Mal gérer l'accès aux données, un manquement crucial à la sécurité du SI

Une mauvaise politique de gestion des droits d'accès aux données peut permettre des accès illégitimes à des informations sensibles. D'après une étude menée par Ponemon Institute, seuls 22% des répondants estiment que leur entreprise fait de la sécurité des données une priorité.

Plus des deux tiers des collaborateurs d'une organisation (71% pour être exact) ont accès à des données dont il n'ont pas d'usage légitime et plus de la moitié ont un tel accès très fréquemment. Un tiers considère que la masse de données auxquelles ils peuvent accéder sans légitimité est très importante. Ce constat affligeant a été réalisé par le Ponemon Institute à l'occasion d'une étude commandée par Varonis. L'étude a été menée autant auprès d'informaticiens que d'utilisateurs finaux. L'accès insuffisamment restreint aux données constitue pourtant une faille importante de sécurité, surtout si les informations concernées sont sensibles ou critiques.

De nombreux accès sans nécessité

Cette faille est particulièrement dangereuse si les comptes de certains collaborateurs sont l'objet d'une attaque aboutissant à leur compromission. Le pirate hérite alors d'un accès étendu aux données de l'entreprise. Une faille de cette nature est bien identifiée par les trois quarts des informaticiens et la moitié des utilisateurs finaux. Les deux-tiers des informaticiens témoignent une perte

Mais seuls 22% des répondants estiment que leur entreprise fait de la sécurité des données une priorité. Pour la majorité, les organisations privilégient la productivité et préfèrent donc donner un maximum de droits, bien au delà du nécessaire. 80% des informaticiens constatent que le modèle du « besoin de savoir » n'est pas appliqué dans leur organisation.
Ce modèle suppose que n'ont accès à une information que les gens qui ont un besoin identifié d'y avoir accès. Dans cette méthode, l'interdiction est donc la règle, l'autorisation l'exception. Or, selon la moitié des informaticiens, les utilisateurs ne prennent pas suffisamment de précautions avec les données auxquelles ils ont accès.

Les contrôles restreignent trop longtemps les accès légitimes

Dans la moitié des organisations, la synchronisation de données entre l'interne et des services de cloud public est possible voire ne nécessite aucune démarche auprès de la DSI.
Mais, en cas de contrôle d'accès, 43% des utilisateurs finaux s'offusquent qu'il faille de longs jours voire semaines pour obtenir un accès pourtant légitime. Seuls 22% rapportent que cet accès peut leur être donné rapidement, au plus en quelques heures. Or les trois quarts des répondants jugent qu'ils ont besoin de données sensibles pour réaliser leur travail.Le partage de données est un véritable problème : 60% des informaticiens se plaignent que les utilisateurs sont incapables de retrouver facilement des données qui sont stockées ailleurs que sur leur propre machine. Et 68% des utilisateurs finaux se plaignent de ne pas pouvoir aisément partager des données avec des partenaires externes, clients ou fournisseurs notamment.



A propos de l'étude

L'étude Corporate Data : A Protected Asset or a Ticking Time Bomb ? (PDF, accès libre) a été réalisée par le Ponemon Institute sur la commande de Varonis. Elle est basée sur une enquête menée auprès de 2276 employés aux Etats-Unis, au Royaume-Uni, en France et en Allemagne. L'échantillon se dédouble en 1166 informaticiens et 1110 utilisateurs finaux. Des organisations de tous types et de toutes tailles ont été interrogées.

Ajouter un commentaire
0
Commentaires

s'abonner
aux newsletters

suivez-nous

Publicité

Derniers Dossiers

La sauvegarde à l'heure du cloud hybride

La sauvegarde à l'heure du cloud hybride

Le basculement en faveur des architectures cloud est une tendance forte, mais n'est pas synonyme de simplification. Il faut gérer la transformation et l'hybridation des systèmes...

Cybersécurité : Faire face aux dernières menaces

Cybersécurité : Faire face aux dernières menaces

« Alertés par une consommation énergétique très élevée d'un fournisseur d'énergie, de nombreux policiers sont intervenus croyant à une ferme de culture du cannabis, il s'agissait...

Publicité