Discussion :

[Olivier Famien]

Les travailleurs IT sont plus enclins à compromettre la sécurité des données que les autres travailleurs
selon un sondage d’Intermedia

Intermedia, le fournisseur d’applications Cloud a effectué un sondage sur plus de 2 000 travailleurs de bureau aussi bien aux États-Unis qu’en Angleterre. L’objectif était de détecter les personnes ayant des habitudes comportant le plus de risques pour les données de leurs entreprises.

De prime abord, Intermedia a pu constater de manière générale à travers les données collectées que parmi les personnes interrogées, 97 % ont accès à des informations sensibles ou confidentielles tandis que 93 % d’entre elles reconnaissent s’être déjà adonnées au moins une fois à des comportements qui ont fait peser des risques sur les données auxquelles ils avaient accès.

En regardant plus en détail, les conclusions de ce rapport sont plutôt surprenantes. De toutes les personnes travaillant dans divers domaines tels que les ressources humaines, le marketing, la finance, le commerce, ce sont les personnes travaillant dans le domaine des technologies de l’information qui présentent les plus mauvaises habitudes de sécurité en général.

Par exemple, sur 46 % des personnes interrogées qui utilisent des noms d’utilisateurs et mots de passe web et les partagent avec d’autres utilisateurs, 65 % des personnes travaillant dans le domaine IT en font partie. De même, 67 % des employés de l’industrie des technologies avouent accéder au web en utilisant un mot de passe commun également utilisé par leurs collègues, tandis que sur l’ensemble des métiers interrogés, cette pratique est de l’ordre de 49 %.

Sur 19 % personnes interrogées qui ont déjà donné leurs identifiants à d’autres travailleurs, on retrouve 32 % des professionnels du monde IT qui s’adonnent également à cette pratique.

En outre, 52 % des employés travaillant dans le domaine des technologies de l’information ont répondu qu’ils utilisent leurs mots de passe personnels pour des applications d’entreprises alors que pour cette pratique, nous avons 40 % des interrogées sur l’ensemble des personnes interrogées qui font la même chose.

48 % des employés du secteur des technologies pratiquent le shadow IT sur leurs PC. Ces derniers sont d’accord pour installer des applications sur leurs ordinateurs de travail sans que la direction des systèmes d’information (DSI) en soit informée. Cette attitude est observée chez 29 % des personnes interrogées, toutes les professions confondues.

Nous rappelons de manière basique que le shadow IT s’apparente à un ensemble d’équipements, services ou technologies utilisés en milieu professionnel sans que la direction des systèmes d’information soit au courant.

Cette situation est en général provoquée par le fait que les décisions pour fournir des outils à jour aux travailleurs sont lentes à prendre. Ces derniers se tournent donc vers des outils, applications, services, matériels qu’ils utilisent dans l’ombre ou simplement sans que le service informatique ne soit informé.

Concernant toujours le shadow IT, 45 % des travailleurs IT ont déjà déployé des applications gratuites ou payantes sans avoir consulté l’équipe IT, alors que ce comportement est observé à hauteur de 23 % sur l’ensemble des interrogés.


Aussi, à la question de savoir si les employés utiliseraient leurs accès, partageraient, modifieraient, supprimeraient des données de leur travail actuel s’ils étaient emmenés à quitter leur travail aujourd’hui, 57 % des travailleurs du secteur des technologies ont répondu qu’ils le feraient alors que la tendance générale englobant toutes les professions est de 23 % de personnes qui seraient prêtes à le faire.

Encore plus en profondeur, 26 % des personnes du secteur technologique ont répondu qu’ils n’hésiteraient pas à emporter les données de leur compagnie si cela leur était profitable. Cette mentalité est observée chez 15 % des personnes interrogées pour l’ensemble des personnes sondées.

En regardant ces chiffres, il est clair que la menace des données en entreprises proviendrait le plus de ceux qui sont supposés être les mieux sensibilisés sur la question. Jonathan Levine, CTO d’Intermedia explique cela en expliquant que « vous avez entendu le proverbe, ‟100 % des hommes affirment qu’ils sont mieux que le conducteur moyen”. C’est la même chose. ‟100 % des travailleurs IT disent qu’ils sont mieux que la moyenne en matière de sécurité”. Vous entendrez aussi les gens dirent des choses comme : ” ‟Pourquoi mettre une ceinture de sécurité ? Je conduis depuis longtemps sans ceinture et je ne suis pas encore mort”. C’est la même mentalité ».

Source : Intermedia

Et vous ?

Que pensez-vous de ces résultats ?

Partagez-vous les conclusions du rapport ?

Voir aussi

Forum Sécurité

[BufferBob]

c'est l'histoire du cordonnier mal chaussé.

la secrétaire qui n'y connait rien aura une attitude beaucoup plus humble vis à vis des consignes de sécurité, là où le IT croit savoir, croit connaitre, c'est le même principe quand on nous dit à l'auto-école que les accidents arrivent en général sur les routes qu'on connait le mieux; on relâche sa vigilance

[tchize_]

Faut voir aussi comment les questions sont posées. Quand vous dev une application, il est inévitable que vous devez partager les passes avec vos collègues pour qu'ils testent avec les mêmes comptes test. Pareil pour les accès à certains serveurs.
Le shadow it a toujours été toléré dans le dev it. On part du principe que le user est assez formé que pour savoir ce qu'il fait.
Pour le vol de données par contre c'est inadmissible.

[RyzenOC]

On oublie trop souvent qu'un Pro à des besoins plus poussé que la secrétaire qui démarre juste word.

Quand je programme, je dois très souvent être en admin ou avoir les droits de root. Je dois souvent installer des programmes/bibliothèques...etc.

Malheureusement les DSI ne comprennenet pas cela, au lieu de par exemple isoler l'environnement de développement du reste de la boite, ils nous imposent des restrictions (impossibilité d'installer un logiciel par exemple), et on est souvent ammené a contourner ces restrictions pour pouvoir justement travailler.

Il y'a peu je devais faire un programme en Python sous Windows, mais j'avais pas le droit d'installer Python, ni d'éditeur de texte, je fais comment ? J'ai du bidouiller pour pouvoir installer python et notepad++.


Autre exemple, quand on fait un logiciel qui utilise des socket, on doit pouvoir modifier le pare feu par exemple.

[transgohan]

Nous n'avons pas de PC personnel hormi celui de bureautique.
Donc sur la plateforme de développement n'importe qui peut avoir à se connecter sur n'importe quel PC pour bosser.
Et comme nous avons des équipements connectés aux PCs mais pas à tous n'importe qui peut avoir à les utiliser périodiquement.
Du coup obligé de partager nos mots de passe.

Nous avons aussi une connexion sur des serveurs solaris, mais manque de compte, donc nous partageons des comptes.

Bref on est mal chaussé mais nous ne pouvons rien y faire.

[BufferBob]

Quand je programme, je dois très souvent être en admin ou avoir les droits de root.

même les administrateurs ne sont pas directement root sur les serveurs, ils auraient pourtant plus de raisons de l'être que les développeurs à priori, et quand c'est bien fait ils s'authentifient avec leur identifiants, pas avec un mdp commun

Je dois souvent installer des programmes/bibliothèques...etc.

ça dépend de quoi on parle, sur ton poste perso (au boulot) on peut envisager que tu es admin local de la machine ou utilisateur++ avec des droits adéquats, sur une machine de dev la politique est possiblement différente, sur une machine de rec/préprod/prod ce n'est pas au développeur d'installer, c'est au sysadmin de le faire, et le développeur n'a pas besoin ni d'être root ni de se logguer avec un compte commun (ldap, clés ssh etc.)

Malheureusement les DSI ne comprennenet pas cela, au lieu de par exemple isoler l'environnement de développement du reste de la boite, ils nous imposent des restrictions (impossibilité d'installer un logiciel par exemple), et on est souvent ammené a contourner ces restrictions pour pouvoir justement travailler.

on est d'accord que c'est une attitude spécifique à ton entreprise ici, c'est pas le cas partout, les teams sécu avec des bras cassés ça existe malheureusement et puis même sans parler de ça ils font pas non plus toujours ce qu'ils veulent, leur budget et leurs effectifs étant souvent bien inférieurs à ceux des autres parties

Autre exemple, quand on fait un logiciel qui utilise des socket, on doit pouvoir modifier le pare feu par exemple.

dans ta boite peut-être, sinon classiquement on crée une demande d'ouverture de flux qui atterrit chez les netadmins ^^

après je suis d'accord qu'on pourrait citer le cas du dev qui bosse sur des trucs comme sudo par exemple ou avec des raw sockets, mais ça reste tout de même des cas très spécifiques

[RyzenOC]

@BufferBob Je parlais pour un environnement de développement (j'insiste sur ce point), par sur un serveur en production.

[grimtyr]

Quand j'étais dans l'IT pour une grosse SS2I (ou ESN),

On avait tous des mots de passe AD génériques archi-simple qu'on se partageait entre nous,
On contournait le proxy avec un script emprunté aux HQ,
J'avais même dénicher le mot de passe admin local sur tout les postes !
Mais à côté de ça, on avait des applications foireuses, infiniment lentes et qui crashaient bien trop souvent.

Sans ces informations, notre travail aurait été bien plus pénible et bien moins productif.
Car on a pu installer des IDE, de bons soft de Remote Control, developper des softs spécifiques.
Et finalement faire du meilleur boulot !

[BufferBob]

@BufferBob Je parlais pour un environnement de développement (j'insiste sur ce point), par sur un serveur en production.

yep, la machine -le serveur- de dev c'est un peu la zone grise de la chaine je pense, j'ai eu l'occasion de voir un peu de tout à ce niveau (au sein de la même boite !); de la machine complètement "abandonnée" aux dev (tous les dev root dessus) à la machine gérée comme n'importe quel autre serveur (ie avec un sysadmin qui installe à la demande), en passant par la "responsabilité partagée" (mdp root connu à minima du chef de projet qui en use avec parcimonie par exemple, ce qui à la longue tourne au "tous les dev ont le mdp"), c'est d'autant moins simple qu'on ne déploie pas les mêmes moyens pour cette machine souvent jugée "éventuellement cassable"

du coup est-ce qu'une machine gérée par les développeurs directement est soumise au shadow-IT ? j'imagine que la réponse doit tenir dans la traçabilité des logiciels installés, côté admin c'est systématique (une install = une demande, souvent avec la DSI dans la boucle, cf ITIL), je sais pas ce qu'il en est côté dev...

[TiranusKBX]

pour la récupération de données j'ai fait mettre dans mon contrat que je pouvais garger une copie de mes codes sources et ressources liées tant que je n'en divulgue/cède aucune partie à une entreprise tierce, mon backup perso est tranquille

[Mohamed_beng]

Qu'en pensez-vous?
Que la publicité fonctionne. ce n'est pas une critique à l'encontre de votre article mais bien à l'encontre de "l'étude" d'Intermedia. Je ne sais pas pour les autres, mais à la première lecture, en arrivant en bas de la page, je me suis dit, mais que font les employeurs? Et étrangement, la solution est offerte par... Intermedia.
Je ne les blâme pas de chercher à vendre leurs produits, mais le faire de cette manière... Jouer les salariés contre les employeurs...
Là où, selon moi, le procédé devient détestable, c'est qu'ils mettent en place une atmosphère de peur en utilisant le champ lexical de la menace : riskiest users (c'est même dans l'url...), Insider threats: Meet the Business World's Riskiest User (c'est le contenu de la balise <title>), je n'ai pas accès au rapport complet, mais je trouve que ça commence bien. Et ça c'est ce qui est évident. Parce que si on s'amuse à interpréter, alors, je trouve que les questions, comme beaucoup l'ont souligné, sont mal posées, voir anxiogènes.
Ainsi dans l'encart suivant: Technology companies have a lot to worry about., la dernière "statistique" mériterait d'être approfondie. En effet, le comportement que vise l'article est, si l'on s'en tient à la généralité de la proposition, celui de l'accès aux données de l'entreprise par les ex-employés de manière générale. Mais mettre dans le même panier, les attitudes qui pour certaines, dans notre pays en tout cas (et sans doute dans les pays de common law), pourraient recevoir l'onction d'un Conseil de prud'hommes (ou d'un juge dans les autres pays)(download, share), et celles qui peuvent relever de la malveillance (delete or alter company info), me semble d'une particulière mauvaise foi.
Celle concernant les professionnels de l'IT qui admettent avoir accédé aux systèmes de leur entreprise après leur départ de l'entreprise, 28% pour l'IT contre 13% pour les autres sondés est mise en avant sans discernement aussi. Je peux me tromper, mais il me semble que dans ces domaines on peut avoir des raisons d'agir ainsi, d'autant qu'encore une fois, rien ne dit que les accès soient illégitimes ou relèvent de la malveillance...
On pourrait aussi comparer ces réponses avec les répartitions par tranche d'âge, ancienneté... C'est peut être fait dans le rapport, mais ce n'est pas mis en avant ici.
Enfin bref, qu'en pensez-vous? Franchement, pas du bien, jouer les salariés contre les employeurs, ceux qui savent (IT guy, Tech guy), malfaisant, contre les ignorants naïfs et bienveillants (employeurs)...
Mon avis est tranché je sais, mais je trouve vraiment la ficelle trop grosse, et je ne suis pas développeur, mais juriste de formation (désolé Traroth2... )

[gallima]

Je suis à la fois personne physique, utilisateur de l'IT et administrateur de l'IT.

Est ce que sa leur fait peur que je change de casquette à volonté ?

Saleté de pub !

[Guikingone]

Ce n'est pas pour blâmer qui que ce soit mais il est à noter que parfois, l'insécurité peut mener à des solutions posés.

Une fois j'ai du installer un logiciel tout simple (NotePad++) sur mon poste pour bosser sur un projet et malheureusement je ne pouvais pas sans accès Admin (conservé et réservé aux membre du SI), j'ai du contourner le pare-feu et me connecter au réseau via un accès Wifi partagé depuis mon mobile, ce fut laborieux mais au bout de 15 minutes, j'avais enfin mon logiciel alors que si les accès avait été ouvert à tout ceux qui bosser dans la service, tout cela aurait plus être plus rapide et bien plus efficace.

Nous ne sommes pas forcément de mauvais utilisateurs ni des créateurs d'insécurité mais nous devons parfois contourner les règles et rendre l'environnement plus susceptible au danger afin de pouvoir travailler, ce que je déplore.

[Saverok]

Ce n'est pas pour blâmer qui que ce soit mais il est à noter que parfois, l'insécurité peut mener à des solutions posés.

Une fois j'ai du installer un logiciel tout simple (NotePad++) sur mon poste pour bosser sur un projet et malheureusement je ne pouvais pas sans accès Admin (conservé et réservé aux membre du SI), j'ai du contourner le pare-feu et me connecter au réseau via un accès Wifi partagé depuis mon mobile, ce fut laborieux mais au bout de 15 minutes, j'avais enfin mon logiciel alors que si les accès avait été ouvert à tout ceux qui bosser dans la service, tout cela aurait plus être plus rapide et bien plus efficace.

Nous ne sommes pas forcément de mauvais utilisateurs ni des créateurs d'insécurité mais nous devons parfois contourner les règles et rendre l'environnement plus susceptible au danger afin de pouvoir travailler, ce que je déplore.

Et faire une demande à l'admin, non ?
Si l'administrateur du parc décide de restreindre les droits admin sur les postes, c'est qu'il a ses raisons.
Quand tu prends place sur ton poste, tu signes une charte d'utilisation du matériel.
Il y a des procédures dans l'entreprise à respecter.
Certes c'est lent et ça fait chier mais c'est comme ça.

Ta réponse me fait penser à un gars qui se fait choper à 200km/h sur une nationale et qui explique qu'il était en retard à son rdv et que donc, c'est normal qu'il ne respecte pas le code de la route et que c'est la faute de ce code s'il y a de l'insécurité routière...

[Guikingone]

Et faire une demande à l'admin, non ?
Si l'administrateur du parc décide de restreindre les droits admin sur les postes, c'est qu'il a ses raisons.
Quand tu prends place sur ton poste, tu signes une charte d'utilisation du matériel.
Il y a des procédures dans l'entreprise à respecter.
Certes c'est lent et ça fait chier mais c'est comme ça.

Ta réponse me fait penser à un gars qui se fait choper à 200km/h sur une nationale et qui explique qu'il était en retard à son rdv et que donc, c'est normal qu'il ne respecte pas le code de la route et que c'est la faute de ce code s'il y a de l'insécurité routière...

C'est justement après demande et réponse négative que j'ai pris la décision de mon propre chef de me débrouiller, sans cela et si la réponse avait été positive, je n'aurais pas contourner la règle, je le conçoit.
Je respecte le fait que les règles sont faites pour être respectés mais dans des cas où la sécurité n'est pas en danger, je trouve cela trop restrictif, surtout si on bosse au sein du service concerné.

Et je précise que si je venais à me faire attraper à 200km/h sur une nationale, je ne blâmerais personne ni aucun code, je prendrais toute la responsabilité, question d'éducation.

[BrandonCougar]

Difficile parfois de concilier productivité et sécurité... mais c'est une question de volonté et de moyens. Complètement d'accord avec le post de BufferBob y compris et surtout sur le fait que les équipes et budget sécu sont bien souvent taillés à minima. La sécurité ça ne fait rien gagner, au mieux ça ne fait pas perdre.
J'ajouterai, d'expérience, qu'en cas de problème quelconque suite à une transgression des règles et de la politique de sécurité, la personne peut avoir toutes les excuses valables ou non, c'est bien sa responsabilité qui est en cause.
Une petite anecdote qui ne date pas d'hier... un ami, durant ses études d'informatique a même été exclu temporairement pour n'avoir pas suffisamment sécurisé sont identifiant. Son compte avait été utilisé pour consulter des sites antisémites (et imprimer des documents) depuis les postes de travail de l'université. Cette personne a pu prouver qu'elle n'était pas présente dans les locaux le jour des faits mais la charte d'utilisation des moyens informatiques, signée avant tout usage d'un ordinateur de l'université, stipule que vous êtes le seul et unique responsable de votre identifiant et de l'usage qui en est fait.