Quelque soit le nombre de réglementations et de formations que vous mettez en œuvre, l’erreur humaine classique reste encore la plus grande menace pour la sécurité des systèmes d’information selon les DSI Britanniques
C’est la conclusion inquiétante d’une étude commandée par l’éditeur de solution de sécurité Clavister et conduite par le cabinet international de recherche YouGov.
86 % des DSI interrogés pensent que les causes les plus vraisemblables des problèmes de sécurité informatique proviennent de leurs propres employés. Ces raisons sont dues au manque d’information du personnel qui n’a pas été assez sensibilisé, ou pas suffisamment formé sur les politiques de sécurité, ainsi qu’aux erreurs involontaires et à l’espionnage industriel.
L’expérience montre que l’endroit ou sont implantées les sociétés et leur taille n’influent pas sur les données de cette étude. Bien que des politiques de sécurité et des formations soient mise en place, les problèmes continuent d’apparaître en raison du comportement humain.
Aujourd’hui les recherches montrent que 31 % des DSI interrogés pensent que les problèmes de sécurité proviennent du fait que le personnel ignore sciemment les règles de sécurité, 37 % les attribuent a des erreurs humaines et 13 % au manque de formation et de prise de conscience des règles et les 5% restant attribuent ces problèmes à l’espionnage industriel.
A la suite de cette enquête Clavister s‘est posé des questions sur les produits de sécurité actuels et sur les politiques de sécurités appliquées à ce jour et s’est demandé ce qu’une société peut faire pour pallier aux manques qui sont dues dans leur totalité aux erreurs humaines communes à toute personne.
« La raison de la mise en place de règles de sécurité est plutôt simple – écarter les utilisateurs malveillants du réseau pendant que l’on répertorie les utilisateurs à risque à l’intérieur de l’organisation. Assurer la conformité n’est toutefois pas une tâche facile. Les documents décrivant la politique de sécurité ont tendance à être longs et techniques et ne sont pas rédigés de façon à ce qu’ils soient compréhensibles et importants aux yeux de la plupart des employés» indique Andreas Åsander, VP Product Management de Clavister.
« Pour que les règles de sécurité soient adoptées, les utilisateurs doivent comprendre pourquoi elles sont importantes et ce que ces règles veulent dire pour eux personnellement et professionnellement. »
Plutôt que de rédiger celles-ci comme un sujet trop difficile à aborder, Clavister a développé une « checklist » de 6 recommandations à prendre en compte pour les entreprises, les voici :
1. Concevoir une politique de sécurité qui soit simple à lire et à comprendre. Ne pas la faire trop complexe et trop technique. Utiliser des exemples pour démontrer chaque point.
2. Eduquer les utilisateurs à la politique de sécurité. Il est absolument crucial qu’ils comprennent pourquoi ces règles sont nécessaires et ce qu’elles leur apportent à titre personnel et dans leur activité professionnelle.
3. Sensibiliser sur les conséquences éventuelles.
Les utilisateurs qui ne respectent pas ces règles doivent en connaître les conséquences.
4. Faciliter les bonnes démarches à suivre.
Ne pas appliquer simplement une politique web qui déclare que quelque chose est interdite ; implémenter une passerelle de filtrage, par exemple, qui rend impossible les mauvaises actions.
5. Déterminer une hiérarchie dans les permissions d’accès.
Accorder des accès utilisateurs uniquement à ce qui est nécessaire pour l’accomplissement de leur fonction.
6. Surveiller et améliorer.
Surveiller la conformité aux règles en utilisant les informations sécuritaires et le système de management des événements aussi bien que le manuel de contrôle. N’ayez pas peur d’adapter votre politique de sécurité régulièrement, les menaces évoluent elles aussi continuellement. Si les utilisateurs ne comprennent pas, donnez plus d’exemples. Si c’est difficile de s’y conformer, trouvez des nouveaux supports technologiques, ils sont faits exprès pour vous aider.
* Toutes les données, sauf précision, sont fournies par YouGov Plc. L’enquête a été menée sur 212 Responsables Informatiques, Directeurs Télécoms et Managers Senior du secteur privé. L’enquête a été effectuée online entre le 22 et le 29 Septembre 2008.