Discussion :

[Bruno]

Un travailleur sur quatre volerait des informations sur l'entreprise pour obtenir un emploi chez un concurrent,
selon une étude réalisée par Gurucul

Gurucul, un spécialiste des technologies de sécurité basées sur l'analyse de la fraude pour les environnements sur site et dans le cloud, a annoncé les résultats d'une enquête sur le comportement en milieu professionnel réalisée lors du Blackhat USA 2019.

Black Hat USA est l’un des événements les plus importants au monde en matière de sécurité de l’information. Il offre aux participants les toutes dernières avancées en matière de recherche, de développement et de tendances. Lors de cet événement, Gurucul a interrogé près de 500 professionnels de la sécurité informatique sur leurs habitudes au travail. Plus de la moitié des personnes interrogées provenaient d'organisations employant au moins 2500 personnes.

Selon les professionnels de la sécurité informatique interrogés, 24 % ont déclaré qu'ils prendraient les informations de l'entreprise pour faciliter la candidature à un poste chez un concurrent. L'étude a également révélé que 34 % de fournisseurs de services et 30 % de développeurs constituaient les principales sources de risques liés aux tiers et le service financier serait le plus exposé avec 32 %.

« Ces résultats montrent que les menaces internes sont les principales préoccupations des professionnels de la sécurité informatique, tout comme les risques de sécurité associés aux tiers qui ont un accès privilégié aux ressources de l'entreprise », explique Craig Cooper, Directeur des opérations chez Gurucul. « Puisque la détection de menaces initiées par les employés et les partenaires est le jeu ultime du chat et de la souris, de nombreuses organisations de sécurité de pointe utilisent l’intelligence artificielle pour comparer le comportement de tous les utilisateurs par rapport aux niveaux de référence établis. Cela leur permet d'identifier les comportements anormaux et de réagir rapidement aux menaces ».

Parmi les autres conclusions, (44 %) des travailleurs passent au moins une heure par jour sur des sites Web non liés au travail. La navigation sur les sites de médias sociaux serait l'activité en ligne la plus populaire non liée au travail. Près du tiers (32 %) pensent que le service financier est le plus exposé au risque de fraude. Près des trois quarts des responsables informatiques (74 %) ont restreint l'accès des tiers en raison en raison des violations observées.

« La surveillance au lieu de travail est souvent considérée comme une stratégie d'espionnage utilisée par les employeurs paranoïaques ou curieux pour contrôler le comportement du personnel. Mais cela dépend du type de surveillance utilisé. La plupart des employés reconnaissent l'importance de la surveillance du comportement du personnel pour prévenir les atteintes à la protection des données », a déclaré Saryu Nayyar, PDG de Gurucu.

Comme alternative aux méthodes de surveillance, les responsables de la sécurité informatique se penchent de plus en plus vers les nouvelles stratégies de protection. La stratégie de défense en profondeur associée au principe du moindre privilège et à la séparation des taches et des pouvoirs sont quelques-unes des stratégies adoptées par les responsables de sécurité informatique.

Source : Gurucul

Et vous ?

Seriez-vous capable de voler des informations sur l’entreprise pour obtenir un emploi chez un concurrent ?

Êtes-vous pour ou contre la surveillance du personnel en milieu professionnel ?

Quelle solution proposez-vous pour protéger l’entreprise des menaces internes ?

Voir aussi :

Les menaces internes posent les plus grands risques de sécurité dans une entreprise, selon un sondage qui met l'accent sur les employés négligents

Un ex-employé renvoyé pour raison d'incompétence a piraté et effacé les données de son ancien employeur, stockées sur les serveurs d'Amazon

[Invité]

Seriez-vous capable de voler des informations sur l’entreprise pour obtenir un emploi chez un concurrent ?

Non, bien qu'on m'ait déjà demandé de faire l'inverse, voler des données dans une entreprise concurrente.

Êtes-vous pour ou contre la surveillance du personnel en milieu professionnel ?

Contre

Quelle solution proposez-vous pour protéger l’entreprise des menaces internes ?

Mettre sur un site publique l'identité des employés ayant porté atteinte (grave, pas pour un vol de stylo ou de petit matériel) à l'entreprise qui soit consultable par n'importe quel employeur.

[BugFactory]

Mettre sur un site publique l'identité des employés ayant porté atteinte (grave, pas pour un vol de stylo ou de petit matériel) à l'entreprise qui soit consultable par n'importe quel employeur.

Travailles 90 heures par semaine pour le SMIC ou je te mets sur la liste!

[gangsoleil]

Seriez-vous capable de voler des informations sur l’entreprise pour obtenir un emploi chez un concurrent ?

Non, bien évidemment. Lorsqu'on travaille dans la sécurité informatique, l'intégrité est extrêmement important. Si un employeur concurrent acceptait ce genre de choses, je n'irai pas chez lui -- de même que je n'embaucherai jamais quelqu'un qui me dirait "si vous voulez, je peux vous révéler les secrets de votre concurrent".

Ceci dit, je pousserai même plus loin : du point de vue sécurité informatique, je ne vois pas ce que les informations du concurrent pourraient m'apporter, à moins que je ne souhaite m'en servir pour mener une attaque pour récupérer d'autres informations.
Mais outre le fait que c'est illégal (et immoral et pleins d'autres choses), il y aurait 24% des gens qui seraient prêt à baser leur future embauche là-dessus ? Étrange.

Êtes-vous pour ou contre la surveillance du personnel en milieu professionnel ?

C'est compliqué . Surveiller les accès à des informations sensibles, pourquoi pas, mais encore faut-il savoir ce que sont ces informations pour ne pas tomber dans une surveillance à outrance qui coûterait cher à l'entreprise et serait inefficace.
Tout surveiller, clairement, non, car c'est contre-productif.

Quelle solution proposez-vous pour protéger l’entreprise des menaces internes ?

Restreindre les accès, former tout le personnel (y compris le management exécutif), ... Bref, mettre en place les bonnes pratiques de sécurité.

[gangsoleil]

Mettre sur un site publique l'identité des employés ayant porté atteinte (grave, pas pour un vol de stylo ou de petit matériel) à l'entreprise qui soit consultable par n'importe quel employeur.

Qui déciderait de l'ajout sur la liste ? Pendant combien de temps les noms devraient-ils y rester ? Pour quelles raisons les noms seraient-ils ajouté -- tu parles de faits graves, mais qu'est-ce qu'un fait grave ? ...

Tant de questions qui demandent beaucoup de réflexions, et qui, à mon sens, montrent l'impossibilité de faire ceci. Sans même évoquer les homonymes par exemple.