Selon une étude Quest Software, la perte de données peut coûter aux entreprises 2,7 millions d’euros en termes de chiffre d’affaires et d’amendes
décembre 2012 par Quest Software
L’utilisation d’appareils grand public sur le lieu de travail, les équipes géographiquement dispersées et la fréquence des réseaux sociaux ont un impact considérable sur les modalités de partage des informations des entreprises, ce qui pose de graves problèmes en ce qui concerne la sécurité des données. Selon une enquête réalisée par Vanson Bourne auprès de DSI en Allemagne, en France et au Royaume-Uni pour Quest Software, filiale de Dell, les politiques actuelles de sécurité de l’information ne protègent pas les informations critiques. Cette défaillance est due au fait que les processus de gestion des identités et des accès n’ont pas été mis à jour pour refléter l’évolution des besoins des employés, ce qui met en danger les entreprises.
En outre, selon les résultats de l’enquête, 65 % des DSI européens pensent que les employés partagent les données de l’entreprise de la manière la plus simple et la plus rapide qui soit : ils contournent régulièrement la politique de l’entreprise et ne se sentent pas vraiment concernés par la protection de ses informations critiques. 69 % pensent également que les entreprises et les employés doivent engager davantage leur responsabilité en ce qui concerne les méthodes de partage, de stockage et de gestion des informations.
Compte tenu de l’impact potentiel important de la perte de données sur la sécurité, la situation financière et la réputation des entreprises, la gestion des identités et des accès sera une priorité pour plus de trois quarts (76 %) des entreprises européennes en 2013. Quest recommande des mesures fondées sur les meilleures pratiques pour traiter les problématiques de sécurité suivantes :
· Augmentation des problèmes de sécurité
Les DSI européens déclarent que les informations sur le personnel (42 %), les clients (33 %) et RH (31 %) figurent parmi les données les plus partagées sur les réseaux sociaux et les sites Web tiers. Au cours des 18 derniers mois, les informations RH (30 %), clients (25 %) et financières (23 %) ont été exposées à des problèmes de sécurité à l’extérieur de l’entreprise, en raison d’une mauvaise gestion des identités et des accès. Parmi les entreprises qui en ont été victimes, 33 % déclarent avoir perdu la confiance des clients et 32 % estiment que leur réputation a été entachée.
· Baisse de la productivité
98 % des DSI pensent également qu’une mauvaise gestion des identités et des accès conduit les employés à utiliser des sites tiers comme solution de contournement pour le stockage et le partage d’informations, ce qui nuit à la collaboration et à la productivité. 31 % des DSI ont déclaré qu’au cours des 18 derniers mois, des employés ont été bloqués pendant de longues périodes faute de pouvoir accéder aux informations nécessaires pour travailler.
· Sécurisation des systèmes
Au cours des 12 derniers mois, 62 % des DSI ont subi des pressions visant la protection des données de leur entreprise en raison du nombre croissant de pertes de données d’entreprise relayées par les médias. Ces pressions proviennent principalement des équipes juridiques internes (41 %), des directions générales (40 %) et des organismes de réglementation (33 %).
Recommandations
Des solutions telles que les solutions de gestion des identités Quest One offrent un ensemble complet de fonctionnalités, fournissant des mécanismes de contrôle exhaustifs dans une architecture flexible et modulaire. Celle-ci permet de traiter toutes les problématiques de sécurité et d’éliminer les risques inhérents aux mauvaises méthodes de gestion des identités et des accès. En appliquant les bonnes pratiques suivantes, les DSI seront plus sereins :
· Mettre l’accent sur la formation : la prévention et la neutralisation de la majorité des menaces actuelles pesant sur la sécurité de l’information passent par la formation, la diligence et des processus reposant sur des technologies appropriées, le cas échéant, qui appliquent des mots de passes élaborés (modifiés régulièrement).
· Adopter le principe du privilège minimal : accorder à chaque employé le privilège minimal nécessaire pour accomplir les tâches requises et veiller à ce que les droits d’accès inutiles soient révoqués en cas d’évolution des fonctions d’un employé.
· Établir une procédure d’examen des accès : mettre en place des alertes d’accès automatiques pour informer au moins deux administrateurs des changements relatifs aux accès et aux employés ou d’autres problèmes critiques.
· Assurer la conformité : mettre en œuvre un contrôle d’accès et de séparation des tâches, établir, mettre en œuvre et appliquer une politique de sécurité couvrant tous les accès aux systèmes.
POur Phil Allen, expert en sécurité de l’information (EMEA), Quest Software :
« Nous voyons de nombreuses entreprises luttent contre les conséquences d’une politique de gouvernance des informations et des accès inefficace, telles qu’une augmentation des problèmes de sécurité, une productivité en baisse et des coûts en hausse. Les DSI européens évaluent la perte de chiffre d’affaires et les amendes susceptibles de découler d’une mauvaise protection des données clients à 2,7 millions d’euros. Cependant, l’impact sur la réputation de l’entreprise est plus préjudiciable. Les systèmes de sécurité n’ont pas été mis en œuvre en pensant aux employés férus de technologie. Par conséquent, chacun a recours à la méthode la plus simple pour partager les données de l’entreprise, souvent sans réfléchir aux conséquences. Ce comportement soulève la question suivante : les employés seront-ils contractuellement tenus responsables en cas de pertes de données ? »
« En tant que gardiens de l’information, les DSI doivent revoir la façon dont ils fournissent des services informatiques et des outils aux employés, afin d’offrir un meilleur service qui répond aux besoins de l’utilisateur et de l’entreprise, sans introduire des risques inutiles. Ils doivent aussi mieux informer les employés sur les risques du partage de données sur un canal vulnérable. »
Selon Martin Kuppinger, KuppingerCole : « La gouvernance des identités et des accès sera l’un des secteurs les plus porteurs au cours des prochaines années, car les DSI cherchent à garantir leur conformité sans exposer leur entreprise à des risques inutiles. Les organismes de réglementation et professionnels exercent de fortes pressions sur les entreprises qui ne prennent pas toutes les mesures nécessaires pour protéger leurs données. Le résultat peut être extrêmement préjudiciable en cas d’incident, quelle que soit son ampleur. »