Toujours sur le thème « Utilisateur, cet insupportable maillon faible », voici également que RSA y va de son couplet. L´enquête s´est déroulée durant la période printemps-été 2008, sur un échantillonnage de 417 personnes, dans la zone Amérique du nord/Amérique latine. La répartition de la population concernée est essentiellement tertiaire :
46% travaillent dans un secteur financier
20% dans une industrie technologique
46% sont professionnels des TIC
11% sont des cadres
54% sont employés dans des entreprises de plus de 5,000 personnes.
… en somme, un profil de « travailleur en col blanc » théoriquement habitué et sensibilisé aux dangers et dommages collatéraux liés à l´usage de l´Informatique. L´étude précise même que 94 % des personnes interrogées se disent averties des politiques de sécurité en vigueur sur leur lieu de travail… mais 54 % avouent les avoir contournées car jugées trop contraignantes.
64 % même déclarent utiliser leur messagerie pour « envoyer » du travail à finir chez eux… rassurons tout de suite les gourous de RSA car, la crise aidant, et si l´on en croit les récentes constatations du Medef, de plus en plus de cadres se lancent dans une « grève du zèle » et se mettent à respecter strictement les horaires de travail légaux. Sans plus. Dans un monde où la confiance entre le patronat et les employés se dissout au rythme des charrettes et des parachutes dorés, le problème du « data leak prevention » pourrait bien être résolu faute de combattant. Pour l´heure, entre les états-Uniens, les Mexicains et les Brésiliens, ce sont ces derniers qui conservent le mieux leurs illusions (avec 71% des cadres qui font « fuir » des données pour travailler chez eux).
Autre comportement jugé à risque par RSA, si 89%des interrogés travaillent à distance via un VPN ou autre RAS, 58 % consultent et écrivent leur courriel sur une machine publique, et 65 % le font via un hot spot sans fil public. Toujours au chapitre de la mobilité, 10 % des sondés utilisent un portable, des clefs usb, des téléphones « intelligents » contenant des données d´entreprise. Près de 29 % des Mexicains, 5 % des Etats-Uniens, avouent avoir au moins une fois perdu l´un de ces appareils (mais rien dans l´étude ne dit si ces outils ou composants contenaient effectivement des données d´entreprise… la corrélation des informations n´est pas très claire).
L´étude s´achève par des chiffres édifiants mettant directement en cause les mauvaises pratiques des DSI. Ainsi, 43% des gens concernés par ce sondage ont conservé, après une mutation ou un changement de poste, les droits d´accès conférés dans leur ancienne fonction. 79 % des sondés « caftent » et précisent que leurs entreprises faisaient appel à des travailleurs temporaires ou des sous-traitants ayant accès à des données d´entreprise -ce qui, dans les secteurs du tertiaire, semble légèrement logique-. L´étude, en revanche, ne précise pas le nombre exact de sociétés ayant, sans le savoir, hébergé sur le parking société des 2CV rouges équipées d´un autoradio à lecteur de MP3 disposant d´un port USB capable d´accepter les donnés d´une clef USB ayant éventuellement pu contenir des données professionnelles transmises par réseau WiFi.
Parfois, il peut être utile, avant que de se plonger dans de telles métriques, de relire dans un dictionnaire les définitions des mots « danger », « risque », « menace », « atteinte », « fuite » et « sinistre ». Aucun de ces mots n´est synonyme de son voisin. La sécurité est un compromis, et l´immobilisme, ou un cloisonnement trop poussé des centres d´information, conduit tout droit à une nécrose des services, une asphyxie de l´audace commerciale dont doit faire preuve toute entreprise (avec peut-être une exception conjoncturelle pour ce qui concerne les organismes financiers).
