Accès et vol de données: les entreprises ne seraient pas en mesure d’évaluer l’ampleur des dommages, de déterminer où leurs données sont parties, qui les a prises et quand.
Une étude de Varonis, fournisseur de solutions logicielles pour la gestion des données non structurées d’origine humaine, complète celle menée récemment par le Poemon Institute, qui révèle que 71 % des utilisateurs admettent qu’ils ont accès à des données de l’entreprise auxquelles ils ne devraient pas avoir accès. Et selon une enquête menée auprès d’ex-collaborateurs par Osterman Research et Intermedia, 89 % des personnes interrogées ont conservé l’accès à au moins une application d’un précédent employeur et 45 % ont toujours accès à des données confidentielles. La moitié de ces personnes admet même s’être connectée à un compte après avoir quitté l’entreprise (voir l’avis d’expert de Jacob Christensen, Landesk sur le sujet)
Dans l’étude de Varonis, cela ne surprend pas les professionnels de la sécurité. 50 % d’entre eux savent que les utilisateurs ont accès à plus de données qu’ils ne devraient en entreprise. Et ils sont majoritairement incapables de dire aux employés ce qu’il advient de leur données, fichiers ou emails perdus…
Quand une attaque se produit, qu’elle soit due à un cybercriminel qui a réussi à s’introduire dans le réseau ou à un employé parti avec des informations sensibles, les entreprises ne seraient donc pas en mesure d’évaluer l’ampleur des dommages, de déterminer où leurs données sont parties, qui les a prises et quand, et seraient encore moins susceptibles de s’apercevoir du vol pendant des semaines ou des mois, voire jamais.
« Il est effrayant de penser que beaucoup de professionnels de l’IT considèrent qu’il est normal pour les employées d’avoir accès à des données auxquelles ils ne devraient pas avoir accès et pour les entreprises de ne pas savoir où passent les données perdues », s’alarme David Gibson, vice-président du marketing de Varonis. « D’autant que les données n’ont pas besoin d’être perdues pour être volées. La plupart des entreprises ne suivent pas ou n’analysent pas l’activité des utilisateurs en matière de données non structurées, et cela rend beaucoup trop facile, pour un employé ou un cybercriminel externe qui réussi à pénétrer le réseau, le vol de données sans être repéré. »
