La sécurité est essentielle aux opérations commerciales. L'impact perturbateur des attaques par ransomware l'a clairement montré. Mais si les employés ne comprennent pas les objectifs et le raisonnement qui sous-tendent les politiques de sécurité de leur organisation - et si les contrôles techniques sont trop envahissants - cela peut conduire à l'apathie, au ressentiment et même au contournement.
Dans le cadre de la dernière étude HP Wolf Security - Rebellions & Rejections - les chercheurs découvrent des tendances inquiétantes en matière de sécurité du personnel, en examinant comment les équipes de sécurité informatique ont répondu au défi de sécuriser les travailleurs à distance pendant la pandémie, et comment les employés se sont comportés. L'étude s'appuie sur les données d'une enquête mondiale en ligne de YouGov auprès de 8 443 employés de bureau qui sont passés au travail à distance pendant la pandémie et d'une enquête mondiale menée par Toluna auprès de 1 100 décideurs informatiques (ITDM).
Apathiques, frustrés, et de plus en plus rebelles
Les IDM ont fait état de problèmes de sécurité généralisés causés par le passage au travail à distance. Par exemple, la quasi-totalité (91 %) des personnes interrogées ont déclaré s'être senties contraintes de privilégier la continuité immédiate des activités au détriment de la sécurité. Pour aggraver les choses, leurs tentatives de mise à jour des mesures de sécurité ont conduit 80 % d'entre eux à déclarer qu'ils se heurtaient à l'opposition des utilisateurs. C'est particulièrement vrai pour les employés âgés de 18 à 24 ans - des natifs du numérique qui se sentent de plus en plus frustrés par la sécurité qui les empêche de respecter les délais, près d'un tiers (31 %) admettant avoir essayé de contourner les contrôles de sécurité.
Selon Ian Pratt, responsable mondial de la sécurité des systèmes personnels, HP Inc. : "Si la sécurité est trop lourde et pèse sur les gens, ceux-ci trouveront un moyen de la contourner. Au contraire, la sécurité doit s'intégrer autant que possible dans les schémas et les flux de travail existants, grâce à une technologie discrète, sécurisée dès la conception et intuitive pour l'utilisateur. En fin de compte, nous devons faire en sorte qu'il soit aussi facile de travailler de manière sécurisée que de travailler de manière non sécurisée, et nous pouvons y parvenir en intégrant la sécurité dans les systèmes dès le départ."
Principales conclusions de l'enquête
- 76 % des équipes informatiques interrogées admettent que la sécurité a été reléguée au second plan par rapport à la continuité des activités pendant la pandémie, tandis que 91 % se sont sentis poussés à compromettre la sécurité si cela permettait d'assurer la continuité des activités.
- Près de la moitié (48 %) des jeunes employés de bureau (18-24 ans) interrogés considèrent les outils de sécurité comme une entrave, ce qui conduit près d'un tiers (31 %) d'entre eux à tenter de contourner les politiques de sécurité de l'entreprise pour accomplir leur travail.
- 48 % des employés de bureau interrogés sont d'accord pour dire que les mesures de sécurité apparemment essentielles entraînent une perte de temps considérable, ce chiffre passant à 64 % chez les 18-24 ans.
- Plus de la moitié (54 %) des 18-24 ans sont plus préoccupés par le respect des délais que par l'exposition de leur entreprise à une violation des données ; 39 % ne sont pas sûrs du contenu de leur politique de sécurité ou ne savent même pas si leur entreprise en a une, ce qui suggère une apathie croissante ou un manque de sensibilisation chez les jeunes travailleurs.
- En conséquence, 83 % des équipes informatiques interrogées pensent que l'augmentation du nombre de travailleurs à domicile a créé une "bombe à retardement" pour une violation du réseau de l'entreprise.
Le rapport souligne que les contrôles de sécurité sont souvent source de frictions pour les utilisateurs, ce qui suscite du ressentiment et laisse aux équipes de sécurité un sentiment de découragement et de rejet :
- 80 % des équipes informatiques ont rencontré des objections de la part d'utilisateurs qui n'apprécient pas que des contrôles leur soient imposés à la maison ; 67 % des équipes informatiques ont déclaré recevoir des plaintes à ce sujet chaque semaine.
- 83 % des équipes informatiques ont déclaré qu'il est désormais impossible de définir et d'appliquer des politiques d'entreprise en matière de cybersécurité, car les frontières entre vie personnelle et vie professionnelle sont tellement floues.
- 80 % des équipes informatiques ont déclaré que la sécurité informatique devenait une "tâche ingrate" car personne ne les écoutait.
- 69 % des équipes informatiques ont déclaré qu'elles avaient l'impression d'être les "méchants" pour avoir imposé des restrictions.
Réduire les frictions entre utilisateurs et renforcer la culture de la sécurité
En plus de décrire les tendances en matière de sécurité de la population active dans le rapport, des recommandations sont partagées pour réduire la friction des utilisateurs en mettant en œuvre des contrôles de sécurité en tenant compte de la transparence, de la convivialité et de la transformation numérique. L'étude propose également des suggestions sur la manière de créer une culture de sécurité collaborative, ce qui est vital car une gouvernance de sécurité efficace repose sur le respect et l'engagement des employés vis-à-vis des politiques de sécurité.
"Pour créer une culture de sécurité plus collaborative, nous devons engager et éduquer les employés sur les risques croissants de cybersécurité, tandis que les équipes informatiques doivent mieux comprendre l'impact de la sécurité sur les flux de travail et la productivité. À partir de là, la sécurité doit être réévaluée en fonction des besoins de l'entreprise et du travailleur hybride.", déclare Joanna Burkey, responsable de la sécurité informatique (CISO), HP Inc.
Source : HP Wolf Security Rebellions and Rejections Report
Et vous ?
Que pensez-vous de ce rapport ? le trouvez-vous pertinent ?
Qu'en est-il au sein de votre organisation ? trouvez-vous que les protocoles de sécurité peuvent être une entrave à la productivité ?
Vous arrive-t-il de devoir les contourner ?
Voir aussi :
70 % des initiatives d'automatisation sont entravées par des problèmes de sécurité et de données, mais ces défis peuvent être surmontés grâce à une meilleure collaboration des équipes, selon MuleSoft
Les entreprises renforcent leur sécurité contre les cybermenaces : 85 % ont augmenté leur investissement, 72 % leurs effectifs et 79 % ont adopté plus de technologies avancées, selon Micro Focus
Plus de 60 % des équipes DevOps sacrifient la sécurité des conteneurs au profit de la vitesse, selon un rapport de NeuVector