L'homme demeure le maillon le plus faible de la sécurité de l'information
Selon un nouveau rapport sur la protection des données aux Etats-Unis
Dans un monde qui se connecte davantage, les entreprises engrangent de plus en plus de données qu’elles stockent sur des bases informatiques en les rendant accessibles par le personnel et certains partenaires. La protection de ces données est donc un enjeu majeur dans la relation de confiance que souhaite construire l’entreprise avec ses employés, ses clients et ses fournisseurs dans un environnement où les exigences en matière de protection des données et les meilleures pratiques continuent d'évoluer. C’est par ailleurs ces meilleures pratiques en matière de protection des données que le service de sécurité de l'information Shred-It cherche à déterminer chaque année parmi les propriétaires de petites entreprises (SBO), les cadres supérieurs des grandes entreprises et le grand public, à travers les Etats-Unis pour aider les Américains à atteindre leurs objectifs dans ce paysage changeant de la protection d’informations.
L’enquête annuelle sur l'état de la protection des données 2019 de Shred-It a porté sur 100 cadres supérieurs, 1000 propriétaires de petites entreprises et 2000 personnes du grand public à travers les États-Unis. L’objectif étant de découvrir et de quantifier les risques et les opportunités auxquels font face les entreprises et les consommateurs américains, y compris les avantages et les inconvénients d'une mauvaise manipulation des données et/ou d'une violation.
Selon un nouveau rapport sur la protection des données Shred-It, plus de la moitié (53 %) de tous les cadres supérieurs interrogés et 28 % des propriétaires de petites entreprises qui ont déjà subi une atteinte à la protection des données affirment que l'erreur humaine ou la perte accidentelle par un distributeur ou un fournisseur externe en est la cause. Le rapport révèle également que 21 % des cadres supérieurs et 28 % des propriétaires de petites entreprises admettent que le vol délibéré ou le sabotage par un employé ou un membre de la direction a été la cause de la violation de données. Ann Nickolas, vice-présidente senior chez Stericycle, le fournisseur de solutions de sécurité de l'information Shred-It, a déclaré à ce propos :
« Pour la deuxième année consécutive, la négligence des employés et la collaboration avec des fournisseurs externes continuent de menacer la sécurité de l'information des entreprises américaines ». « Cependant, cette année, le rapport a révélé à quel point le sabotage délibéré par les employés et les partenaires externes est un risque bien réel auquel les organisations sont confrontées aujourd'hui », a-t-elle ajouté.
Le nouveau rapport constate également que les règles de sécurité sont en hausse, mais que leur pratique dans les entreprises est en baisse. En effet, 43 % des cadres supérieurs et 31 % des SBO affirment que le vol délibéré ou le sabotage d'un distributeur ou d'un fournisseur externe a causé une violation des droits de leur organisation.
En outre, alors que 98 % des cadres supérieurs et 88 % des propriétaires de petites entreprises ont indiqué qu'ils comprenaient bien les exigences légales, seulement 73 % de ces cadres supérieurs ont admis qu'ils respectent strictement les règles connues et comprises en matière de stockage et d'élimination des documents papier confidentiels, et 69 % de cette même catégorie confirment qu'ils respectent les politiques relatives aux appareils électroniques en fin de vie. 57 % des SBO interrogés admettent le strict respect des règles de protection de données pour les documents papier et 42 % seulement de cette même catégorie confirment le respect des mesures relatives aux dispositifs électroniques en fin de vie.
Bien que des atteintes à la protection des données aient couramment pour conséquences des dommages juridiques, financiers et une atteinte à la réputation de l’entreprise victime, le rapport sur la protection des données Shred-It a révélé un autre impact que pourraient avoir ces violations de données. Selon le rapport, « les atteintes à la protection des données peuvent également affecter la rétention des employés ». En effet, l’enquête 2019 de Shred-It a constaté que l'un des facteurs les plus importants est qu'une atteinte a un effet immédiat sur la confiance des employés dans une organisation.
En fait, 33 % du personnel des entreprises américaines affirme qu'ils chercheraient probablement un nouvel emploi si leur employeur subissait une violation des données des clients (31 %) ou des employés (35 %). Tandis que près de la moitié des consommateurs, 47 % des répondants, attendraient de voir comment une entreprise réagit à une atteinte à la protection des données avant de décider quoi faire, 23 % cesseraient de faire affaire avec l'entreprise et 31 % en parleraient aux autres de la violation de données.
L’enquête s’est aussi intéressée à la proportion des atteintes à la protection des données signalées aux Etats-Unis. Selon le rapport, le nombre d'atteintes à la protection des données signalées aux États-Unis a doublé au cours de la dernière année : ainsi cette année, selon le rapport Shred-It, 43 % des cadres supérieurs ont confirmé une atteinte à la protection des données comparativement à 32 % en 2018, 8 % des petites entreprises ont signalé une atteinte comparativement à 3 % en 2018.
Mais malgré cette hausse de la proportion des atteintes à la protection des données signalées, 55 % des cadres supérieurs répondants ont affirmé à Shred-It que ces atteintes ne constituent pas un problème majeur exagéré. Bien au contraire, 79 % des propriétaires de petites entreprises pensent qu'une infraction est un problème sérieux pour toute organisation et 86 % des consommateurs américains sont d'accord avec eux.
Selon le rapport, cette divergence de point de vue sur la gravité des atteintes à la protection des données entre les cadres supérieurs et les consommateurs est inquiétante à un moment où la protection des données personnelles est devenue une exigence pour toutes les tailles d’entreprises. Par ailleurs, les études qui mettent l’accent sur les dangers internes à l’entreprise se multiplient ces dernières années.
En effet, le rapport de BetterCloud, spécialiste de la gestion des opérations SaaS, publié en mars dernier, 91 % des professionnels de l'informatique et de la sécurité se sentent vulnérables aux menaces internes et 75 % estiment que les risques les plus importants résident dans les applications cloud telles que les solutions de stockage de fichiers et de courrier électronique telles que Google Drive, Gmail et Dropbox. Le rapport indique également que 62 % des personnes interrogées pensent que la plus grande menace pour la sécurité provient de l'utilisateur final bien intentionné, mais négligent.
Un autre rapport publié en février dernier par Dtex Systems, le spécialiste des menaces internes, a analysé les informations des terminaux utilisés en milieu professionnel, mais aussi plus de 300 000 comptes d’employés et de sous-traitants. Et il s’est avéré aussi que les employés négligents ont été la cause principale des menaces internes.
Source : Shred-It
Et vous ?
Quel commentaire faites-vous de ce rapport ?
Selon vous, l’homme reste-t-il le maillon le plus faible de la sécurité de l'information ?
Lire aussi
Les employés et les sous-traitants exposent les informations en ligne dans 98% des organisations, selon un rapport
Les menaces internes posent les plus grands risques de sécurité dans une entreprise, selon un sondage qui met l'accent sur les employés négligents
La plupart des entreprises n'investissent pas suffisamment dans la sécurité des applications, jusqu'à ce que survienne une attaque informatique
BYOD : 85 % des entreprises autorisent l'accès à leurs données sur des appareils personnels, mais, craignent pour la sécurité et la confidentialité
Partager