Le nouveau livre blanc d’IDC, « Insider Risk Management : A Framework Approach to Internal Security », se focalise sur le risque interne – c’est-à-dire les menaces auxquelles les entreprises sont exposées du fait d’utilisateurs internes ayant accès à leurs systèmes critiques et informations confidentielles. Tout en étant conscientes que les utilisateurs peuvent créer des risques de sécurité au sein de leur propre organisation, les entreprises accordent beaucoup plus d’importance à la protection contre les menaces externes qu’à la protection contre les risques internes. L’étude d’IDC met en évidence un décalage entre les préoccupations de sécurité des dirigeants et le nombre croissant de brèches et de menaces internes résultant d’incidents involontaires, d’accès inapproprié et de mésusage des informations par les salariés de l’entreprise.

Une majorité des décideurs informatiques interrogés lors de l’enquête indique ne pas connaître clairement les sources et les intentions en matière de risque interne et avoir du mal à en quantifier les conséquences financières potentielles et les effets sur les flux et processus internes. 52% des organisations interrogées considèrent que les incidents constituant des menaces internes étaient purement accidentels, seulement 19% pensent que ces menaces étaient délibérées, les 26% restants estimant que leur entreprise était confrontée en interne à autant d’incidents involontaires que d’actions malveillantes délibérées (3% ne se prononcent pas). Cependant, lorsqu’on leur demande de classer les principales menaces, 82% des responsables interrogés ne sont pas certains de savoir si les incidents causés par des sous-traitants ou du personnel temporaire sont accidentels ou délibérés.

« Les employeurs voient leur relation avec les employés sous l’angle de la confiance et déclarent que leur personnel est leur actif le plus précieux », explique Chris Christiansen, Program VP, Security Products, IDC. « Mais la taille des infrastructures des entreprises, la dispersion souvent mondiale de leur personnel et la diversité des statuts des personnes qui y travaillent – salariés, consultants, partenaires, outsourcers, etc. – font des risques posés par les utilisateurs internes le principal défi auxquels les responsables sont confrontés : que la menace soit intentionnelle ou non, elle existe. Elle est réelle. »

L’étude donne également un éclairage intéressant sur les volumes de risques internes auxquels les entreprises doivent faire face. Au cours des 12 derniers mois, les 400 personnes interrogées ont reconnu 6 330 incidents ayant trait à des pertes de données accidentelles, 5 907 attaques internes par diffusion de spyware/malware (logiciels espions/malveillants) et 5 831 incidents liés à des privilèges excessifs et à des droits d’accès mal contrôlés. Au total, les personnes interrogées ont été confrontées à 58 097 incidents en 12 mois. L’enquête montre également que près de 40% des entreprises prévoient dans les 12 prochains mois d’augmenter leurs dépenses pour des initiatives de réduction des risques de sécurité internes, 6% seulement prévoyant de réduire ces dépenses. Ces résultats confirment qu’il n’y a pas de solution unique pour gérer les risques de sécurité internes et qu’il faut adopter une démarche complète de gestion du risque pour comprendre le profil de risque de chaque organisation de façon à placer les bons contrôles aux bons endroits.

« La sécurité est l’affaire de tous, pas seulement celle du département Sécurité », déclare Christopher Young, Senior Vice President, RSA, « Les risques internes augmentent et pour rester compétitifs, les responsables et les dirigeants doivent changer la manière dont ils défendent leur entreprise et étendre leurs priorités pour prendre en compte le besoin croissant de protection contre les risques internes, intentionnels et accidentels. Ils doivent avoir une stratégie globale pour réduire les risques internes, cette stratégie devant protéger en priorité les informations critiques contre le mésusage, les fuites et les pertes causés par les utilisateurs internes, de manière délibérée ou accidentelles. »

Bien que les atteintes aux données soient d’une sophistication accrue et émanent principalement de fraudeurs déterminés, cette étude souligne que les erreurs involontaires, les mauvaises configurations et le manque d’attention et de rigueur dans les pratiques informatiques affectent plus fortement l’intégrité opérationnelle des entreprises que les attaques intentionnelles et malveillantes.

Nicki Wallace, Global Marketing Manager, Industry Solutions, RSA

Principaux résultats de l’étude et éléments clés pour la France

Menaces délibérées ou accidentelles : Les menaces internes sont majoritairement accidentelles (55%) pour les 3 pays d’Europe interrogés (Allemagne, France, Angleterre). Ce pourcentage monte à 70% pour la France.

Perception et inquiétude des DSI : Alors que la menace la plus récurrente en nombre d’incidents est la perte de données sensibles suite à une négligence des employées (la France compte plus de 1317 incidents de ce type au cours des 12 derniers mois), les DSI divergent sur ce qui représente la plus grande menace interne. Les DSI français considèrent la diffusion de Malware et Spyware au sein de l’entreprise comme leur première inquiétude, alors que cette menace n’entre pas dans le classement du top 6 des DSI anglais ou allemands.

Source du danger et information menacée en premier : Alors que les DSI Anglais voient la principale menace venant des personnels contractuels ou temporaires, les DSI français estiment que le danger vient de l’employé permanant se trouvant au sein même de l’entreprise et les DSI Allemands de l’employée travaillant à distance. Quand à ce qu’il est le plus en danger et qu’il faudrait protéger, on notera également une différence d’un pays à l’autre. Pour les anglais ce sont les informations personnelles des clients, pour les allemands ce sont les informations de propriété intellectuelle, alors que les français estiment que ce sont les informations financières de l’entreprise.

Pertes Financières : La moyenne annuelle des pertes financières constatées liées aux menaces internes est proche de 560000 euros sur les 4 pays interrogés. Pour l’Europe, plus de 41% des entreprises ont connu une perte supérieure à 70 000 euros, la France comptant 32% des entreprises avec ce type de pertes.

La menace ayant eu le plus d’impact financier diverge d’un pays à l’autre et est souvent différente de celle perçue comme la plus dangereuse par les DSI. Ainsi en France la menace ayant le plus d’impact financier est la perte de données par négligence des employés, tandis que pour l’Allemagne et l’Angleterre ce sont les privilèges excessifs d’accès de certains utilisateurs (top management par exemple) qui ont le plus d’impact financier.

L’incertitude des décisionnaires : Alors que 93% des participants à l’étude sont décisionnaires en ce qui concerne la sécurité au niveau de leurs entreprises, près de 82% n’avait pas une vision très claire des sources de menaces internes de l’entreprise et ne peuvent indiquer ou quantifier avec certitude la nature de l’impact financier

En résumé en France :

70% des menaces sont issues d’actions accidentelles mais sont sources majeures de pertes de données sensibles

C’est l’employé à temps plein qui est considéré comme étant le plus dangereux

32% des négligences représentent des pertes financières supérieures à 70 000€

43 % des entreprises prévoient d’augmenter leur budget pour combattre les menaces internes

Les informations les plus en danger sont les informations financières de l’entreprise

La menace qui a le plus d’impact financier est la perte de données sensibles par négligence des employés