Faille majeure de sécurité : la mauvaise gestion des droits d'accès
L'absence de politique de gestion des droits d'accès est à l'origine d'accès inappropriés à des informations sensibles par des collaborateurs.
PublicitéPlus des deux tiers des collaborateurs d'une organisation (71% pour être exact) ont accès à des données dont il n'ont pas d'usage légitime et plus de la moitié ont un tel accès très fréquemment. Un tiers considère que la masse de données auxquelles ils peuvent accéder sans légitimité est très importante.
Ce constat affligeant a été réalisé par le Ponemon Institute à l'occasion d'une étude commandée par Varonis. L'étude a été menée autant auprès d'informaticiens que d'utilisateurs finaux. L'accès insuffisamment restreint aux données constitue pourtant une faille importante de sécurité, surtout si les informations concernées sont sensibles ou critiques.
De nombreux accès sans nécessité
Cette faille est particulièrement dangereuse si les comptes de certains collaborateurs sont l'objet d'une attaque aboutissant à leur compromission. Le pirate hérite alors d'un accès étendu aux données de l'entreprise. Une faille de cette nature est bien identifiée par les trois quarts des informaticiens et la moitié des utilisateurs finaux. Les deux-tiers des informaticiens témoignent une perte
Mais seuls 22% des répondants estiment que leur entreprise fait de la sécurité des données une priorité. Pour la majorité, les organisations privilégient la productivité et préfèrent donc donner un maximum de droits, bien au delà du nécessaire. 80% des informaticiens constatent que le modèle du « besoin de savoir » n'est pas appliqué dans leur organisation.
Ce modèle suppose que n'ont accès à une information que les gens qui ont un besoin identifié d'y avoir accès. Dans cette méthode, l'interdiction est donc la règle, l'autorisation l'exception. Or, selon la moitié des informaticiens, les utilisateurs ne prennent pas suffisamment de précautions avec les données auxquelles ils ont accès.
Les contrôles restreignent trop longtemps les accès légitimes
Dans la moitié des organisations, la synchronisation de données entre l'interne et des services de cloud public est possible voire ne nécessite aucune démarche auprès de la DSI.
Mais, en cas de contrôle d'accès, 43% des utilisateurs finaux s'offusquent qu'il faille de longs jours voire semaines pour obtenir un accès pourtant légitime. Seuls 22% rapportent que cet accès peut leur être donné rapidement, au plus en quelques heures. Or les trois quarts des répondants jugent qu'ils ont besoin de données sensibles pour réaliser leur travail.
Le partage de données est un véritable problème : 60% des informaticiens se plaignent que les utilisateurs sont incapables de retrouver facilement des données qui sont stockées ailleurs que sur leur propre machine. Et 68% des utilisateurs finaux se plaignent de ne pas pouvoir aisément partager des données avec des partenaires externes, clients ou fournisseurs notamment.
Article rédigé par
Franck Salien, Journaliste
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire