Étude mondiale sur les risques liés à la mobilité Résultats de l'étude pour la France

Transcription

1 Étude mondiale sur les risques liés à la mobilité Résultats de l'étude pour la France Sponsorisée par Websense, Inc. Indépendamment conduite par Ponemon Institute LLC Date de publication : Février 2012 Rapport d'étude du Ponemon Institute

2 1 Étude mondiale sur les risques liés à la mobilité Enquête menée auprès des professionnels de l'informatique et de la sécurité informatique en France Synthèse Février ère partie : Introduction Les périphériques mobiles présentent des avantages et des inconvénients pour les employés comme pour les entreprises mais pour différentes raisons. Les smartphones offrent aux collaborateurs une plus grande souplesse dans l'organisation de leur travail, mais les contraignent à ne jamais vraiment s'arrêter de travailler. Qui n'a jamais répondu à des s professionnels pendant un dîner, dans une file d attente, dans sa voiture ou encore de chez soi? Alors que les entreprises tirent d'énormes bénéfices d'une réactivité largement accrue, notamment par une disponibilité dorénavant quasi-permanente, elles ouvrent en même temps la porte à un risque de perte de données sensibles sans précédent. Les périphériques tels qu'ordinateurs portables, iphones, Androids, ipads et clés USB étant de plus en plus sophistiqués, ils permettent de faire de plus en plus de choses et suscitent un intérêt grandissant. Le revers de la médaille est qu'ils exposent de plus en plus les réseaux, les données sensibles, les profits et la réputation d'une entreprise à des risques considérables. Il n'y a donc rien d'étonnant à ce que quelques experts en sécurité 1 aient désigné les smartphones et autres appareils mobiles comme l'un des plus puissants vecteurs de menaces pour une entreprise. Cet état de fait est partiellement dû à la nomadisation des employés. Les données sensibles transportées sur des périphériques mobiles sont déplacées, physiquement et électroniquement, du bureau à la maison et d autres endroits à l extérieur. Selon une précédente étude du Ponemon Institute menée auprès de 116 entreprises, 62 % des périphériques mobiles porteurs de données ayant été perdus ou volés contenaient des informations sensibles ou confidentielles. 2 Les professionnels de l informatique possèdent des années d expérience en matière de verrouillage des postes de travail et de chiffrage des disques durs d ordinateurs portables. Mais l utilisation de périphériques mobiles en entreprise progresse à une vitesse telle qu elle expose fortement les données des entreprises aux risques de vol et de perte. Dans une précédente étude du Ponemon Institute, les professionnels de l informatique interrogés affirmaient que les périphériques mobiles étaient à l origine de 63 % des violations de sécurité. Et seuls 28 % de ces personnes interrogées affirmaient que les postes de travail fixes des employés étaient à l origine de ces violations. 3 Sur le plan électronique, les attaques mobiles gagnent en sophistication et en efficacité. Dans les prochaines années, nous pensons que les attaques de périphériques ciblées se feront via des logiciels malveillants, des espiogiciels, des applications mobiles/téléchargements malveillants, l'hameçonnage et le pollupostage. Du fait de leur ubiquité et de leur succès qui ne cesse de croître, les Androids et les iphones semblent être les cibles préférées de ces attaques. Pour aider les professionnels de la sécurité informatique à trouver des solutions adaptées à un personnel utilisant des ressources électroniques de plus en plus mobiles, Websense, Inc. et le 1 Dr. Larry Ponemon et Stanton Gatewood, Ponemon s Predictions : Trends in IT Security, webinaire sponsorisé par ArcSight, 17 mai L étude sur le suivi de la sécurité menée de septembre 2010 à mars 2011 par l'institut Ponemon auprès de 116 entreprises à l échelle mondiale mettait en particulier l accent sur les périphériques mobiles utilisés par les employés 3 Institut Ponemon, Perceptions about Network Security, étude sponsorisée par Juniper Networks, juin 2011 Rapport d étude du Ponemon Institute Page 1

3 2 Ponemon Institute ont créé cette Étude mondiale sur les risques liés à la mobilité. Ce que nous désignons comme périphériques mobiles sont les ordinateurs portables, les clés USB, les smartphones et les tablettes. Nous avons enquêté auprès de professionnels de l informatique et de la sécurité informatique aux États-Unis, au Royaume-Uni, en Australie, au Brésil, au Canada, en France, en Allemagne, à Hong Kong, en Italie, en Inde, au Mexique et à Singapour. 54 % d entre eux sont au moins des superviseurs, 42 % sont employés par des entreprises ayant un effectif de plus de personnes et tous ont une expérience d'une dizaine d année en moyenne. Dans ce rapport, nous présentons un résumé des conclusions des 327 personnes interrogées ayant participé à l étude en France. Rapport d étude du Ponemon Institute Page 2

4 3 2 e partie. Principales conclusions Du fait de l importance que prennent les périphériques mobiles dans les entreprises, celles-ci sont de plus en plus nombreuses à avoir besoin de systèmes de sécurité fiables. 91 % des personnes interrogées affirment que l utilisation de périphériques mobiles par les employés est très importante voire essentielle à la réalisation des objectifs des entreprises. 86 % reconnaissent que l utilisation de ces périphériques par les employés représente un risque important pour leurs entreprises. En raison des nombreux avantages qu ils présentent, les périphériques mobiles continueront à se multiplier dans le monde du travail. Restreindre leur utilisation n étant pas envisageable, les entreprises doivent donc se prémunir de ce risque en développant des politiques, procédures et technologies adaptées. Les périphériques mobiles non sécurisés, notamment ordinateurs portables, smartphones, clés USB et tablettes, augmentent le nombre d infections générées par des programmes malveillants. 85 % des personnes interrogées affirment que ces 12 derniers mois, leurs entreprises ont constaté une augmentation du nombre d infections issues de programmes malveillants suite à l utilisation de périphériques mobiles non sécurisés en entreprise ; 38 % ont répondu qu ils n étaient pas sûrs. 37 % des personnes interrogées affirment que les périphériques mobiles sont à l origine d une augmentation de plus 50 % d infections issues de programmes malveillants. 12 % ont répondu qu ils ne savaient pas. De nombreuses entreprises ont déjà subi des pertes de données ou de graves violations du fait de l utilisation par les employés de périphériques mobiles non sécurisés. 85 % des personnes interrogées affirment que leurs entreprises ont déjà subi une violation de données due à l utilisation de périphériques mobile non sécurisés ; 23 % ont répondu qu ils n étaient pas sûrs. Nous avons également demandées aux personnes interrogées de détailler les conséquences de violations de données mobiles. Pour 85 % d entre elles, ces conséquences sont le vol, la suppression ou la perte d informations et/ou d autres ressources ; pour 26 % d entre elles, ces conséquences sont la divulgation d informations privées ou confidentielles. 18 % ont également parlé d interruption de services. La majeure partie des entreprises ne dispose d aucune politique recouvrant les pratiques acceptables et inacceptables de périphériques mobiles par les employés. 67 % des personnes interrogées affirment ou ne sont pas sûres que leurs entreprises ne disposent d aucune politique recouvrant les utilisations acceptables et inacceptables de périphériques mobiles par les employés (45 % + 22 %). Sur les 33 % ayant indiqué que leur entreprise disposait d une telle politique, 35 % affirment que cette politique n est pas appliquée et 30 % ne sont pas sûrs qu elle est appliquée. Nous avons demandé aux personnes interrogées ayant affirmé que ces politiques n étaient pas appliquées d indiquer des raisons expliquant cet état de fait. Ce dernier est principalement dû à un manque de gouvernance et de contrôle (54 %) et au fait que d autres problématiques de sécurité présentent un ordre de priorité plus élevé (54 %). 38 % évoquent également des lacunes en matière de gestion. Des protocoles et des contrôles de sécurité au niveau des périphériques sont nécessaires dans de nombreuses entreprises mais sont rarement entrepris. 49 % des entreprises utilisant des périphériques mobiles sur site ont besoin de protocoles et de contrôles de sécurité adaptés à ces nouvelles utilisations. 45 % n ont pas besoin de protocoles de sécurité et 6 % sont incertains sur ce point. Sur ces entreprises ayant besoin Rapport d étude du Ponemon Institute Page 3

5 4 de protocoles et contrôles de sécurité, seuls 3 % affirment que tous les employés respectent ceux-ci et 30 % déclarent ne pas le savoir. 72 % affirment que leurs employés contournent ou désactivent des fonctionnalités de sécurité telles que les mots de passe et les verrouillages de clavier. Seuls 13 % déclarent que les employés respectent ces pratiques de sécurité et ne les contournent pas. 15 % sont incertains sur ce point. Une réduction de bande passante suivie d une perte d informations confidentielles ou d une violation d une politique de confidentialité sont considérées comme les conséquences les plus négatives de l utilisation de périphériques mobiles non sécurisés. 83 % affirment que la nécessité constante d augmenter la bande passante du fait de l utilisation de périphériques mobiles non sécurisés, s est déjà produite ou risque fortement de se produire. Cet état de fait est probablement attribuable à l explosion des médias portables et au partage de vidéos, de musiques et d applications. 78 % des personnes interrogées déclarent que l'une des principales conséquences négatives de l utilisation de périphériques mobiles est la perte d informations confidentielles ou la violation d une politique de confidentialité. 64 % des personnes interrogées pensent que la baisse de productivité des employés est une conséquence négative qui s est déjà produite ou qui risque de se produire. Pour minimiser les risques générés par l utilisation de périphériques mobiles, certaines technologies sont à privilégier. Les technologies considérées comme très importantes voire essentielles par les personnes interrogées sont les suivantes : solution de sécurité des points d accès, gestion de périphériques mobiles et gestion des identités et des accès. Selon Websense, de nombreuses entreprises consentissent des investissements considérables dans le chiffrage et la sécurité des points d accès pour protéger leurs données sensibles mais elles ignorent souvent quelles données s échappent via des périphériques mobiles non sécurisés et comment. Des solutions de sécurité statiques traditionnelles telles que des antivirus, des pare-feu et des mots de passe ne sont pas efficaces pour contrer des programmes malveillants sophistiqués ou des menaces de vol de données par des personnes internes malveillantes ou négligentes. Pour autoriser en toute sécurité l utilisation de périphériques mobiles à des fins professionnelles, les entreprises ont besoin d une technologie de prévention de perte de données qui sache où sont sauvegardées les données critiques, qui y a accès, comment elles peuvent s échapper et où elles partent. Une surveillance en temps réel des programmes malveillants est également nécessaire car les cybercriminels changent leurs tactiques aussi rapidement que sortent les mises à jour des outils de sécurité traditionnels. Websense recommande que les entreprises déploient proactivement une technologie de programmes malveillants en temps réel via des services en cloud qui multiplie en permanence les analyses de sites Web et d applications mobiles. L utilisation de services de sécurité en cloud permet aux entreprises de protéger des utilisateurs distants n importe où et n importe quand. Pour plus d informations, consultez A 3- Step Plan for Mobile Security. L utilisation de périphériques mobiles personnels expose les entreprises à des risques. 91 % des personnes interrogées affirment que leurs entreprises autorisent les employés à utiliser leurs périphériques personnels pour accéder à leur messagerie professionnelle. 83 % autorisent l accès aux messageries personnelles (via le Web) et 77 % autorisent l accès à des applications professionnelles. Selon les personnes interrogées, les périphériques personnels présentant autant de risques que des périphériques mobiles d entreprise non sécurisés. 55 % déclarent que leur entreprise constate une augmentation du nombre d infections issues de programmes Rapport d étude du Ponemon Institute Page 4

6 5 malveillants due à l utilisation de périphériques mobile personnels sur le lieu de travail. 49 % affirment que davantage de données confidentielles ont été perdues du fait de l utilisation de ces périphériques, tandis que 38 % sont incertains sur ce point. Les entreprises s inquiètent du fait que des employés utilisent leurs périphériques mobiles pour prendre des photos ou des vidéos sur leur lieu de travail. 62 % des personnes interrogées affirment que cette pratique est désapprouvée par leurs entreprises et considérée comme inacceptable. D autres pratiques sont inacceptables comme le téléchargement et l utilisation d applications Internet (47 %) et le téléchargement de données confidentielles sur un périphérique (42 %). 3 e partie : Synthèse et recommandations Aux quatre coins du monde, les professionnels de l informatique et de la sécurité informatique reconnaissent l impact positif que la mobilité apporte à la productivité. Les avantages sont entre autres un accès 24H/24 et 7J/7 aux s, documents professionnels et autres informations importantes. La difficulté est la suivante : comment faire en sorte que l utilisation de périphériques mobiles ne soit pas une menace pour la sécurité des informations sensibles et confidentielles. Voici cinq recommandations sur la façon de gérer efficacement la technologie de la sécurité et d exploiter pleinement les avantages des périphériques mobiles en entreprise : Comprendre le risque que l utilisation de périphériques mobiles génère sur le lieu de travail. Réaliser une évaluation des risques afin d identifier les pratiques susceptibles de rendre votre entreprise vulnérable comme le stockage de grandes quantités de données confidentielles qui représente un risque élevé de perte et de fuite de données. Sensibiliser les employés sur l importance de protéger le contenu de leurs périphériques mobiles. Les comportements à risques sont notamment le téléchargement d applications et de logiciels gratuits issus de boutiques en ligne non réglementées pouvant contenir des programmes malveillants, la désactivation de fonctionnalités de sécurité, le non chiffrage des données en transit ou au repos, et le non signalement immédiat de la perte ou du vol de périphériques susceptibles de contenir des informations confidentielles et sensibles. Élaborer une charte exhaustive sur l utilisation de périphériques mobiles (avec instructions détaillées) pour tous les employés et sous-traitants. Cette charte doit recouvrir les risques ainsi que les procédures de sécurité devant être suivies. Utiliser des technologies permettant de détecter et de prévenir le vol de données et le danger que représentent des programmes malveillants mobiles. Mettre en place différents niveaux de sécurité où les capacités de gestion des périphériques sont complétées par des contrôles avancés d accès sécurisé, une protection contre les menaces assurée par des services en cloud et une protection contre le vol de données aux points d accès afin d identifier des éléments de propriété intellectuelle importants et les protéger. Utiliser des contrôles de conformité pour surveiller la productivité et l utilisation des ressources. Rapport d étude du Ponemon Institute Page 5

7 6 Ponemon Institute Pour une gestion responsable de l information Le Ponemon Institute est dédié à la recherche et l éducation indépendantes qui promeut des pratiques responsables de gestion de la confidentialité et de l information à l échelle de l entreprise et du gouvernement. Notre mission consiste à mener des études empiriques de haute qualité sur des enjeux critiques touchant la gestion et la sécurité d informations sensibles concernant des individus ou des entreprises. En tant que membre du CASRO (Council of American Survey Research Organizations), nous respectons une stricte confidentialité des données, la protection de la vie privée ainsi que les normes déontologiques de la recherche. Nous ne recueillons aucune information permettant d identifier une personne ou une entreprise dans le cadre de nos recherches. Nous respectons également des normes strictes de qualité pour veiller à ce qu aucune question étrangère à l objet de l étude, hors de propos ou inopportune ne soit posée aux personnes interrogées. Rapport d étude du Ponemon Institute Page 6