L’accès généralisé des employés aux fichiers sensibles met les données critiques en danger


Rédigé par Communiqué de Varonis le 11 Décembre 2014

Une enquête de Ponemon Institute pour Varonis et menée auprès de plus de 2 000 salariés, montre que les employés disposant d’accès excessifs constituent le risque le plus important de fuites de données.



Malgré le nombre croissant d’atteintes à la protection des données relayées régulièrement dans les médias, 71 % des employés déclarent avoir accès à des données qu’ils ne devraient pas voir, et plus de la moitié indique que ces accès s’avèrent fréquents ou très fréquents.

Alors que l’attention se détourne des attaques externes sophistiquées pour se concentrer sur le rôle souvent joué par les vulnérabilités et les négligences internes, une nouvelle étude commandée par Varonis Systems, Inc. et réalisée par le Ponemon Institute suggère que la plupart des entreprises rencontrent des difficultés à trouver l’équilibre entre un besoin de sécurité renforcée et les exigences de productivité des employés. Les employés qui disposent de privilèges excessifs d’accès aux données représentent un risque croissant pour les entreprises en raison de l’exposition accidentelle et intentionnelle d’informations sensibles ou critiques.

« Les atteintes à la protection des données se généralisent », selon le Dr Larry Ponemon, président et fondateur du Ponemon Institute, un des principaux centres de recherche sur la confidentialité, la protection des données et les politiques de sécurité de l’information. « La croissance du volume des informations numériques et de notre dépendance vis-à-vis d’elles peut submerger les tentatives de protection des données sensibles des entreprises. Cette étude fait apparaître un facteur important souvent négligé : les employés disposent généralement d’accès aux données trop étendus, au-delà de ce qui est nécessaire à l’exécution de leurs tâches professionnelles. Et quand cet accès n’est pas suivi ou audité, une attaque ayant accès aux comptes des employés peut avoir des conséquences dévastatrices. »

Manque de contrôle et croissance des données entravent la productivité
Les informaticiens comme les utilisateurs finaux témoignent d’un manque de contrôle en ce qui concerne l’accès aux données et leur utilisation par les employés. Les deux groupes conviennent généralement du fait que leur entreprise préférerait négliger les risques de sécurité plutôt que sacrifier la productivité. Seulement 22 % des collaborateurs ayant participé à l’enquête estiment que leur entreprise accorde une priorité très élevée à la protection de ses données. Moins de la moitié des employés pensent que leur entreprise applique des politiques de sécurité strictes en ce qui concerne l’utilisation et l’accès aux données. De plus, la prolifération des données commerciales a déjà une incidence négative sur la productivité. En effet, les employés éprouvent davantage de difficultés pour trouver les données dont ils ont besoin et auxquelles ils devraient pouvoir accéder, et pour partager les données appropriées avec les clients, fournisseurs et partenaires.

Les autres principaux résultats en matière de contrôle et de supervision sont les suivants :
- 71 % des utilisateurs finaux indiquent avoir accès à des données de l’entreprise qu’ils ne devraient pas pouvoir consulter.
- 54 % de ces utilisateurs disposant d’accès injustifiés caractérisent ces accès comme fréquents ou très fréquents.
- 4 informaticiens sur 5 (soit 80 %) indiquent que leur entreprise n’applique pas de modèle de moindres privilèges (ou « besoin de savoir ») en ce qui concerne les données.
- 22 % des employés seulement indiquent que leur entreprise a la capacité de les informer sur ce qui est advenu de leurs données, fichiers ou e-mails perdus.
- 48 % des informaticiens déclarent autoriser les utilisateurs finaux à employer les services cloud publics de synchronisation de fichiers ou indiquent que cette autorisation ne s’avère pas nécessaire.
- 73 % des utilisateurs finaux pensent que les volumes croissants d’e-mails, de présentations, de fichiers multimédias et d’autres types de données ont affecté de manière significative ou très significative leur capacité à trouver les données et à y accéder.
- 43 % des utilisateurs finaux indiquent que plusieurs semaines, plusieurs mois ou parfois davantage sont nécessaires pour recevoir l’accès aux données permettant la réalisation de leurs tâches. Seuls 22 % déclarent que cet accès leur est accordé en quelques minutes ou en quelques heures.
- 60 % des informaticiens déclarent qu’il est difficile ou très difficile pour les employés de rechercher et de trouver les données ou fichiers qu’eux-mêmes ou leurs collègues ont créés si ceux-ci ne sont pas stockés sur leurs propres ordinateurs.
- 68 % des utilisateurs finaux indiquent qu’il est difficile ou très difficile de partager les données ou les fichiers appropriés avec leurs partenaires commerciaux tels que clients ou fournisseurs.

Des vulnérabilités internes exposées
Les conclusions de l’enquête indiquent également que les informaticiens et les utilisateurs finaux s’accordent sur le fait que les comptes d’employés détournés pouvant conduire à des fuites de données sont très probablement le fait de collaborateurs internes disposant d’accès excessifs et souvent inconscients des risques que ceux-ci représentent. 50 % des utilisateurs finaux et 74 % des informaticiens estiment que les erreurs, les négligences ou la malveillance d’employés sont fréquemment ou très fréquemment à l’origine des fuites de données. Et seulement 47 % des informaticiens indiquent que les employés de leur entreprise prennent des mesures appropriées pour protéger les données auxquelles ils accèdent. Lorsque des fonctionnalités de gestion des permissions et d’audit ne sont pas mises en place, l’accès excessif des employés aux données et leur négligence vis-à-vis de la sécurité constituent des dangers supplémentaires pour les données de l’entreprise.

Les autres principaux résultats relatifs aux causes premières d’atteinte à la protection des données sont les suivants :

- 76 % des utilisateurs finaux indiquent que leur travail exige l’accès et l’emploi d’informations propriétaires telles que des données relatives aux clients, des renseignements sur les collaborateurs, des rapports financiers et des documents commerciaux confidentiels.
- 38 % des utilisateurs finaux indiquent qu’eux-mêmes et leurs collègues peuvent consulter « beaucoup de données » auxquelles ils ne devraient pas avoir accès.
- Seuls 47 % des professionnels de l’informatique déclarent que les utilisateurs finaux prennent des mesures appropriées pour protéger les données de l’entreprise auxquelles ils accèdent.
- 76 % des utilisateurs finaux jugent qu’il est parfois acceptable de transférer des documents de travail sur leurs périphériques personnels, alors que seulement 13 % des informaticiens en conviennent.
- 49 % des informaticiens indiquent qu’il est improbable ou impossible de déterminer avec précision ce qu’il est advenu des documents, fichiers ou e-mails perdus ou modifiés de manière inattendue.
- 67 % des informaticiens indiquent que leur entreprise a fait l’expérience d’une perte ou d’un vol de données au cours des deux dernières années, alors que seulement 44 % des utilisateurs finaux pensent que ce type d’événement s’est produit.

« Ces conclusions devraient servir de signal d’alarme pour toute organisation stockant des informations sur ses clients, ses employés ou ses partenaires commerciaux, c’est-à-dire presque n’importe quelle entreprise ou institution du monde d’aujourd’hui », déclare Yaki Faitelson, cofondateur et directeur général de Varonis. « La protection du périmètre a fait l’objet d’une attention et d’investissements énormes, mais les bases fondamentales de la sécurité des données à l’intérieur de l’entreprise, à savoir les contrôles d’accès et l’audit, sont souvent négligées. La combinaison d’accès inutiles et d’un manque de fonctionnalités d’audit constitue la recette d’une catastrophe inévitable. Nous constatons également que l’absence de contrôle et de supervision a une incidence sur la productivité des employés, car ceux-ci éprouvent des difficultés pour trouver les données, y avoir accès et les partager facilement et en toute sécurité avec les partenaires commerciaux. Varonis aide des milliers d’entreprises du monde entier à relever ces défis non seulement en réduisant les risques de manière considérable, mais aussi en améliorant simultanément la productivité et l’efficacité des collaborateurs. »

Le rapport d’étude intitulé « Données : actifs protégés ou bombe à retardement ? » se fonde sur des entretiens menés en octobre 2014 auprès de 2 276 employés aux États-Unis, au Royaume-Uni, en France et en Allemagne. L’ensemble des personnes interrogées comprend 1 166 informaticiens et 1 110 utilisateurs finaux issus d’entreprises de tailles variant de quelques douzaines à plusieurs dizaines de milliers d’employés, dans divers secteurs, dont les services financiers, le secteur public, le secteur santé et l’industrie pharmaceutique, la vente au détail, le secteur industriel, le secteur technologique et l’industrie du logiciel.

Informations complémentaires
Veuillez visiter http://www.varonis.com/research/why-are-data-breaches-happening pour obtenir le texte intégral de l’étude.



Dans la même rubrique :