Le moins que l’on puisse dire, c’est que la confiance ne règne pas dans toutes les entreprises ou administrations. En tous cas, tel est le constat que dressent SailPoint Technologies, une société spécialisée dans la gestion des identités et des accès, et le cabinet britannique d’analyse des marchés de la technologie Vanson Bourne. Selon leur étude Market Pulse 2016, réalisée auprès de 1.000 entreprises dans le monde, 1 salarié sur 5 est prêt à vendre ses mots de passe professionnels à un tiers extérieur à l’entreprise !
Certes, en France, le taux de loyauté envers l’employeur est supérieur à cette statistique. Cependant, il y aurait tout de même 16% des salariés prêts à accepter de vendre leurs mots de passe… Une chose est sûre : cette étude, qui fait froid dans le dos, met en lumière la nécessité de renforcer la stratégie de sécurité face à la menace interne. Qu’on en juge ! Au niveau global, 44% des personnes prêtes à divulguer leurs mots de passe professionnels à des tiers accepteraient de les vendre pour moins de 1.000 euros. En France, cette part bondit à 50%. qui plus est, 32% des employés partagent leurs mots de passe avec leurs collègues au niveau mondial, contre 38% dans l’Hexagone, soit le plus fort taux.
« Le fait que 20% des salariés soient prêts à vendre leurs mots de passe démontre que la sensibilisation des utilisateurs au sein des entreprises est un véritable échec », constate Zoltán Györkő, PDG de BalaBit IT Security, éditeur de solutions de sécurité contextuelle et partenaire technologique de SailPoint Technologies. Derrière ce chiffre, une réalité : les employés ne sont pas conscients de la valeur que peut représenter un mot de passe pour des cybercriminels ni des risques encourus par leur propre entreprise dès lors qu’un cybercriminel se trouve en possession d’un mot de passe lui permettant d’accéder très facilement au réseau.
Les mêmes employés seraient-ils prêts à vendre les clés du coffre-fort de leur entreprise ou de leur banque pour 1.000 euros ? « Clairement, la proportion serait largement moindre. En effet, l’employé qui vend la clé du coffre sait pertinemment que l’acheteur ira vider le coffre, alors qu’il n’est pas conscient des projets que le cybercriminel détenant ses mots de passe pourra fomenter », reprend Zoltán Györkő.
Morale de l’histoire, ces exemples démontrent l’ampleur potentielle des menaces internes ainsi que l’importance des outils de surveillance et d’analyse des comportements des utilisateurs sur le réseau. En particulier, l’analyse comportementale qui permet de lutter contre ces pratiques. « Celle-ci permet de détecter en temps réel que l’utilisateur qui se connecte est bien légitime, reprend le PDG de BalaBit IT Security. C’est aussi un moyen efficace pour repérer les utilisateurs qui n’en ont pas le droit. » La menace interne est importante. Les professionnels de la sécurité des systèmes d’information sont conscients. D’après une étude réalisée par BalaBit en 2015, 70% des professionnels de la sécurité considéraient les menaces internes comme les risques parmi les plus critiques pour l’entreprise. En revanche, l’étude passe sous silence les stratégies managériales qui développent la motivation et la loyauté des salariés de sorte qu’ils n’aient pas envie de nuire à leur entreprise.
Erick Haehnsen
Commentez