendre un débat inintéressant et idiot.

C'est surtout que ce débat commence par "L'eau ça mouille, selon un nouveau rapport".

Le reste, comme une grande partie des actualités maintenant, est constitués de pavés illisibles. Les points principaux ne sont pas du tout mis en avant :

• sabotages de la part de distributeurs/fournisseurs.
• problème de non-destruction des données (ça tombe bien, c'est le cœur de métier de Shred-It).

[marsupial]

Deux points me viennent à l'esprit :
- même bien intentionné et sensibilisé, il y aura toujours un employé pour se faire prendre au phishing
- même bien intentionné et formé, il y aura toujours un employé qui outrepassera les règles de sécurité en se disant ce n'est pas pour moi (exemple du contractuel de la NSA ramenant des outils chez lui et se les fait aspirer par Kaspersky)

De ce constat,le RSSI doit être un grand paranoïaque patenté pour ne pas servir de bouc émissaire lors d'une fuite ou attaque. Donc cette étude doit être mise en comparaison avec celle mettant en relief que la grande majorité des ingénieurs en sécurité veulent quitter leur travail et abandonner leur carrière; et celle montrant une grande majorité des RSSI abandonnant contre leur gré l'idée de patcher le parc pour ne pas gêner la production.

A l'heure où le marché du travail de la sécurité est tendu, je pense que la situation devient grave. Aux décideurs de prendre leurs responsabilités.

[TheLastShot]

Quand un sujet informatique pro est commenté par des professionnels IT ce qui est le cas sur certains sujet sur ce forum dans un sens si, ça reviens exactement à ça à savoir par l'expérience confirmer ou infirmer une hypothèse.

Le problème c'est que contrairement à une revenue scientifique (ce que n'est toujours pas developpez.com, n'en déplaise à tous ceux qui m'ont mis un pouce rouge parce que soit ils ne savent pas ce qu'est la méthode scientifique, soit ça les as piqué au vif de se l'entendre dire), il n'y a pas de pairs qui vont faire leurs propres recherches et confronter leurs résultats. Il y a, comme tu l'as des, des professionnels (et pas que) qui vont commenter, donner un avis, peut-être une anecdote.... Mais on est loin d'un expérience avec un protocole clair et déterminé destiné à confirmer ou infirmer l'hypothèse.

[Mingolito]

Oui enfin en même temps le plus gros des études sont bidonnées parce que financées par le secteur privé pour faire valoir leur propres intérêt ("Le glyphosate c'est bon mangez en !"), que le système de "review par les pair" ne fonctionne plus la plupart du temps sur les revues scientifiques et que pire encore ces revues publient n'importe quoi y compris les plus gros fakes imaginable, des journalistes ont fait publier des articles débiles et c'est passé comme une lettre à la poste, ça à fait scandale, et plus c'est gros plus ça passe.

Donc d'avoir en commentaire les témoignages des professionnels oui en comparaison ça a bien une valeur, peut être pas sur ce sujet précis ici mais sur certains autres sujets cela m'a semblé intéressant, surtout qu'ici on peu tracer l'historique des commentateurs, on peu arriver à savoir plus facilement qui est crédible (profil ancien avec beaucoup de participations utiles) et qui est un publicitaire ou un troll (nouveau profil avec aucun autre commentaires ou avec des commentaires idiots pour faire du vent), alors que c'est plus difficile sur un forum avec des commentaires anonymes ou quand le forum ne permet pas de consulter l'historique.

[Neckara]

Oui enfin en même temps le plus gros des études sont bidonnées parce que financées par le secteur privé pour faire valoir leur propres intérêt ("Le glyphosate c'est bon mangez en !")

Non, les études bidonnées sont très très rares. Les études retirées (et pas uniquement bidonnées) ne sont même pas d'une pour 2 000.

, que le système de "review par les pair" ne fonctionne plus la plupart du temps plus sur les revues scientifiques et que pire encore ces revues publient n'importe quoi y compris les plus gros fakes imaginable, des journalistes ont fait publier des articles débiles et c'est passé comme une lettre à la poste, ça à fait scandale, et plus c'est gros plus ça passe.

Attention à ne pas tout confondre.

Il y a revues et revues. Notamment les revues prédatrices n'ont aucune valeur. Les revues Q1 ou Q2 en revanche sont bien plus sérieuses.
Après, il faut aussi se rappeler que les sociologues ne font, de leur propre aveux, pas de la Science…

[TheLastShot]

Oui enfin en même temps le plus gros des études sont bidonnées parce que financées par le secteur privé pour faire valoir leur propres intérêt ("Le glyphosate c'est bon mangez en !")

Oh oui un complotiste !
Les entreprises font des études sur leurs produits ? Bah encore heureux ! C'est la moindre des choses qu'ils se posent la question de si leur produit peut causer des dommages.
De plus, même en dehors du privé tu peux avoir des études bidonnées parce que tu as aussi des détracteurs qui ont un parti pris et sont soumis à tous les biais que ça implique (et je parle même pas de la malhonnêteté de certains #AndrewWakefield)
Et tu veut savoir le mieux ? Dans le bio, il y en a qui utilisent des pesticides naturels (car oui bio ça veut dire "pas de pesticide de synthèse", mais les pesticides "naturels" eux sont autorisés) qui sont parfois pire que les pesticides de synthèse.
Alors met de côté de ton complotisme de base alimenté par tes biais de confirmation, et renseigne toi réellement avec de dire ce genre de chose, car tes affirmations du genre "le plus gros des études sont bidonnées" c'est juste ton avis, et si t'as des preuves réelles de ce que tu avance, je t'en pris, donne-nous tes sources, tu vas surement révolutionner le monde de la science. (Et si tes sources ce sont de vagues médias indépendants, dis-toi qu'ils ne valent pas forcément mieux que les journalistes que tu attaques par la suite (sinon faut qu'on commence tous à croire que la terre est plate, creuse, dirigé par des reptiliens illuminatis, etc.))

que le système de "review par les pair" ne fonctionne plus

Ah bon ? Et t'as décidé ça tout seul ?

pire encore ces revues publient n'importe quoi y compris les plus gros fakes imaginable

Qu'il y ait des erreurs de publication (#AndrewWakefield encore une fois) ça peut arriver, aucun système n'est parfait. Mais en faire une généralité là je te demande des preuves, parce que là tu me sors ça de nul part.

des journalistes ont fait publier des articles débiles et c'est passé comme une lettre à la poste, ça à fait scandale, et plus c'est gros plus ça passe.

Oui, je n'ai jamais dit le contraire... Sauf que dans la méthode scientifique il s'agit de revues scientifiques, pas du figaro ou du parisien, donc point de journaliste dans l'affaire.
Les journalistes eux ils interviennent après la publication dans les revues scientifiques et oui là ça pose problème, mais ce n'est pas la méthode scientifique qui est en tord, ce sont les média.

Donc d'avoir en commentaire les témoignages des professionnels oui en comparaison ça a bien une valeur, peut être pas sur ce sujet précis ici mais sur certains autres sujets cela m'a semblé intéressant, surtout qu'ici on peu tracer l'historique des commentateurs, on peu arriver à savoir plus facilement qui est crédible (profil ancien avec beaucoup de participations utiles) et qui est un publicitaire ou un troll (nouveau profil avec aucun autre commentaires ou avec des commentaires idiots pour faire du vent), alors que c'est plus difficile sur un forum avec des commentaires anonymes ou quand le forum ne permet pas de consulter l'historique.

Sauf que ça c'est totalement subjectif. Parce que pour des mêmes propos, aux yeux de ceux certains qui seront d'accord tu passeras pour un "professionnel", pour certains autres qui ne le seront pas tu passeras pour un "troll".
(Genre par rapport à ce que j'ai dit sur le Glyphosate je suis prête à parier qu'il y en a qui vont penser que je suis une "troll payée par Mosanto")

[sergio_is_back]

« Pour la deuxième année consécutive, la négligence des employés et la collaboration avec des fournisseurs externes continuent de menacer la sécurité de l'information des entreprises américaines ». « Cependant, cette année, le rapport a révélé à quel point le sabotage délibéré par les employés et les partenaires externes est un risque bien réel auquel les organisations sont confrontées aujourd'hui »

Pas besoin de solutions de sécurité couteuses et inefficaces la plupart du temps alors. La solution c'est de virer tous les employés !!! Et de se passer de fournisseurs externes et de partenaires !!!

Vu que le problème est bien identifié, c'est facile de résoudre !
Allez je vous laisse, faut que j'aille préparer le mailing de licenciement pour mes sous-fifres !
Ha, oui.... Et aussi que j'appelle tous mes fournisseurs pour leur dire d'aller se faire voir !!!

Je vous donnerai des nouvelles sur le niveau de sécurité de ma boite après ça....