C’est le conseil que l’on peut fournir aux entreprises suite à une étude menée récemment par le Ponemon Institute sur demande de Varonis. Celle-ci a été faite auprès d’un échantillon composé de 2276 employés américains, britanniques, français et allemands d’entreprises de tous types et de toutes tailles.
Le manque de restriction est une source de vulnérabilité
Selon le rapport lié à cette étude, 71% des personnes interrogées affirment pouvoir mettre la main à des données qui ne ressortent pas de leur compétence légale. Plus de 50% soutiennent consulter fréquemment ces données. Et ces dernières constituent souvent des informations importantes pour la vie de l’entreprise selon le tiers de l’échantillon.
L’entreprise ne devra pas rester impassible face à un tel phénomène, selon le Ponemon Institute dans le rapport de l’enquête. En ne faisant pas assez de restriction sur l’accès à ses données en effet, elle compromet sa sécurité. Le risque est notamment élevé si les données faisant l’objet d’une « liberté » d’accès contiennent des informations sensibles ou critiques.
Pour donner plus de crédit aux résultats de cette étude, le Ponemon institute a départagé son échantillon entre 1166 informaticiens et 1110 utilisateurs finaux.
Trop de droits accordés aux salariés
Un droit élargi sur l’accès aux données accordé à un salarié est une faille exploitable pour pirater le système informatique d’une entreprise. Un seul compte attaqué peut en effet permettre aux hackers d’atteindre toute l’organisation. Si les 75% des informaticiens peuvent déterminer une telle faille, les utilisateurs finaux ne sont que 50% à pouvoir l’identifier.
Les entreprises, de leur part, n’accordent pas d’importance à la sécurisation des données selon 22% des répondants. Au nom de la productivité, elles ont tendance à fournir trop de droits à leurs employés en leur donnant un accès à des données qui devraient être confidentielles. Pour la majorité des informaticiens, il n’y a pas application du modèle du « besoin de savoir » au sein de leur entreprise. Pour rappel, ce modèle consiste à n’autoriser l’accès à des données qu’à des personnes qui en ont légalement besoin. Pourtant, la moitié des informaticiens l’affirment, aucune précaution n’est prise par les utilisateurs auxquels on a fourni le droit d’accès aux informations d’une entreprise. Ce qui fait accroître le risque de piratage (exemple sur Infosolite Pinguinalité).
Un véritable casse-tête
50% des organisations actuelles ont la possibilité de synchroniser des informations entre l’internet et les services de cloud public. Certaines d’entre elles n’ont même pas besoin d’accomplir des formalités auprès de la DSI. Toutefois, si l’on surveille l’accès, un accès légitime peut ne pas être obtenu par un utilisateur final qu’après plusieurs jours ou semaines. 43% des utilisateurs interrogés en ont fait confirmation. Seuls 22% ont soutenu que l’obtention d’accès est rapide. Pourtant, 75% des interrogés ne peuvent exercer leur travail sans consulter des données sensibles.
Les différends liés au partage des données deviennent ces temps-ci de plus en plus courants au sein des organisations. La majorité des informaticiens déplorent en effet l’incapacité des utilisateurs à trouver des données se trouvant dans une machine autre que la leur. Les utilisateurs finaux, de leur part, regrettent la difficulté du partage de ces données avec des partenaires externes. Pas facile pour un dirigeant de trouver la meilleure solution dans telles conditions.