Un avis d’expert émanant d’une pointure dans le domaine de la sécurité des données qui pointe du doigt les fuites de données émanant d’erreurs humaines. Intéressant.
Par Nick Banks, vice-président, EMEA et APAC, Imation Mobile Security
Avec la multiplication récente des attaques touchant de grandes entreprises internationales, les fuites de données sont maintenant étroitement liées à la cybercriminalité dans l’imaginaire collectif. Pourtant, cette représentation est erronée et peut même s’avérer dangereuse, surtout lorsqu’elle entraîne un faux sentiment de sécurité. Convaincues qu’elles ne détiennent aucune information qui peut intéresser des criminels (à l’image de données bancaires), certaines entreprises sont persuadées qu’elles n’ont pas besoin d’investir dans une solution de sécurité adaptée et se retrouvent plus exposées qu’elles ne l’auraient été autrement.
Pourtant, une récente étude du Ponemon Institute prouve que, dans 78% des cas, les entreprises citent « des facteurs humains » comme la cause d’atteintes à la sécurité des données. Autrement dit, la plus grande menace qui pèse sur les données d’une entreprise provient non pas de l’extérieur mais de son propre personnel.
Bien sûr, cela ne signifie pas que les employés tentent délibérément de nuire à leur entreprise. L’étude montre au contraire que la plus grande majorité des failles de sécurité est provoquée par des employés au comportement normal, mais qui sont parfois distraits ou négligents, malgré les meilleures intentions et des politiques de sécurité des données bien définies. Cette vérité dérange car il est d’une certaine façon plus confortable pour les dirigeants de penser que leur entreprise peut être la cible de personnes malveillantes situées très loin d’eux, cachées derrière un ordinateur au fin fond d’un sous-sol humide dans un pays étranger.
Le problème pour les entreprises réside donc dans la manière de freiner ces fuites de données internes non intentionnelles, souvent plus difficiles à combattre que des attaques réelles. La gestion des clés USB par exemple, qui s’échanges et s’égarent facilement, peut constituer une véritable difficulté.
Afin de palier à ces difficultés, la technologie propose aujourd’hui des solutions. L’idée est de libérer autant que possible l’utilisateur de cette responsabilité de contrôle, de mettre en place des solutions peu contraignantes, simples à utiliser quel que soit le niveau de connaissance technique, et n’impactant pas la productivité.
Vers une gestion automatisée des périphériques
L’utilisation d’une console de gestion afin d’appliquer une politique de sécurité des données au sein d’une entreprise permet d’éviter ce genre de problème. Les entreprises sont chargées de diriger leurs propres systèmes de gestion, qu’elles peuvent utiliser pour contrôler, définir et appliquer des politiques directement auprès des utilisateurs, si nécessaire. Les logiciels de gestion peuvent en outre suivre et contrôler les périphériques autorisés ainsi que les données téléchargées, et peuvent permettre de bloquer l’utilisation de clés USB non chiffrées. Cela limite le risque d’erreurs humaines en garantissant automatiquement l’utilisation d’un périphérique chiffré.
Les consoles de gestion peuvent également détruire à distance les périphériques USB perdus ou volés, superviser leur utilisation et même contrôler précisément les données pouvant être téléchargées vers des périphériques de stockage portables, en ajoutant ainsi des couches supplémentaires de protection des données. Le personnel est libéré et la conformité est garantie en éliminant le risque d’erreur humaine.
Le chiffrement contre l’erreur humaine
L’utilisation du chiffrement constitue une autre méthode pour contrer l’erreur humaine, à la fois relativement peu coûteuse, simple à gérer et utile à la prévention des atteintes à la sécurité des données. Elle intervient notamment si un périphérique chiffré est volé ou perdu, en assurant la sécurité des données et en limitant les failles.
Les employés sont très sensibles à l’instauration de nouvelles règles de sécurité qui, selon eux, les empêchent de réaliser convenablement leur travail et les rendent moins efficaces. Pourtant, une clé USB chiffrée s’utilise aussi facilement qu’un périphérique non chiffré.
Les employés sont passés maîtres dans l’art de contourner les règles qui leur compliquent la vie et qu’ils n’acceptent pas ou ne considèrent pas nécessaires. Certains d’entre eux sont prêts à suivre les règles qu’ils ont eux-mêmes dictées, quitte à favoriser les fuites de données. Pour remédier à ce problème, des systèmes de gestion peuvent permettre de bloquer l’utilisation de périphériques non chiffrés sur un réseau, et contraindre ainsi le personnel à utiliser des périphériques sécurisés pour transférer les données et éliminer une cause possible d’atteinte à la sécurité des données.
Technologie à déployer, personnel à former
La formation doit aller de pair avec la technologie. Il est important de faire comprendre à chacun ses responsabilités en matière de sécurité des données et comment utiliser la technologie de manière efficace afin de travailler sans risquer de porter atteinte à la sécurité des données. Pour cela, il convient de fournir une formation adaptée ainsi que l’équipement adéquat pour mener à bien ses missions. Exiger l’utilisation de clés USB chiffrées ne revêt aucun sens si elles ne sont pas mises à la disposition du personnel. En matière de sécurité des données, la technologie doit permettre aux employés de mieux réaliser leurs tâches et en toute sécurité.
Toute fuite de données fait l’objet de nombreux articles de presse, d’une indignation générale et de l’exaspération des experts en sécurité. Les pénalités financières sont une chose, mais il s’avère bien plus difficile de quantifier les dommages causés à ces victimes dont les informations confidentielles sont révélées, ou du tort causé à la réputation de l’entreprise en question. Les êtres humains feront toujours des erreurs, donc il revient aux entreprises de s’assurer d’atténuer ce risque.
