A lire sur: http://www.itchannel.info/articles/133387/violations-donnees-entreprise-eclairage-psychologie-circonstances.html?key=862d53eea2c1d2fe
En analysant et synthétisant l’ensemble des documents sur les violations de données publiées aux Etats-Unis, et à travers une description des conditions qui favorisent ces risques en entreprise, cette étude, réalisée par Dr. Eric Shaw et Dr. Harley Stock, experts en psychologie et en gestion des risques liés à l’interne, entend éclairer les entreprises sur les bonnes pratiques à mettre en place pour éviter le vol de données propriétaires sensibles.
« La plupart des entreprises commence à prendre conscience des menaces externes, mais l’interne mal intentionné pose d’autres risques », explique Laurent Heslault, Directeur des stratégies de sécurité de Symantec. « Dans le contexte économique actuel, les entreprises de toutes tailles tout comme les gouvernements reconnaissent les défis croissants que pose la protection de leurs données confidentielles »
Selon les études Symantec menées avec le Ponemon Institute publiées en mars 2012, Les violations de données ont coûté aux entreprises américaines quelques 5,5 millions de dollars en moyenne. En France, le coût moyen d’une violation de données est estimé à 2,55 millions d’euros. 30% d’entre elles sont le fait d’employés mal intentionnés. En s’appuyant sur une analyse des recherches empiriques disponibles, les Dr. Stock et Shaw ont identifié les comportements et indicateurs clés qui contribuent aux vols de données par l’interne malveillant.
Les schémas que l’on retrouve le plus fréquemment sont les suivants :
- Les voleurs de données propriétaires occupent souvent des positions techniques. La majorité des violations de données propriétaires est commise par des employés de sexe masculin d’environ 37 ans qui occupent des positions telles que celles d’ingénieur, scientifique, manager et programmeur. Une large partie d’entre eux ont signé des accords de confidentialité, ce qui indique que la règle-seule, sans la compréhension par l’employé et son contrôle efficace, ne suffit pas.
- Le Mécontent Autorisé et le Leader Machiavélique sont les deux principaux profils de voleur de données en interne. Le premier opère essentiellement rapidement, avant un départ de l’entreprise et présente un certain mécontentement vis-à-vis de son employeur ; le second agit plus froidement, de façon plus planifiée. Les deux profils sont à confronter et relativiser selon le modèle de POAA (Pathological Organizational Affective Attachment) de Stock qui analyse les processus complexes de motivation, d’émotions, d’éléments cognitifs, de dynamiques interpersonnelles et d’échanges sociaux.
- Les voleurs de données propriétaires ont déjà retrouvé un emploi. Environ 65% des employés qui ont commis un vol de données avaient accepté un emploi dans une entreprise concurrente ou avait lancé leur propre société au moment du vol.
- Ils n’opèrent pas nécessairement seuls : Environ 20% avait été recruté par un tiers extérieur à l’entreprise, et 25% ont opéré en groupe.
- Les employés mal intentionnés volent en général des informations auxquelles ils ont droit d’accéder. Les sujets prennent les informations qu’ils connaissent, avec lesquelles ils travaillent et sur lesquelles ils se sentent avoir un droit. En fait, 75% d’entre eux volent des données auxquelles ils ont accès.
- Les informations concernant le savoir-faire sont les plus généralement dérobées, représentant 52% des données volées. Les informations commerciales telles que facturation, liste de prix ou autres données administratives représentaient 30%, suivies par le code source (20%), les logiciels propriétaires (14%), les informations clients (12%) et les business plans (6%).
- Les employés mal intentionnés utilisent la technologie pour voler des données. La majorité des sujets (54%) utilisent l’email, un accès à distance au réseau ou le transfert de fichiers pour subtiliser les données. A noter également : les moyens technologiques varient selon le type de données subtilisées.
- Des schémas communs constatés lors des vols. Des problèmes communs se produisent avant les vols de données internes et contribuent probablement aux motivations de l’employé mal intentionné. Ces éléments déclencheurs semblent confirmer le rôle de prédispositions psychologiques personnelles, des événements stressants et des comportements spécifiques qui indiquent alors un risque potentiel. A noter également que de la réponse du management va dépendre le succès ou non du vol de données.
- Des revers professionnels peuvent précipiter les employés mal intentionnés vers le vol de données propriétaires. Le glissement vers le vol s’accélère lorsque l’employé se lasse de seulement « y penser » et passe à l’action, ou s’il est sollicité par d’autres pour passer à l’action. Cela intervient souvent lors d’une déconvenue professionnelle, ou perçue comme telle, ou lorsque des attentes ne sont pas satisfaites.
L’étude de Symantec « Indicateurs de risques comportementaux des employés mal intentionnés en entreprise » est disponible en téléchargement sur le site Internet de la société.
Elle comprend différentes recommandations pragmatiques pour les managers et les RSSI qui sont concernés par le vol de données propriétaires :
- Etablir une équipe : pour contrer ce problème, les entreprises doivent constituer une équipe dédiée composée de représentants des ressources humaines, de la sécurité et du département juridique, qui édite des règles, développe les formations et supervise les problèmes liés aux employés.
- Les problèmes interne à l’entreprise : les entreprises doivent évaluer le niveau de risque lié à des problèmes organisationnels : motivation en berne, risque concurrentiel, opérations adverses, expatriés, recours à des entreprises tiers, implantations sur différents pays, etc…
- Règles et pratiques : établir une liste de règles et de pratiques spécifiques à observer conformément à la gouvernance même de l’entreprise
- Formation et éducation : les règles et pratiques, si elles ne sont pas expliquées et qu’elles ne suscitent pas l’adhésion des employés, ont peu de chance d’être efficaces. On note que les voleurs de données propriétaires ont d’ailleurs déjà signé des accords de respect des données propriétaires. Les entreprises doivent encourager le dialogue avec leurs employés sur le type de données transférables ou non lors de leur départ, et sur les conséquences d’une violation de ces accords.
- Une évaluation continue : sans monitoring ni vérification efficaces, la conformité aura des lacunes et le risque interne augmentera.
Symantec recommande en outre de mettre en place une solution de prévention de perte de données (DLP ou Data Loss Prevention) qui relève les risques les plus élevés de vol de données interne, et de mettre en place une politique qui supervise une utilisation inappropriée de données, notifie les employés des violations, et renforce ainsi la connaissance des risques de sécurité et empêche ainsi le vol.
Jeudi 14 Juin 2012
Une
nouvelle étude Symantec sur les dimensions psychologiques favorisant le
vol de données en entreprise permet d’éclairer les entreprises sur les
bonnes pratiques à mettre en place pour éviter le vol de données
propriétaires sensibles. Cette étude a été réalisée par deux experts en
psychologie et en gestion des risques liés à l’interne. Pour mémoire, en
France, le coût moyen d’une violation de données est estimé à 2,55
millions d’euros et 30% d’entre elles sont le fait d’employés mal
intentionnés.En analysant et synthétisant l’ensemble des documents sur les violations de données publiées aux Etats-Unis, et à travers une description des conditions qui favorisent ces risques en entreprise, cette étude, réalisée par Dr. Eric Shaw et Dr. Harley Stock, experts en psychologie et en gestion des risques liés à l’interne, entend éclairer les entreprises sur les bonnes pratiques à mettre en place pour éviter le vol de données propriétaires sensibles.
« La plupart des entreprises commence à prendre conscience des menaces externes, mais l’interne mal intentionné pose d’autres risques », explique Laurent Heslault, Directeur des stratégies de sécurité de Symantec. « Dans le contexte économique actuel, les entreprises de toutes tailles tout comme les gouvernements reconnaissent les défis croissants que pose la protection de leurs données confidentielles »
Selon les études Symantec menées avec le Ponemon Institute publiées en mars 2012, Les violations de données ont coûté aux entreprises américaines quelques 5,5 millions de dollars en moyenne. En France, le coût moyen d’une violation de données est estimé à 2,55 millions d’euros. 30% d’entre elles sont le fait d’employés mal intentionnés. En s’appuyant sur une analyse des recherches empiriques disponibles, les Dr. Stock et Shaw ont identifié les comportements et indicateurs clés qui contribuent aux vols de données par l’interne malveillant.
Les schémas que l’on retrouve le plus fréquemment sont les suivants :
- Les voleurs de données propriétaires occupent souvent des positions techniques. La majorité des violations de données propriétaires est commise par des employés de sexe masculin d’environ 37 ans qui occupent des positions telles que celles d’ingénieur, scientifique, manager et programmeur. Une large partie d’entre eux ont signé des accords de confidentialité, ce qui indique que la règle-seule, sans la compréhension par l’employé et son contrôle efficace, ne suffit pas.
- Le Mécontent Autorisé et le Leader Machiavélique sont les deux principaux profils de voleur de données en interne. Le premier opère essentiellement rapidement, avant un départ de l’entreprise et présente un certain mécontentement vis-à-vis de son employeur ; le second agit plus froidement, de façon plus planifiée. Les deux profils sont à confronter et relativiser selon le modèle de POAA (Pathological Organizational Affective Attachment) de Stock qui analyse les processus complexes de motivation, d’émotions, d’éléments cognitifs, de dynamiques interpersonnelles et d’échanges sociaux.
- Les voleurs de données propriétaires ont déjà retrouvé un emploi. Environ 65% des employés qui ont commis un vol de données avaient accepté un emploi dans une entreprise concurrente ou avait lancé leur propre société au moment du vol.
- Ils n’opèrent pas nécessairement seuls : Environ 20% avait été recruté par un tiers extérieur à l’entreprise, et 25% ont opéré en groupe.
- Les employés mal intentionnés volent en général des informations auxquelles ils ont droit d’accéder. Les sujets prennent les informations qu’ils connaissent, avec lesquelles ils travaillent et sur lesquelles ils se sentent avoir un droit. En fait, 75% d’entre eux volent des données auxquelles ils ont accès.
- Les informations concernant le savoir-faire sont les plus généralement dérobées, représentant 52% des données volées. Les informations commerciales telles que facturation, liste de prix ou autres données administratives représentaient 30%, suivies par le code source (20%), les logiciels propriétaires (14%), les informations clients (12%) et les business plans (6%).
- Les employés mal intentionnés utilisent la technologie pour voler des données. La majorité des sujets (54%) utilisent l’email, un accès à distance au réseau ou le transfert de fichiers pour subtiliser les données. A noter également : les moyens technologiques varient selon le type de données subtilisées.
- Des schémas communs constatés lors des vols. Des problèmes communs se produisent avant les vols de données internes et contribuent probablement aux motivations de l’employé mal intentionné. Ces éléments déclencheurs semblent confirmer le rôle de prédispositions psychologiques personnelles, des événements stressants et des comportements spécifiques qui indiquent alors un risque potentiel. A noter également que de la réponse du management va dépendre le succès ou non du vol de données.
- Des revers professionnels peuvent précipiter les employés mal intentionnés vers le vol de données propriétaires. Le glissement vers le vol s’accélère lorsque l’employé se lasse de seulement « y penser » et passe à l’action, ou s’il est sollicité par d’autres pour passer à l’action. Cela intervient souvent lors d’une déconvenue professionnelle, ou perçue comme telle, ou lorsque des attentes ne sont pas satisfaites.
L’étude de Symantec « Indicateurs de risques comportementaux des employés mal intentionnés en entreprise » est disponible en téléchargement sur le site Internet de la société.
Elle comprend différentes recommandations pragmatiques pour les managers et les RSSI qui sont concernés par le vol de données propriétaires :
- Etablir une équipe : pour contrer ce problème, les entreprises doivent constituer une équipe dédiée composée de représentants des ressources humaines, de la sécurité et du département juridique, qui édite des règles, développe les formations et supervise les problèmes liés aux employés.
- Les problèmes interne à l’entreprise : les entreprises doivent évaluer le niveau de risque lié à des problèmes organisationnels : motivation en berne, risque concurrentiel, opérations adverses, expatriés, recours à des entreprises tiers, implantations sur différents pays, etc…
- Règles et pratiques : établir une liste de règles et de pratiques spécifiques à observer conformément à la gouvernance même de l’entreprise
- Formation et éducation : les règles et pratiques, si elles ne sont pas expliquées et qu’elles ne suscitent pas l’adhésion des employés, ont peu de chance d’être efficaces. On note que les voleurs de données propriétaires ont d’ailleurs déjà signé des accords de respect des données propriétaires. Les entreprises doivent encourager le dialogue avec leurs employés sur le type de données transférables ou non lors de leur départ, et sur les conséquences d’une violation de ces accords.
- Une évaluation continue : sans monitoring ni vérification efficaces, la conformité aura des lacunes et le risque interne augmentera.
Symantec recommande en outre de mettre en place une solution de prévention de perte de données (DLP ou Data Loss Prevention) qui relève les risques les plus élevés de vol de données interne, et de mettre en place une politique qui supervise une utilisation inappropriée de données, notifie les employés des violations, et renforce ainsi la connaissance des risques de sécurité et empêche ainsi le vol.
Aucun commentaire:
Enregistrer un commentaire