Publié le 23-03-2007 à 15:06:06 dans le thème Réseau - Sécurité

Pays : International - Auteur : Damien Bancal

Pub : Participez à des batailles navales sanglantes et gagnez 10000 € sur Bigpoint.fr

La mauvaise formation initiale des employés fait courir des risques aux entreprises d'Europe.

McAfee Inc. annonce les résultats d'une nouvelle étude, qui montre l'importance qu'a le processus d'accueil des nouveaux employés par les RH dans la sécurité des entreprises européennes. Le rapport « Employee Education Gap » s'appuie sur un échantillon de plus de 1000 PME (de 50 à 250 employés) en Europe et met en lumière quelques lacunes majeures dans le processus de formation, qui rendent les entreprises vulnérables aux attaques.

Voici quelques résultats majeurs révélés par cette étude :

-          La sécurité à l'abandon. 32 % seulement des PME d'Europe intègrent la sécurité de l'informatique à la formation de leurs employés.

-          Le Royaume-Uni au premier rang. Le Royaume-Uni compte le plus d'entreprises où la plupart des employés suivront des sessions de sensibilisation, alors que moins d'un tiers des entreprises en France et en Italie font suivre de sessions à tous leurs employés.

-          La pression augmente. 70 % des personnes consultées pensent que les employeurs sont aujourd'hui plus sensibles aux risques associés aux nouveaux employés qu'ils ne l'étaient trois ans auparavant.

-          Gérer les risques ? 39 % seulement des entreprises mettent à la disposition de leurs employés des consignes concernant le contenu des e-mails et le style à utiliser, 28 % pour l'utilisation des systèmes portables de stockage et 23 % pour les ordinateurs portables.

Employeur/employé, rejet des responsabilités

Lorsque survient un problème de sécurité, la plupart des entreprises considèrent que l'utilisateur final est plus en cause que l'employeur, ce qui a de sérieuses implications au niveau de la responsabilité légale. Par exemple, 55 % considèrent que l'employé est responsable de l'e-mail personnel qui a disséminé un virus sur le réseau de l'entreprise. De même, 67 % considèrent que l'employé est responsable en cas de vol d'un portable. Il est clair que chaque employé a un rôle dans la sécurisation des avoirs de son entreprise, mais le manque de précision du processus de formation, voire son absence totale, expose injustement les employés. Les employeurs doivent tenir compte des précédents légaux* en Europe, qui se sont traduits par de lourdes condamnations à l'encontre de l'employeur, suite à l'envoi par un employé d'e-mails considérés comme diffamatoires par le destinataire ou en contravention avec le contrat client ou les règles de confidentialité.

Les entreprises doivent donc être très claires sur ce qui est de la responsabilité des employés et ce qui est une omission de l'employeur. Les résultats de l'étude soulignent que, pour les problèmes de sécurité, les approches actuelles peuvent être inadaptées en ce qui concerne la responsabilité. Même si ce sont les actions de l'employé qui ont entraîné un problème, c'est souvent l'employeur qui est tenu pour responsable des processus et des conditions des incidents.

Greg Day, Analyste sécurité chez McAfee, commente : « Beaucoup d'entreprises font une priorité de la formation de leurs employés, mais beaucoup ne prennent pas efficacement en compte un élément majeur du travail de chaque employé : son PC et les règles d'utilisation d'Internet. Elles ignorent également l'opportunité que représente l'arrivée de nouveaux employés pour injecter dans leur force de travail un sens de la vigilance et de la sécurité. Cette omission, accompagnée d'un manque très net d'application des règles, augmente le risque de voir les nouveaux employés enfreindre les protocoles de sécurité de l'entreprise, consciemment ou non. »

La manie du secret...

Dans un contexte où les gens changent de travail de plus en plus souvent, les entreprises reçoivent encore plus de « nouveaux » qu'auparavant. Rien qu'au Royaume-Uni, sept millions de personnes ont changé d'entreprise en 2005/2006, ce qui veut dire que plus d'un quart de la population active (29 millions) a commencé un nouveau travail sur une période de 12 mois.

Une entreprise de taille moyenne, qui n'a pas forcément un département dédié à l'informatique, doit prendre très au sérieux l'éducation de ses employés en matière de sécurité des informations. Même si 73 % des entreprises consultées ont révisé leurs règles de formation dans les 12 derniers mois, l'accès à ces informations est restreint après la session initiale. Soit elles sont conservées dans un dossier papier, soit elles sont sur le réseau, mais leur accès est réservé. Dans un tiers seulement des entreprises, ces documents sont disponibles pour tous sur l'intranet ou dans un dossier partagé.

M. Day confirme que « Certaines entreprises ont le discours qu'il faut, mais ne vont pas plus loin, à défaut de bâtir des processus en ligne avec leurs règles. En ce qui concerne la formation initiale, certains pays considèrent qu'ils ont des processus en place, mais la documentation des règles censées les soutenir n'est pas aisément accessible. »

De la variabilité des formations...

En moyenne, les formations initiales sont les plus courtes en Allemagne, durant moins de trois heures pour 36 % des entreprises. L'Espagne est à l'autre bout de l'échelle, avec plus de 2 jours (pour 32 % des entreprises consultées), le Royaume-Uni et la France étant aux alentours d'une demi-journée.

Billy Hamilton Stent, Directeur chez Loudhouse Research, le cabinet qui a conduit l'étude, conclut que « Le processus de formation initiale est l'occasion idéale de générer chez les utilisateurs une position vigilante en matière de sécurité. Il ne s'agit pas de publier la liste de ce qu'il faut faire et ne pas faire, mais plutôt de définir clairement des procédures de travail, de sécurité et de confiance, qui réduiront les risques encourus par les employés et les employeurs. Il faut regretter que seule une minorité d'entreprises voient la situation sous cet angle. »

Un problème de confiance ?

Avec 70 % des entreprises plus sensibles aujourd'hui qu'il y a trois ans aux risques posés par les nouveaux employés, il est clair qu'elles sont conscientes du danger d'avoir des employés mal informés. Elles doivent cependant être prudentes quant à la façon d'imposer un contrôle. 72 % considèrent que les employés sont conscients d'être surveillés de plus près par leur employeur. 29 % trouvent que cette situation renforce la confiance, mais 28 % sont de l'avis contraire.

M. Day concluait : « Le niveau d'inquiétude concernant l'impact sur la sécurité de l'activité des employés dans leur ensemble, et plus spécialement des nouveaux employés, peut influencer la façon dont une entreprise gère la formation initiale. Le point essentiel est d'établir un équilibre entre la réglementation des activités des employés, l'autonomie qui leur est accordée et le maintien de relations ouvertes et constructives avec eux. Un climat de confiance est de la plus haute valeur et des processus inadaptés peuvent avoir sur lui un effet négatif. »

À la lumière des résultats de l'étude, les cinq éléments suivants constituent un bon point de départ pour mettre au point une liste de vérification de la sécurité.

-          Couvrir toutes les bases. S'assurer que la formation accorde assez de temps à l'exposition aux risques, ce qui peut mettre en évidence des lacunes dans l'approche qu'a l'entreprise de la sécurité.

-          Estimer la sensibilisation des employés. Évaluer le niveau d'information des employés sur des problèmes de sécurité comme le spam, les clauses de non-responsabilité dans les e-mails et le travail mobile.

-          Clarifier les responsabilités. Commencer l'étude du risque en évaluant la façon dont l'entreprise définit les responsabilités en matière de problèmes de sécurité. Les sites du gouvernement et spécialisés sont une bonne référence pour débuter.

-          Demander une analyse indépendante. Inviter un tiers indépendant, un partenaire ou un client à étudier votre processus de formation, pour signaler les points où les informations pourraient être améliorées.

-          Créer des responsables de sécurité. Identifier le personnel qui peut prendre la responsabilité d'assurer une approche vigilante de la sécurité des informations et de la sensibilisation des employés.

*Western Provident Association v Norwich Union (ENGEL, D. (1998) Caught by the net: avoiding cyberliability. Flexible Working. Vol 3, No 4, May. pp15-16.)

Notes

1185 interviews ont été conduites en ligne avec le responsable de la formation des nouveaux employés, d'un point de vue RH ou hiérarchique. Les entreprises participant à l'étude comptaient de 50 à 250 employés et appartenaient à divers secteurs.

Un virus exploite Facebook et MySpace

Un code malicieux du nom de BoFace utilise les comptes personnels de MySpace et FaceBook pour s´inviter dans les ordinateurs des amateurs de réseaux sociaux.

Un million de CD et DVD piratés saisis

Grosse prise dans le monde de la copie de film. Environ un million de DVD et de CD piratés ont été saisis par des policiers dans le sud-ouest de Sydney.

Dans la boule de cristale de Fortinet

Les prédictions des menaces informatiques et les solutions pour les entreprises en 2009.

Carte bancaire piratée: Fakacarda fermé

Un important site dédié à la fraude à la carte bancaire fermé. Il réapparait sous un notre nom quelques heures plus tard.

Une semaine d´avance pour les résultats des votes prud'homales

Élections prud´homales : les résultats du vote électronique disponibles pour le Ministère une semaine avant la fin du scrutin. La faible participation fait courir des risques au secret du vote.

Projet de loi contre le phishing

La sénatrice Jacqueline Panis propose de punir d´un an de prison et de 15.000 euros d´amende le français qui aurait l´idée de se lancer dans le phishing.

Un faux plugin Firefox pour voler les mots de passe

Détection d´une nouvelle méthode de vol des mots de passe sur Internet. Une application de détournement de mot de passe, masquée en plugin pour Firefox, filtre les informations de connexion des utilisateurs.

L´académie de Nancy-Metz ne protége pas ses adresses électroniques

Plusieurs centaines d´adresses électroniques en accès libre sur le site de l´académie de Nancy-Metz.

Dans la boule de cristale de Fortinet

Les prédictions des menaces informatiques et les solutions pour les entreprises en 2009.

L´académie de Nancy-Metz ne protége pas ses adresses électroniques

Plusieurs centaines d´adresses électroniques en accès libre sur le site de l´académie de Nancy-Metz.

Poker en ligne : piratage et escroquerie depuis 4 ans

Une vaste escroquerie Internet a visé plusieurs casinos en ligne. Une fraude qui aurait rapporté aux pirates plus de 20 millions de dollars.

Clés USB: le Père-Noël est une ordure ?

Méfiez-vous des clés USB que vous allez acquérir pour Noël. Même le Pentagone Américain conseille de ne pas introduire ce genre de matériel dans son ordinateur.

Une page de CBS.COM diffuse un code malicieux

Amateur de la chaîne de télévision américaine CBS prudence. Une des pages du site officiel a été compromise par un pirate informatique.

Chasseur de backdoor : découverte de l´outil ultime ?

Exclusif : 10.000 sites piégés par une porte cachée. Voilà la découverte, en 20 minutes chronos, faite par ZATAZ.COM via un logiciel dédié à la chasse aux backdoors.

Faille pour Gmail: détournement de clics

A l´occasion de la derniere conférence Blue hat de Microsoft qui a eut lieue du 16 au 17 Octobre dernier Gareth Heyes et deux amis à lui ont démontré l´impact des attaques css sur le navigateur.

Cyber crime au rapport

Le quatrième rapport mondial annuel d´Arbor Networks sur la sécurité des infrastructures montre l´importance et la sophistication croissantes des attaques contre les réseaux.

Réagissez à ce contenu