Discussion :

[Arsene Newman]

Le Facteur humain est la plus grande menace sur la sécurité informatique en entreprise
Les cadres supérieurs sont logés aux premiers rangs

Contrairement aux idées reçues, ce ne sont ni les malwares, ni les hackers, encore moins les spams qui représentent la véritable menace en matière de sécurité informatique des entreprises, mais bel et bien le facteur humain.

En effet, trois entreprises spécialisées dans la sécurité informatique ont récemment publié des rapports visant à mettre l’accent sur les dangers, qu’encourt la sécurité informatique des entreprises en citant les facteurs les plus alarmants. De plus, une étude croisée des trois rapports précédents a révélé la prédominance du facteur humain comme principale menace.

La première étude faite par Stroz Friedber, sur un échantillon de 700 professionnels, nous apprend que 58 % des cadres supérieurs admettent avoir transmis par erreur des informations sensibles à la mauvaise personne, contre seulement 25 % pour les employés. De plus, les cadres supérieurs sont beaucoup plus enclins à travailler chez eux (dans un environnement moins sécurisé) ou à uploader des données relatives à leur travail sur leur messagerie personnelle ou leur service Cloud, ce qui entache la sécurité informatique de l’entreprise.

La seconde étude effectuée par les soins de Osterman Research sur près de 160 experts en sécurité révèle que la plupart des problèmes de sécurité rencontrés sont dus à la non-vigilance de leurs collègues. En effet, 58 % des malwares sont téléchargés à leur insu, à partir du Web et 56 % des malwares et des tentatives d’hameçonnage (Phishing) se font par le biais de leur messagerie personnelle.

Finalement, ces 03 études (la 3e venant de SecureData) s’accordent à dire que l’un des principaux paramètres est l’absence de réglementation clairement définie concernant la gestion de la sécurité au sein des entreprises, cela est encore plus vrai pour les entreprises adeptes du BYOD, car ce dernier représente souvent le point d’entrée de différentes menaces, ce qui fait de lui une arme à double tranchant.

En résumé, que ce soit le manque de vigilance, le non-cloisonnement des environnements personnels et professionnels ou encore l’adoption du BYOD au sein de la plupart des entreprises, ces trois paramètres incriminent le facteur humain comme étant le principal élément préjudiciable à la sécurité informatique des entreprises.

Source : Sophos,Etude Stroz Friedber ,Etude Osterman Research

Et vous ?

question ?

[marps]

J'ai fait 4 entreprises (3 pendant mon alternance et 1 après mon diplôme) et dans les 4 je vois des utilisateurs avec des pubs à gogo dans leurs bal car ils s'inscrivent et donne le mail de la boite, plus le nombre de clé usb et dd externe perso qui tourne car "g le dairnié vine diésel en cam tro bien!!!", on ne peut que se dire l'expression ô combien célèbre : "Le problème dans ce est entre l'écran et la chaise..." => malheureusement.

[zephir2008]

Quelle découverte !!!!

Il serait temps de s'en rendre compte !

Et oui aussi : le principal problème du système d'informations, c'est l'interface fauteuil-clavier...

[el_slapper]

Et, autres nouvelles, la couleur du ciel un jour sans nuages est le bleu.

[Invité]

D'après une étude, faites par des chercheurs avec des diplômes :
l'eau ça mouille !!

[zephir2008]

Et, autres nouvelles, la couleur du ciel un jour sans nuages est le bleu.

pour peu qu'il fasse jour... ^_^

[zephir2008]

D'après une étude, faites par des chercheurs avec des diplômes :
l'eau ça mouille !!

...et le feu sa brûle !

[Sylvaner]

Ca vaudra peut-être un prix Ig Nobel

[Mr_Exal]

J'ai fait 4 entreprises (3 pendant mon alternance et 1 après mon diplôme) et dans les 4 je vois des utilisateurs avec des pubs à gogo dans leurs bal car ils s'inscrivent et donne le mail de la boite, plus le nombre de clé usb et dd externe perso qui tourne car "g le dairnié vine diésel en cam tro bien!!!", on ne peut que se dire l'expression ô combien célèbre : "Le problème dans ce est entre l'écran et la chaise..." => malheureusement.

il y avait pas d'antispam dans ta boîte ?

Concernant les DD suffit de désactiver les périphériques usb par GPO.

C'est radical mais au moins ce risque là est contenu.

[hn2k5]

Pas besoin d'aller aussi loin : Le facteur humain est la plus grande menace pour lui-même, pour la faune, la flore, la planète quoi...

[azias]

Avant de penser à de la réglementation il faudrait peut-être déjà parler de formation des employés qui est inexistante concernant la sécurité informatique en milieu professionnel.

Si beaucoup de gens savent se servir d'un ordinateur aujourd'hui, c'est essentiellement dans un cadre privé. Très peu de personnes finalement (même chez les informaticiens) ont réellement les compétences informatiques pour le milieu professionnel, en particulier concernant la sécurité.

Choix de mots de passe très facile à deviner (et quand c'est celui de la boîte mail du patron c'est encore plus fun), absence de lockscreen quand on quitte son poste, pas de laisse aux portables, utilisation de skype pour s’échanger rapidement des informations d'un bureau à l'autre, clefs usb qui traînent, versions piratées de MS Office ou Visual Studio, accès vpn avec un seul certificat pour tout le monde, mettre son calendrier sur google calendar parce c'est compatible avec tout... c'est le genre de trucs que beaucoup d'entre nous vivons au quotidien.

Je dirai qu'il y a une question dont la réponse permet d'avoir une bonne idée de la situation: combien d'entre nous ont leur disque crypté? Ça n'est pas suffisant mais à partir du moment où ça n'est pas fait c'est de toute façon open-bar.

Comme le souligne avec un humour plus ou moins réussi les précédents messages, c'est une évidence que le facteur humain est le premier facteur à prendre en compte en matière de sécurité, pourtant aucun investissement n'est réalisé de se point de vue là, alors que certains boîtes investissent énormément dans du matériel ou logiciel sécuritaire.

[zephir2008]

Avant de penser à de la réglementation il faudrait peut-être déjà parler de formation des employés qui est inexistante concernant la sécurité informatique en milieu professionnel.

Formation... Encore une ? Vauban (un spécialiste de la sécurité, je crois) disait en à son époque qu'aucune citadelle n'était imprenable. C'est juste une question de temps et de moyens... Les choses ont-elles changées ? Je ne pense pas. La sécurité est un tout, une chaîne dont le plus faible des maillons (l'homme en l'occurrence) défini sa force. La formation des utilisateurs est un (très) vieux serpent de mer ! Et le canard est toujours vivant...

Si beaucoup de gens savent se servir d'un ordinateur aujourd'hui, c'est essentiellement dans un cadre privé. Très peu de personnes finalement (même chez les informaticiens) ont réellement les compétences informatiques pour le milieu professionnel, en particulier concernant la sécurité.

Dès l'instant où on accède -et diffuse- de l'information, la sécurité est en jeu. Privé ou pro, le problème reste entier : savoir se servir d'un ordinateur, c'est savoir se protéger. De fait je ne suis pas vraiment convaincu que tant de gens que ça savent se "servir" d'un ordinateur. On pourrait disserter de la même manière sur l'utilisation des véhicules automobiles...

[...]pourtant aucun investissement n'est réalisé de se point de vue là, alors que certains boîtes investissent énormément dans du matériel ou logiciel sécuritaire.

De l'incohérence des "politiques de sécurité" menées par certain !

Encore une fois, la sécurité est un tout qu'il faut considérer dans son ensemble <<le plus large>>, et pas seulement d'un point de vue "informatique". Quant à changer les habitudes des utilisateurs...

[Pelote2012]

bizarre, il y a 9 ans quand je quittais mon école d'ingénieur, c'est exactement ce qu'on disait. Le plus gros problème pour la sécurité c'est le facteur humain . Surtout les faux geek qui passe leur temps sur des sites chinois ou russes pour avoir des tas de trucs gratos ... mais qui sont truffés de malwares...

[Fagus]

il faudrait peut-être déjà parler de formation des employés qui est inexistante concernant la sécurité informatique en milieu professionnel.

Y compris par le service informatique de nombre d'endroits où j'ai pu passer.
Exemple typique, les mots de passe administrateurs, identiques sur le compte admin local sous xp... et à divers autres endroits. Mot de passes certes très compliqués (c'est à dire 5 caractères ascii aléatoires) à retenir.

Je passe l'absence de mise à jour de... à peu près tout, ou des quelques postes savamment laissés en admin sur le réseau sous windows, en accès libre, et servant donc de nid à virus/graine de botnet.

Et le parefeu qui laisse passer des logiciels de contrôle à distance dont au moins la moitié a été un jour installé par une politique du service info...

J'ai dit que c'était une boîte avec des données critiques sur un nombre de personne probablement à l'échelle du million ?

Je dirai qu'il y a une question dont la réponse permet d'avoir une bonne idée de la situation: combien d'entre nous ont leur disque crypté? Ça n'est pas suffisant mais à partir du moment où ça n'est pas fait c'est de toute façon open-bar.

Je le fais, mais tout le monde me traite de parano. Sauf qu'un PC portable ça se vole...
J'ai même essayé de faire adopter S-MIME (en vain bien sûr).

Et vous, vous chiffrez vos clés usb quand elles contiennent des données critiques ?

[john94]

on assiste à un plafonnement des performances en matière de sécurité au travail : une prévention efficace des risques professionnels doit nécessairement prendre en compte le facteur humain et cet aspect n’est pas toujours suffisamment considéré par les préventeurs ; l’analyse comportementale est négligée souvent au profit de l’analyse de prévention traditionnelle, technique et organisationnelle : voir Le facteur humain dans la prévention des risques professionnels : http://www.officiel-prevention.com/p...164&dossid=202

[Saverok]

La plus grande source de bug se trouve toujours entre la chaise et le clavier

Cet adage est tout aussi vrai pour la sécurité

[john94]

bravo pour l'humour ! c'est tout à fait cela ..