Discussion :

[Sandra Coret]

91 % des équipes informatiques se sont senties "obligées" de sacrifier la sécurité au profit d'opérations commerciales, la sécurité est loin d'être la priorité dans le cadre du télétravail, selon HP

Le rapport HP Wolf Security Rebellions and Rejections révèle les tendances en matière de sécurité des travailleurs à distance

La sécurité est essentielle aux opérations commerciales. L'impact perturbateur des attaques par ransomware l'a clairement montré. Mais si les employés ne comprennent pas les objectifs et le raisonnement qui sous-tendent les politiques de sécurité de leur organisation - et si les contrôles techniques sont trop envahissants - cela peut conduire à l'apathie, au ressentiment et même au contournement.

Dans le cadre de la dernière étude HP Wolf Security - Rebellions & Rejections - les chercheurs découvrent des tendances inquiétantes en matière de sécurité du personnel, en examinant comment les équipes de sécurité informatique ont répondu au défi de sécuriser les travailleurs à distance pendant la pandémie, et comment les employés se sont comportés. L'étude s'appuie sur les données d'une enquête mondiale en ligne de YouGov auprès de 8 443 employés de bureau qui sont passés au travail à distance pendant la pandémie et d'une enquête mondiale menée par Toluna auprès de 1 100 décideurs informatiques (ITDM).

Apathiques, frustrés, et de plus en plus rebelles

Les IDM ont fait état de problèmes de sécurité généralisés causés par le passage au travail à distance. Par exemple, la quasi-totalité (91 %) des personnes interrogées ont déclaré s'être senties contraintes de privilégier la continuité immédiate des activités au détriment de la sécurité. Pour aggraver les choses, leurs tentatives de mise à jour des mesures de sécurité ont conduit 80 % d'entre eux à déclarer qu'ils se heurtaient à l'opposition des utilisateurs. C'est particulièrement vrai pour les employés âgés de 18 à 24 ans - des natifs du numérique qui se sentent de plus en plus frustrés par la sécurité qui les empêche de respecter les délais, près d'un tiers (31 %) admettant avoir essayé de contourner les contrôles de sécurité.

Selon Ian Pratt, responsable mondial de la sécurité des systèmes personnels, HP Inc. : "Si la sécurité est trop lourde et pèse sur les gens, ceux-ci trouveront un moyen de la contourner. Au contraire, la sécurité doit s'intégrer autant que possible dans les schémas et les flux de travail existants, grâce à une technologie discrète, sécurisée dès la conception et intuitive pour l'utilisateur. En fin de compte, nous devons faire en sorte qu'il soit aussi facile de travailler de manière sécurisée que de travailler de manière non sécurisée, et nous pouvons y parvenir en intégrant la sécurité dans les systèmes dès le départ."

Principales conclusions de l'enquête

• 76 % des équipes informatiques interrogées admettent que la sécurité a été reléguée au second plan par rapport à la continuité des activités pendant la pandémie, tandis que 91 % se sont sentis poussés à compromettre la sécurité si cela permettait d'assurer la continuité des activités.
  
  
• Près de la moitié (48 %) des jeunes employés de bureau (18-24 ans) interrogés considèrent les outils de sécurité comme une entrave, ce qui conduit près d'un tiers (31 %) d'entre eux à tenter de contourner les politiques de sécurité de l'entreprise pour accomplir leur travail.
  
  
• 48 % des employés de bureau interrogés sont d'accord pour dire que les mesures de sécurité apparemment essentielles entraînent une perte de temps considérable, ce chiffre passant à 64 % chez les 18-24 ans.
  
  
• Plus de la moitié (54 %) des 18-24 ans sont plus préoccupés par le respect des délais que par l'exposition de leur entreprise à une violation des données ; 39 % ne sont pas sûrs du contenu de leur politique de sécurité ou ne savent même pas si leur entreprise en a une, ce qui suggère une apathie croissante ou un manque de sensibilisation chez les jeunes travailleurs.
  
  
• En conséquence, 83 % des équipes informatiques interrogées pensent que l'augmentation du nombre de travailleurs à domicile a créé une "bombe à retardement" pour une violation du réseau de l'entreprise.

Le rapport souligne que les contrôles de sécurité sont souvent source de frictions pour les utilisateurs, ce qui suscite du ressentiment et laisse aux équipes de sécurité un sentiment de découragement et de rejet :

• 80 % des équipes informatiques ont rencontré des objections de la part d'utilisateurs qui n'apprécient pas que des contrôles leur soient imposés à la maison ; 67 % des équipes informatiques ont déclaré recevoir des plaintes à ce sujet chaque semaine.
  
  
• 83 % des équipes informatiques ont déclaré qu'il est désormais impossible de définir et d'appliquer des politiques d'entreprise en matière de cybersécurité, car les frontières entre vie personnelle et vie professionnelle sont tellement floues.
  
  
• 80 % des équipes informatiques ont déclaré que la sécurité informatique devenait une "tâche ingrate" car personne ne les écoutait.
  
  
• 69 % des équipes informatiques ont déclaré qu'elles avaient l'impression d'être les "méchants" pour avoir imposé des restrictions.

Réduire les frictions entre utilisateurs et renforcer la culture de la sécurité

En plus de décrire les tendances en matière de sécurité de la population active dans le rapport, des recommandations sont partagées pour réduire la friction des utilisateurs en mettant en œuvre des contrôles de sécurité en tenant compte de la transparence, de la convivialité et de la transformation numérique. L'étude propose également des suggestions sur la manière de créer une culture de sécurité collaborative, ce qui est vital car une gouvernance de sécurité efficace repose sur le respect et l'engagement des employés vis-à-vis des politiques de sécurité.

"Pour créer une culture de sécurité plus collaborative, nous devons engager et éduquer les employés sur les risques croissants de cybersécurité, tandis que les équipes informatiques doivent mieux comprendre l'impact de la sécurité sur les flux de travail et la productivité. À partir de là, la sécurité doit être réévaluée en fonction des besoins de l'entreprise et du travailleur hybride.", déclare Joanna Burkey, responsable de la sécurité informatique (CISO), HP Inc.

Source : HP Wolf Security Rebellions and Rejections Report

Et vous ?

Que pensez-vous de ce rapport ? le trouvez-vous pertinent ?
Qu'en est-il au sein de votre organisation ? trouvez-vous que les protocoles de sécurité peuvent être une entrave à la productivité ?
Vous arrive-t-il de devoir les contourner ?

Voir aussi :

70 % des initiatives d'automatisation sont entravées par des problèmes de sécurité et de données, mais ces défis peuvent être surmontés grâce à une meilleure collaboration des équipes, selon MuleSoft

Les entreprises renforcent leur sécurité contre les cybermenaces : 85 % ont augmenté leur investissement, 72 % leurs effectifs et 79 % ont adopté plus de technologies avancées, selon Micro Focus

Plus de 60 % des équipes DevOps sacrifient la sécurité des conteneurs au profit de la vitesse, selon un rapport de NeuVector

[Astraya]

Ah bon?
De mon expérience, jai travaillé sur un système SIL2. Bas le chef de projet et le directeur de projet refusaient de parler de la SSI avant la fin du développement... Bas c'était une très mauvaise idée comme vous pouvez l'imaginer

[walfrat]

Cette article est un peu trop focaliser sur la sécurité.

Je dirais que 91% des équipes informatiques se sont senties "obligées" de sacrifier tout ce qui n'étaient pas un livrable client (qualité, sécurité, performance, etc).

[JPLAROCHE]

Bonjour,

Quand on a affaire à des ignorants parce que ce n'est pas leurs spécialité alors là on fait passé le commercial avant la sécurité... ÇA C'EST DU VÉCU .

Mais si l'on ce bat parce que l'on croit dur comme fer quitte à aller au clache on fini par mettre la sécurité dans la balance et elle pèse... ÇA C'EST DU VÉCU .

j'ai eu affaire à une très grosse entreprise (RENAULT/FNAC) ils voulaient 24/24, pas de sauvegarde ect... j'ai obtenue gain de cause en leurs demandant de signer comme quoi ils assumaient la perte de leurs données....... (1h par jour traitement de nuit et sauvegarde) et quand j'ai fait les statistiques d'occupation Fnac / Renault l'occupation était à 30% avec des causes à effet qui étaient toujours pour dans 48h....... Mais ça fait bien de dire 24/24.
Pour ce qui est de la sécurité accès du WEB-AS400 là c'était bien ficelé trop d'argent dans la balance. Autant vous dire que j'étais bien seul dans ce combat....

[marsupial]

Croyez-en mon expérience, dès lors qu'une entreprise se prend une cyberattaque, elle devient hyper coulante sur le budget liée à la cybersécurité.

[Denis la Malice]

Si l'on revient aux sources de toute démarche sécuritaire, on commence par établir les besoins de sécurité, dont les principaux sont DIC, soit Disponibilité Intégrité Confidentialité.
On a dû faire des arbitrages entre la Disponibilité et l'Intégrité. Ça ne veut pas dire sacrifier la sécurité.
Parce que monter une usine à gaz et faire que toute connexion devienne un parcours du combattant "pour des questions de sécurité", ça c'est sacrifier la Disponibilité du système d'information et donc la sécurité.