Cybersécurité des entreprises : et si les dirigeants étaient les maillons faibles de la chaîne de sécurité informatique ?
Récemment une étude a été menée sur le comportement des dirigeants d’entreprises et les pratiques d’hygiène en matière de sécurité.
Que ce soit en Europe ou aux États-Unis, il a été découvert que la majorité des dirigeants d’entreprise ne veulent pas où ont tendance à ne pas respecter les contraintes liées au besoin de sécurité. Ces derniers ont même tendance à s’opposer à leurs collaborateurs en charge de questions de cybersécurité. Ce qui fait d’eux, dans un certain sens, le maillon faible de la chaîne de sécurité.
Cet article va aussi vous intéresser : Sensibiliser les entreprises à la sécurité informatique
Il n’est pas rare de voir des directeurs de système informatique ou même des responsables de de sécurité de système informatique se plaindre du comportement des dirigeants. Il n’est pas rare de voir des chefs d’entreprise obliger leurs Experts IT à mener souvent des changements ou des améliorations du système informatique dans des conditions peu convenables. Ces comportements qui sortent littéralement pour la plupart de la ligne définie par les politiques de sécurité de l’entreprise ne fait qu’exposer encore plus le parc informatique de celle-ci. Loïc Duval, journaliste le confirmait en ces termes : « On entend souvent des DSI et des RSSI se plaindre d’avoir dû, sous la pression de leurs dirigeants, intégrer en urgence une technologie ou incorporer dans le réseau « à la va vite » des terminaux derniers cris absolument pas alignés sur les politiques sécurité de l’entreprise. ».
Dans une étude de MobileIron (dont le titre « Déboires au sommet » pour Trouble at the Top en anglais, ), 76 % les chefs d’entreprises, demande couramment au responsable de la sécurité ou aux directeurs des systèmes informatiques de leur permettre de contourner certaines règles régissant la cybersécurité de l’entreprise. Et cela a été observé durant ces 12 derniers mois. De façon un peu plus précise, que 47 % des dirigeants ont voulu accéder contre les règles, au réseau pour réaliser une action qui à l’origine n’est pas supportée par celui-ci sans oublier que 45 % d’entre eux ont eu, au moins une fois, à demander de contourner L’authentification à multiples facteurs. 37 % des dirigeants ont tenté d’avoir accès à des données professionnelles à partir d’une application ou d’un terminal qui à l’origine n’est pas homologué par le réseau ou par le directeur de la sécurité informatique.
De plus, si 60 % des attaques informatiques ne touchent ou ne visent directement que le top management des entreprises, il n’en demeure pas moins que 68 pourcents des dirigeant de société estiment que les politiques de sécurité déployées par leurs entreprises sont invasives. Par ailleurs, 58 % ont avoué ne pas très bien comprendre le fonctionnement de ces politiques de sécurité car elles sont trop compliquées pour eux alors que 62 % d’entre eux estiment que ces règles portent atteinte à leur mobilité.
Notons d’une part que l’étude a été menée Près de 300 RSSI et DSI et près de 50 top management en entreprise, répartis entre 5 Etats, notamment l’Allemagne, le Royaume-Uni, les États-Unis et le Benelux. Pour globaliser, l’étude a mis en évidence de manière claire une chose certaine : Les dirigeants d’entreprise ne sont pas du tout à l’aise avec les règles de sécurité. Mais tout n’est pas aussi négatif que cela semble. En effet, 84 % des dirigeants qui ont été approchés ont reconnu leurs responsabilités vis-à-vis de la cybersécurité de leur entreprise. Cette même responsabilité qui les fait comprendre, ils sont beaucoup plus exposés aux attaques informatiques qu’un collaborateur lambda. Mais la réadaptation risque de prendre un bon moment avec les risques au qui courent toujours. Car 78 % des directeurs de la sécurité informatique identifient leur dirigeants d’entreprise comme l’une des principales cibles de la technique de l’hameçonnage (phishing). Et cela dans un cadre ou 71 % des responsables de sécurité notent que les dirigeants sont plus vulnérables à ses attaques. Le vice-président senior et responsable de la gestion de produit chez MobileIron, Brian Foster déclare ceci : « Ces découvertes sont troublantes parce que toutes ces exceptions accordées aux cadres dirigeants augmentent énormément le risque d’une perte de données […] En accédant aux données de l’entreprise à partir d’un appareil personnel ou d’une application qui sort les données hors de l’environnement protégé, ces dirigeants laissent des informations critiques de l’entreprise à la portée de cyber-attaquants. Pendant ce temps, l’authentification multifacteurs – conçue pour protéger les entreprises de la plus grande cause de perte de données à savoir les identifiants perdus ou volés – est écartée par ces mêmes cadres dirigeants ! »
Accédez maintenant à un nombre illimité de mot de passe :