La sécurité reste conditionnelle. Alors que 71% des professionnels pensent que la sécurité doit être une priorité supérieure aux enjeux liés à la flexibilité du business de l’entreprise, ils sont nombreux à contourner les règles, par manque de vigilance ou de manière intentionnelle, devant l’urgence à conclure un important contrat !
A travers cette étude, Balabit, fournisseur européen de technologies de sécurité contextuelle, s’est attaché à définir comment les entreprises prennent réellement en compte l’équilibre entre sécurité IT et efficacité de leur business. Balabit a ainsi interrogé 381 professionnels, responsables directs de la sécurité, CIO et autres responsables IT pour évaluer cet équilibre instable. Pour 71% d’entre eux, la priorité donnée à la sécurité doit primer sur les enjeux business (41%) ou a minima être prise en compte de manière égale au business (30%). Pour les 29% restants, la flexibilité du business reste clairement la préoccupation principale.
Lorsque ces mêmes professionnels IT sont interrogés à propos de l’impact d’une opportunité business sur le respect des règles de sécurité, 69% d’entre eux déclarent qu’un contournement des règles n’est pas inenvisageable. Dans les faits, cela peut se traduire par une action accidentelle ou intentionnelle, par exemple une connexion non sécurisée dans un cybercafé pour envoyer dans l’urgence un contrat signé par e-mail, etc. Bref, il reste encore un long chemin à parcourir.
Pour obtenir un bon équilibre entre sécurité d’un côté et flexibilité et performances business de l’autre, mieux vaut privilégier des solutions qui ne changent pas les process utilisateurs existants. Quand ceux-ci sont contournés accidentellement par un utilisateur interne, cela créé des vulnérabilités : les cybercriminels peuvent alors accéder facilement au réseau de l’entreprise. Du coup, le risque de compromission d’un compte utilisateur devient fort, avec toutes les conséquences que cela peut engendrer.
Selon la dernière étude du Ponemon Institute, les attaques internes causent le plus de fuites de données. L’éditeur luxembourgeois démontrait d’ailleurs auprès des participants de la conférence Black Hat que 70% des professionnels considèrent les menaces internes comme les plus risquées. Les abus d’utilisation internes (qu’ils soient intentionnels ou accidentels) ne peuvent pas être détectés par les outils de contrôles traditionnels existants, ce qui impose de mettre en place une approche différente.
