72% des salariés seraient prêts à partager des informations confidentielles ou réglementées de leur entreprise dans certaines circonstances, selon une étude commanditée par Dell Data Security (Dell EMC) et menée par Dimensional Research. L'enquête a été réalisée en ligne (du 24 février au 9 mars 2017) auprès de 2 608 utilisateurs ayant personnellement accès à des données confidentielles, sensibles ou réglementées, ainsi qu’à d’autres types d’informations professionnelles et travaillant dans des entreprises de plus de 250 collaborateurs dans 8 pays dont la France. L’enquête a par ailleurs sondé des utilisateurs aux Etats-Unis, au Royaume-Uni, en Allemagne, en Inde, au Japon, en Australie et au Canada.

Lorsqu'on demande aux utilisateurs dans quel contexte ils partageraient ces informations sensibles, les intentions ne sont évidemment pas mal intentionnées. Dans la plupart des cas, il s’agit seulement de travailler de façon plus efficace, avancent les répondants. La plus grande partie d’entre eux, 43%, franchiraient le pas si leur hiérarchie leur demandait, tandis que 37% pourraient partager ces informations avec des personnes autorisées à les recevoir. Un peu moins d’1 salarié sur 4 (23%) le ferait s’il estime que le risque est très faible alors que les bénéfices sont élevés. Une proportion équivalente (22%) s’y risquerait si cela pouvait leur permettre d’effectuer leur travail plus efficacement. Enfin, jusqu’à 13% sont prêts à partager des données sensibles si cela peut aider les destinataires de ces informations à travailler de façon plus efficace. Quoi qu'il en soit, de façon générale, 76% des répondants considèrent que la priorité mise par l'entreprise sur la sécurité pèse sur leur productivité et les tâches qu'ils doivent effectuer au quotidien.

L'email personnel utilisé pour des tâches confidentielles

Les conduites non sécurisées les plus courantes se manifestent par la connexion aux réseaux WiFi publics et par l'utilisation de l'email personnel pour des tâches confidentielles.

D’ailleurs, en moyenne, 45% des personnes interrogées admettent se risquer à des comportements peu sécurisés au cours de leur journée de travail. Dans les grandes entreprises, 48% admettent se connecter à des réseaux WiFi publics pour accéder à des données confidentielles. Dans les petites et moyennes entreprises, ils sont 54% à le faire et, toujours dans ces structures de taille moyenne, jusqu’à 68% avouent utiliser leur compte de messagerie personnelle pour des tâches professionnelles confidentielles. Dans les grandes entreprises, sans doute mieux équipées, ils ne sont que 52% à utiliser leur email personnel pour des sujets confidentiels. Enfin, quelle que soit la taille de la structure, plus de 20% indiquent avoir déjà perdu un équipement informatique fourni par leur employeur. Mais l’un des points les plus choquants, souligne l’étude commanditée par Dell EMC, est que plus d’1 salarié sur 3 considère qu’il est courant d’emporter des informations professionnelles lorsqu’on quitte son entreprise. Cette situation a récemment posé des problèmes à des sociétés comme Uber et Facebook qui se sont vu intenter un procès au motif que certains de leurs cadres dirigeants de leurs filiales avaient emporté des informations commerciaux secrètes en quittant leur précédent employeur (Waymo en l’occurrence dans le 1er cas et ZeniMax dans le 2nd).

Toutefois, selon les pays sondés, des différences apparaissent. En Inde, par exemple, il est plutôt courant d’emporter des informations lorsqu’on quitte une entreprise, selon 57% des personnes interrogées, contre 15% selon au Japon. La plupart des salariés le font surtout sur des travaux qu’ils ont réalisés (36%), mais certains (16%) le font aussi pour des données traitées par des collègues. Les informations partent généralement sur des clés USB (61%) ou par email (56%), deux types de comportement qu’il est difficile de contrer. A noter que 3% des sondés admettent aussi avoir agi volontairement de façon non sécurisée, à des fins malveillantes. Tandis que 24% disent avoir juste voulu faire leur travail et 18% avouent avoir agi sans savoir qu’ils se comportaient de façon peu sûre.

Byod : 28% des terminaux personnels sécurisés par la IT

En France, 58% des utilisateurs interrogés indiquent se connecter sur les réseaux sociaux à partir de l'équipement fourni par leur entreprise.

L’étude montre aussi que c’est principalement le manque de formation qui conduit les salariés à agir de façon inappropriée. Et les programmes Byod peuvent augmenter les situations problématiques. Ainsi lorsque des utilisateurs accèdent à des données confidentielles avec leur propre équipement, ils sont à 62% personnellement responsables de la sécurité de leur terminal. Dans seulement 28% des cas, cette responsabilité est transférée à l’équipe IT de l’entreprise. Et c’est notamment ce qui facilite les cyberattaques basées sur l’ingénierie sociale. C’est un point préoccupant quand on apprend que 49% des salariés utilisent le terminal fourni par leur entreprise pour accéder à leurs comptes personnels sur les médias sociaux. En France, ils sont 58% à le faire, 60% en Allemagne et 55% aux Etats-Unis, mais seulement 30% au Royaume-Uni et 26% au Japon.

Les collaborateurs interrogés semblent avoir une relation difficile avec la cybersécurité au travail. Ils ne veulent pas que leur entreprise subissent un vol de données et veulent même contribuer à assurer la sécurité des informations (65% se sentent responsables de leur protection), mais ils subissent les contraintes des politiques de sécurité au quotidien. Et, surtout, seuls 36% des utilisateurs se sentent suffisamment informés sur la façon de protéger les données sensibles. 21% trouvent difficile de rester à jour des règles de protection qui évoluent et 22% redoutent de faire un jour une erreur qui causerait du tort à leur entreprise.

Renforcer les niveaux de sensibilisation

En résumé, l’enquête demandée par Dell Data Security montre que si près de deux tiers des utilisateurs accédant à des données sensibles sont formés aux questions de cybersécurité, ils ne savent toujours pas comment les protéger ces informations. Même lorsqu’ils connaissent les bonnes pratiques, ils sont prêts à les contourner lorsque leur travail le demande. Cela signifie que les politiques de sécurité ne sont pas suffisamment claires ou qu’elles ne couvrent pas assez de scénarios. Plutôt que d’interdire le partage de données, il est préférable de l’autoriser lorsque c’est nécessaire, mais d’une façon simple et sécurisée. Pour les entreprises, la seule façon de relever ces défis et lutter contre ces risques, c’est simultanément de renforcer les niveaux de sensibilisation, de mise en capacité d’agir et de protection, conclut l’étude.