Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Perte de données : l’erreur est humaine…et le restera

février 2013 par Lawrence Reusing, General Manager, Imation Mobile Security

Pour lutter efficacement contre les failles de sécurité, il est nécessaire d’associer à son dispositif technologique chacun des salariés.

Les CHU britanniques de Brighton et Sussex n’avaient probablement pas prévu cela dans leur dépense. Et pour cause, puisque ce fut la plus grosse amende jamais infligée en la matière : plus de 375.000 euros, pour avoir égaré un disque dur qui a fini sa course…sur eBay. Son contenu : les données médicales de leurs patients.

Par l’ampleur de ce désastre, on pourrait penser à un acte malveillant. Au mieux, à une faille du système d’information. Il n’en est rien : c’est une simple erreur humaine qui fut la cause de ce coup de tonnerre.

La conséquence est certes hors norme, sa source est à l’inverse des plus courantes : selon une récente étude du Ponemon Institute, 78% des failles de sécurité ont pour origine un « facteur humain ». Voilà qui va en embarrasser plus d’un, tant il est plus facile d’accabler la machine plutôt que ses propres employés…

La tendance de ces failles est plutôt à la hausse. Aux États-Unis, la quasi-totalité des états dispose d’un arsenal juridique dédié à ce sujet, assorti des conditions de communication de ces ‘fuites’ et des amendes associées. Le syndrome est également valable outre-Manche : l’année dernière, l’ICO (Information Commissioner’s Office ) a émis 50% de mises en garde de plus que l’année précédente, pour un totale d’amende de plus de 2,3 millions d’euros.

Au final, l’étau se resserre sur les entreprises : les organismes de surveillance sont de plus en plus vigilants et les amendes de plus en plus fortes. Soyons réalistes : on ne pourra jamais réduire à zéro le risque de défaillance humaine mais il reste possible de le contenir. Trois moyens sont possibles.

Le premier, c’est la gestion informatique des terminaux de l’entreprise. Cette gestion permettra de suivre leur ‘vie’ au sein du système d’information et, ainsi, de pouvoir édicter des règles d’usage et d’accès. Il est possible de surveiller voire d’interdire, par exemple, le téléchargement ou l’usage de clés USB non cryptées.

L’encryptage, justement, est le second moyen de défense contre les failles de sécurité. Que l’on crypte un terminal ou une simple clé USB, cela permet d’être plus serein en cas de perte de ces éléments.

Enfin, rien ne remplacera la sensibilisation. Il serait vain d’édicter des règles si elles ne sont pas comprises et, in fine, que les salariés ne se les approprient pas. Dans n’importe quelle entreprise, il est possible de concilier ses missions quotidiennes avec le respect des consignes minimales de sécurité. L’erreur est humaine et le restera, mais on ne peut faire l’économie d’impliquer personnellement chaque salarié dans cette tâche.


Voir les articles précédents

    

Voir les articles suivants