Les employés aussi sont un facteur de risque majeur pour l’entreprise

De nombreuses entreprises considèrent que la menace interne serait principalement un employé qui a emprunté la mauvaise voie, en dérobant par exemple des données afin de les vendre à des concurrents ou à des organisations criminelles. Cela n'est évidemment, pas le seul risque lié aux employés : il y a aussi le risque réel, de l'utilisateur « imprudent », qui peut mettre en péril la sécurité ou les données de l’entreprise, en cliquant par inadvertance sur lien dans un e-mail de phishing, en utilisant un réseau sans fil piraté, en visitant des sites Web dangereux, en utilisant des logiciels peer-to-peer ou encore en partageant des mots de passe avec des tiers. Ce sont toutes des mauvaises habitudes informatiques qu’il est possible d’éviter… mais certaines entreprises ne réalisent pas encore la portée de telles actions.

Une étude publiée la semaine dernière, réalisée par IDC et sponsorisée par Splunk, a constaté que « la prise de contrôle d’un compte à cause d’un utilisateur imprudent reste l'un des principaux vecteurs de failles de sécurité dans les entreprises. »
Les résultats de ce sondage se basent sur les réponses de 400 entreprises de plus de 1 000 employés, situées au Royaume-Uni, en France, en Allemagne, en Suède et aux Pays-Bas. Les principales conclusions de l'étude sont les suivantes :

• Les menaces liées aux employés malintentionnés sont perçues comme faibles. La plupart des entreprises ne pensent pas que ce type de menace soit une préoccupation majeure pour leur sécurité. Seulement 12% déclarent que cette préoccupation est centrale pour eux. Pourtant, les entreprises affirment aussi que ce qu'elles craignent le plus sont la fraude, la perte de données et l'accès non autorisé aux données. Ce sont là, des risques associés aux employés ayant de mauvaise intention.
• Les employés négligents représentent une menace plus sérieuse que les employés malintentionnés. La plupart des entreprises sont beaucoup plus préoccupées par les menaces du type virus, APT et phishing. La majorité de ces catégories de menaces sont directement liées à un autre type de risque : celui des violations accidentelles, activées ou causées par les utilisateurs négligents. Les entreprises n’ayant pas conscience de ce facteur de risque, préfèrent donc se concentrer sur les mesures de sécurité traditionnelles basées sur la sécurité du périmètre du réseau. Cela signifie qu'elles cherchent aux mauvais endroits pour détecter les attaques et par conséquence, ne détectent pas les violations causées par les utilisateurs imprudents.
• Certaines entreprises n’ont aucune procédure de détection d’activité pouvant conduire à des failles accidentelles. Seulement 12% des entreprises utilisent des analyses comportementales des utilisateurs pour détecter d’éventuelles anomalies. 27% des entreprises sondées n’utilisent pas les méthodes basiques de détection des violations (par exemple la gestion des logs). Les cas de violations antérieures ne sont d’ailleurs pas retenues la plupart du temps, ce qui signifie que les mêmes erreurs ont de grandes chances de se reproduire.
• La plupart des entreprises ne disposent pas des technologies, des approches ou de l’état d’esprit pour prendre des mesures adéquates, pour détecter et répondre aux violations une fois qu'elles se produisent. La majorité des entreprises à travers l'Europe utilisent encore des technologies principalement conçuent pour protéger un périmètre basé sur un réseau traditionnel. Les approches tournées vers les pare-feux et les antivirus sont omniprésentes, bien que ces technologies restent nécessaires, elles ne suffisent. En effet, les violations deviennent inévitables. Comme précisé plus haut, les entreprises semblent mal préparées pour déceler les failles une fois qu’elles se sont produites. Seule une petite minorité d'entreprises possèdent des outils tels que les systèmes d’étude forensiques et des capacités analytiques (analyse du comportement de l'utilisateur et de détection d'anomalies) pour détecter les failles une fois qu’elles ont eu lieu.

Nous savons qu'il n'y a aucun moyen de protéger l'entreprise contre toutes les actions hasardeuses et malvenues d’un utilisateur. Malgré l’efficacité des défenses antimalwares et de sécurité, elles laisseront toujours passer certaines choses, surtout si les utilisateurs internes effectuent des actions à risque, pouvant affaiblir le système. Il est certain que tôt ou tard, une intrusion se produira, d’où l’importance du dernier argument d’IDC : même si les technologies défensives sont absolument essentielles, elles ne suffisent pas. Les entreprises doivent pouvoir identifier les violations de données et réagir rapidement si elles veulent se défendre contre les cyber-criminels, les employés mal intentionnés et même les utilisateurs négligents.