Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

L'homme demeure le maillon le plus faible de la sécurité de l'information,
Selon un nouveau rapport sur la protection des données aux Etats-Unis

Le , par Stan Adkens

90PARTAGES

26  0 
Dans un monde qui se connecte davantage, les entreprises engrangent de plus en plus de données qu’elles stockent sur des bases informatiques en les rendant accessibles par le personnel et certains partenaires. La protection de ces données est donc un enjeu majeur dans la relation de confiance que souhaite construire l’entreprise avec ses employés, ses clients et ses fournisseurs dans un environnement où les exigences en matière de protection des données et les meilleures pratiques continuent d'évoluer. C’est par ailleurs ces meilleures pratiques en matière de protection des données que le service de sécurité de l'information Shred-It cherche à déterminer chaque année parmi les propriétaires de petites entreprises (SBO), les cadres supérieurs des grandes entreprises et le grand public, à travers les Etats-Unis pour aider les Américains à atteindre leurs objectifs dans ce paysage changeant de la protection d’informations.

L’enquête annuelle sur l'état de la protection des données 2019 de Shred-It a porté sur 100 cadres supérieurs, 1000 propriétaires de petites entreprises et 2000 personnes du grand public à travers les États-Unis. L’objectif étant de découvrir et de quantifier les risques et les opportunités auxquels font face les entreprises et les consommateurs américains, y compris les avantages et les inconvénients d'une mauvaise manipulation des données et/ou d'une violation.


Selon un nouveau rapport sur la protection des données Shred-It, plus de la moitié (53 %) de tous les cadres supérieurs interrogés et 28 % des propriétaires de petites entreprises qui ont déjà subi une atteinte à la protection des données affirment que l'erreur humaine ou la perte accidentelle par un distributeur ou un fournisseur externe en est la cause. Le rapport révèle également que 21 % des cadres supérieurs et 28 % des propriétaires de petites entreprises admettent que le vol délibéré ou le sabotage par un employé ou un membre de la direction a été la cause de la violation de données. Ann Nickolas, vice-présidente senior chez Stericycle, le fournisseur de solutions de sécurité de l'information Shred-It, a déclaré à ce propos :

« Pour la deuxième année consécutive, la négligence des employés et la collaboration avec des fournisseurs externes continuent de menacer la sécurité de l'information des entreprises américaines ». « Cependant, cette année, le rapport a révélé à quel point le sabotage délibéré par les employés et les partenaires externes est un risque bien réel auquel les organisations sont confrontées aujourd'hui », a-t-elle ajouté.

Le nouveau rapport constate également que les règles de sécurité sont en hausse, mais que leur pratique dans les entreprises est en baisse. En effet, 43 % des cadres supérieurs et 31 % des SBO affirment que le vol délibéré ou le sabotage d'un distributeur ou d'un fournisseur externe a causé une violation des droits de leur organisation.

En outre, alors que 98 % des cadres supérieurs et 88 % des propriétaires de petites entreprises ont indiqué qu'ils comprenaient bien les exigences légales, seulement 73 % de ces cadres supérieurs ont admis qu'ils respectent strictement les règles connues et comprises en matière de stockage et d'élimination des documents papier confidentiels, et 69 % de cette même catégorie confirment qu'ils respectent les politiques relatives aux appareils électroniques en fin de vie. 57 % des SBO interrogés admettent le strict respect des règles de protection de données pour les documents papier et 42 % seulement de cette même catégorie confirment le respect des mesures relatives aux dispositifs électroniques en fin de vie.

Bien que des atteintes à la protection des données aient couramment pour conséquences des dommages juridiques, financiers et une atteinte à la réputation de l’entreprise victime, le rapport sur la protection des données Shred-It a révélé un autre impact que pourraient avoir ces violations de données. Selon le rapport, « les atteintes à la protection des données peuvent également affecter la rétention des employés ». En effet, l’enquête 2019 de Shred-It a constaté que l'un des facteurs les plus importants est qu'une atteinte a un effet immédiat sur la confiance des employés dans une organisation.

En fait, 33 % du personnel des entreprises américaines affirme qu'ils chercheraient probablement un nouvel emploi si leur employeur subissait une violation des données des clients (31 %) ou des employés (35 %). Tandis que près de la moitié des consommateurs, 47 % des répondants, attendraient de voir comment une entreprise réagit à une atteinte à la protection des données avant de décider quoi faire, 23 % cesseraient de faire affaire avec l'entreprise et 31 % en parleraient aux autres de la violation de données.

L’enquête s’est aussi intéressée à la proportion des atteintes à la protection des données signalées aux Etats-Unis. Selon le rapport, le nombre d'atteintes à la protection des données signalées aux États-Unis a doublé au cours de la dernière année : ainsi cette année, selon le rapport Shred-It, 43 % des cadres supérieurs ont confirmé une atteinte à la protection des données comparativement à 32 % en 2018, 8 % des petites entreprises ont signalé une atteinte comparativement à 3 % en 2018.

Mais malgré cette hausse de la proportion des atteintes à la protection des données signalées, 55 % des cadres supérieurs répondants ont affirmé à Shred-It que ces atteintes ne constituent pas un problème majeur exagéré. Bien au contraire, 79 % des propriétaires de petites entreprises pensent qu'une infraction est un problème sérieux pour toute organisation et 86 % des consommateurs américains sont d'accord avec eux.


Selon le rapport, cette divergence de point de vue sur la gravité des atteintes à la protection des données entre les cadres supérieurs et les consommateurs est inquiétante à un moment où la protection des données personnelles est devenue une exigence pour toutes les tailles d’entreprises. Par ailleurs, les études qui mettent l’accent sur les dangers internes à l’entreprise se multiplient ces dernières années.

En effet, le rapport de BetterCloud, spécialiste de la gestion des opérations SaaS, publié en mars dernier, 91 % des professionnels de l'informatique et de la sécurité se sentent vulnérables aux menaces internes et 75 % estiment que les risques les plus importants résident dans les applications cloud telles que les solutions de stockage de fichiers et de courrier électronique telles que Google Drive, Gmail et Dropbox. Le rapport indique également que 62 % des personnes interrogées pensent que la plus grande menace pour la sécurité provient de l'utilisateur final bien intentionné, mais négligent.

Un autre rapport publié en février dernier par Dtex Systems, le spécialiste des menaces internes, a analysé les informations des terminaux utilisés en milieu professionnel, mais aussi plus de 300 000 comptes d’employés et de sous-traitants. Et il s’est avéré aussi que les employés négligents ont été la cause principale des menaces internes.

Source : Shred-It

Et vous ?

Quel commentaire faites-vous de ce rapport ?
Selon vous, l’homme reste-t-il le maillon le plus faible de la sécurité de l'information ?

Lire aussi

Les employés et les sous-traitants exposent les informations en ligne dans 98% des organisations, selon un rapport
Les menaces internes posent les plus grands risques de sécurité dans une entreprise, selon un sondage qui met l'accent sur les employés négligents
La plupart des entreprises n'investissent pas suffisamment dans la sécurité des applications, jusqu'à ce que survienne une attaque informatique
BYOD : 85 % des entreprises autorisent l'accès à leurs données sur des appareils personnels, mais, craignent pour la sécurité et la confidentialité

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Mingolito
Membre extrêmement actif https://www.developpez.com
Le 19/06/2019 à 8:00
Citation Envoyé par TheLastShot Voir le message
Jusqu'à preuve du contraire, développez.com n'est pas une revenue scientifique et nous ne sommes pas les pairs de ces chercheurs.
Quand un sujet informatique pro est commenté par des professionnels IT ce qui est le cas sur certains sujet sur ce forum dans un sens si, ça reviens exactement à ça à savoir par l'expérience confirmer ou infirmer une hypothèse.
La ici c'est pas le cas puisque c'est parti sur des banalités sans intérêts voir des commérages hors sujet au lieu de traiter du fonds du sujet, bref comment troller pour rendre un débat inintéressant et idiot.

Pour ma part je pense que d'un point de vue des directions DI/DSI et sécurité cette question est d'une importance capitale, d'une part certains essaient de mettre en place des solutions de sécurités prétendument inviolables, mais en fait tout cela est vain puisque dans une entreprise le personnel se comporte toujours de façon aussi débile vis à vie des problèmes de sécurité.

Donc les Directions informatique ou cybersécurité sont elles toujours aussi incompétentes à former les utilisateurs ? Problème de sous effectif ? de formation ? de prise de conscience ? ou simple négligence ou incompétence ?

Et puis il est clair que même les développeurs, censés être des professionnels, sont très mal formés à la cybersécurité, exemples flagrants : Nombreux sont les développeurs d'applications sur iOS qui prennent des raccourcis en matière de sécurité, Certains développeurs freelances et étudiants en IT ne sécurisent pas les mots de passe au stockage à moins d'y être invités, etc...

Après que peu on attendre des développeurs ? Si on crois qu'on peu former un développeur web full stack en 3 mois, alors qu'il à même pas le Bac, on risque pas de pouvoir le former aussi à la cybersécurité, donc on met sur le marché quoi : une faille de sécurité sur pattes : Coding Bootcamp : on leur a promis un job de développeur, mais c'était une arnaque.

Mais il y a pire, en fait même s'ils le voulaient les directions informatique ou cybersécurité en réalité ne peuvent le plus souvent pas faire leur boulot, voila pourquoi : 94 % des DSI et RSSI ont déjà renoncé à une mise à jour de sécurité pour ne pas gêner l'activité commerciale de l'entreprise + Sécurité : 72 % des professionnels de la cybersécurité envisagent de quitter la profession faute de ressources.
7  0 
Avatar de Neckara
Expert éminent sénior https://www.developpez.com
Le 19/06/2019 à 7:30
Citation Envoyé par Songbird Voir le message
C'est le principe de la recherche.
Je ne savais pas que Shred-it (entreprise vendant des solutions pour détruire des documents confidentiels) était un journal scientifique.
5  0 
Avatar de Neckara
Expert éminent sénior https://www.developpez.com
Le 19/06/2019 à 9:44
Citation Envoyé par Mingolito Voir le message
Quand un sujet informatique pro est commenté par des professionnels IT ce qui est le cas sur certains sujet sur ce forum dans un sens si, ça reviens exactement à ça à savoir par l'expérience confirmer ou infirmer une hypothèse.
La ici c'est pas le cas puisque c'est parti sur des banalités sans intérêts voir des commérages hors sujet au lieu de traiter du fonds du sujet, bref comment troller pour rendre un débat inintéressant et idiot.
C'est surtout que ce débat commence par "L'eau ça mouille, selon un nouveau rapport".

Le reste, comme une grande partie des actualités maintenant, est constitués de pavés illisibles. Les points principaux ne sont pas du tout mis en avant :
  • sabotages de la part de distributeurs/fournisseurs.
  • problème de non-destruction des données (ça tombe bien, c'est le cœur de métier de Shred-It).
4  0 
Avatar de marsupial
Membre expert https://www.developpez.com
Le 19/06/2019 à 11:50
Deux points me viennent à l'esprit :
- même bien intentionné et sensibilisé, il y aura toujours un employé pour se faire prendre au phishing
- même bien intentionné et formé, il y aura toujours un employé qui outrepassera les règles de sécurité en se disant ce n'est pas pour moi (exemple du contractuel de la NSA ramenant des outils chez lui et se les fait aspirer par Kaspersky)

De ce constat,le RSSI doit être un grand paranoïaque patenté pour ne pas servir de bouc émissaire lors d'une fuite ou attaque. Donc cette étude doit être mise en comparaison avec celle mettant en relief que la grande majorité des ingénieurs en sécurité veulent quitter leur travail et abandonner leur carrière; et celle montrant une grande majorité des RSSI abandonnant contre leur gré l'idée de patcher le parc pour ne pas gêner la production.

A l'heure où le marché du travail de la sécurité est tendu, je pense que la situation devient grave. Aux décideurs de prendre leurs responsabilités.
3  0 
Avatar de Mingolito
Membre extrêmement actif https://www.developpez.com
Le 19/06/2019 à 14:43
Oui enfin en même temps le plus gros des études sont bidonnées parce que financées par le secteur privé pour faire valoir leur propres intérêt ("Le glyphosate c'est bon mangez en !", que le système de "review par les pair" ne fonctionne plus la plupart du temps sur les revues scientifiques et que pire encore ces revues publient n'importe quoi y compris les plus gros fakes imaginable, des journalistes ont fait publier des articles débiles et c'est passé comme une lettre à la poste, ça à fait scandale, et plus c'est gros plus ça passe.

Donc d'avoir en commentaire les témoignages des professionnels oui en comparaison ça a bien une valeur, peut être pas sur ce sujet précis ici mais sur certains autres sujets cela m'a semblé intéressant, surtout qu'ici on peu tracer l'historique des commentateurs, on peu arriver à savoir plus facilement qui est crédible (profil ancien avec beaucoup de participations utiles) et qui est un publicitaire ou un troll (nouveau profil avec aucun autre commentaires ou avec des commentaires idiots pour faire du vent), alors que c'est plus difficile sur un forum avec des commentaires anonymes ou quand le forum ne permet pas de consulter l'historique.
4  1 
Avatar de TheLastShot
Membre extrêmement actif https://www.developpez.com
Le 18/06/2019 à 20:59
Un "nouveau" rapport qui nous dit ce qu'on sait déjà et qui a déjà été montré de nombreuses fois, fort intéressant comme information.
7  5 
Avatar de Doksuri
Membre expert https://www.developpez.com
Le 19/06/2019 à 9:36
faudrait mettre a jour l'article :

L'homme demeure et demeurera le maillon le plus faible de la sécurité de l'information
2  0 
Avatar de TheLastShot
Membre extrêmement actif https://www.developpez.com
Le 19/06/2019 à 12:26
Citation Envoyé par Mingolito Voir le message
Quand un sujet informatique pro est commenté par des professionnels IT ce qui est le cas sur certains sujet sur ce forum dans un sens si, ça reviens exactement à ça à savoir par l'expérience confirmer ou infirmer une hypothèse.
Le problème c'est que contrairement à une revenue scientifique (ce que n'est toujours pas developpez.com, n'en déplaise à tous ceux qui m'ont mis un pouce rouge parce que soit ils ne savent pas ce qu'est la méthode scientifique, soit ça les as piqué au vif de se l'entendre dire), il n'y a pas de pairs qui vont faire leurs propres recherches et confronter leurs résultats. Il y a, comme tu l'as des, des professionnels (et pas que) qui vont commenter, donner un avis, peut-être une anecdote.... Mais on est loin d'un expérience avec un protocole clair et déterminé destiné à confirmer ou infirmer l'hypothèse.
2  0 
Avatar de sergio_is_back
Membre émérite https://www.developpez.com
Le 20/06/2019 à 13:19
Citation Envoyé par Stan Adkens Voir le message

« Pour la deuxième année consécutive, la négligence des employés et la collaboration avec des fournisseurs externes continuent de menacer la sécurité de l'information des entreprises américaines ». « Cependant, cette année, le rapport a révélé à quel point le sabotage délibéré par les employés et les partenaires externes est un risque bien réel auquel les organisations sont confrontées aujourd'hui »
Pas besoin de solutions de sécurité couteuses et inefficaces la plupart du temps alors. La solution c'est de virer tous les employés !!! Et de se passer de fournisseurs externes et de partenaires !!!

Vu que le problème est bien identifié, c'est facile de résoudre !
Allez je vous laisse, faut que j'aille préparer le mailing de licenciement pour mes sous-fifres !
Ha, oui.... Et aussi que j'appelle tous mes fournisseurs pour leur dire d'aller se faire voir !!!

Je vous donnerai des nouvelles sur le niveau de sécurité de ma boite après ça....
2  0 
Avatar de Neckara
Expert éminent sénior https://www.developpez.com
Le 19/06/2019 à 14:55
Citation Envoyé par Mingolito Voir le message
Oui enfin en même temps le plus gros des études sont bidonnées parce que financées par le secteur privé pour faire valoir leur propres intérêt ("Le glyphosate c'est bon mangez en !"
Non, les études bidonnées sont très très rares. Les études retirées (et pas uniquement bidonnées) ne sont même pas d'une pour 2 000.

Citation Envoyé par Mingolito Voir le message
, que le système de "review par les pair" ne fonctionne plus la plupart du temps plus sur les revues scientifiques et que pire encore ces revues publient n'importe quoi y compris les plus gros fakes imaginable, des journalistes ont fait publier des articles débiles et c'est passé comme une lettre à la poste, ça à fait scandale, et plus c'est gros plus ça passe.
Attention à ne pas tout confondre.

Il y a revues et revues. Notamment les revues prédatrices n'ont aucune valeur. Les revues Q1 ou Q2 en revanche sont bien plus sérieuses.
Après, il faut aussi se rappeler que les sociologues ne font, de leur propre aveux, pas de la Science…
0  0