Les entreprises britanniques ne parviennent pas à répondre à la culture des employés qui utilisent leurs propres appareils mobiles pour le travail et ouvrent leurs systèmes à des risques de sécurité, selon une nouvelle enquête.

Les conclusions préliminaires de l'enquête sur les atteintes à la sécurité de l'information de 2012 (ISBS) - rédigées par PwC en collaboration avec Infosecurity Europe et appuyées par le département Business, Innovation and Skills - ont été publiées avant la publication du rapport complet. Les résultats sont une lecture effrayante.

  • 54% des petites entreprises n'ont pas de programme de sensibilisation à la sécurité
  • 45% des petites entreprises ont signalé des atteintes à la sécurité causées par le personnel
  • Seulement 26% des répondants ayant une politique de sécurité estiment que leur personnel en a une très bonne compréhension

Risques liés aux atteintes à la sécurité du personnel

Quelque 61% des petites entreprises autorisent leur personnel à utiliser des téléphones intelligents et des tablettes pour se connecter à leurs systèmes bureautiques. Pourtant, seules 24% des petites entreprises appliquent un cryptage des données sur leurs appareils. Environ la moitié (45%) des petites entreprises ont signalé des atteintes à la sécurité causées par leur personnel et 20% ont perdu ou divulgué des informations confidentielles, ce qui montre qu'elles ne peuvent ignorer cette menace..

L'enquête montre que la personnalisation crée de nouvelles menaces pour la sécurité, liées à la fois aux logiciels malveillants et aux pertes de données, et que les organisations autorisant les appareils personnels ont généralement des contrôles plus faibles que ceux n'autorisant que les appareils professionnels..

Chris Potter, partenaire de PwC en matière de sécurité de l’information, a déclaré:

"Avec l'explosion de nouveaux appareils mobiles et la confusion des frontières entre le travail et la vie personnelle, les entreprises exposent leurs systèmes à des risques énormes. Les smartphones et les tablettes électroniques sont souvent perdus ou volés, et toutes les données qui y sont exposées sont exposés. Les appareils mobiles peuvent percez littéralement à travers vos défenses de sécurité, si vous ne faites pas attention.

"Cependant, les entreprises ne répondent pas à ces nouveaux défis. Tout comme nous le constations il y a dix ans avec les virus informatiques, les entreprises tardent à ajuster leurs contrôles au fur et à mesure de l'évolution de l'utilisation de la technologie. Il est essentiel d'informer votre personnel des risques. Si vous ne le faites pas Votre propre peuple pourrait devenir par inadvertance votre pire ennemi de la sécurité. Il est clair à quel point les smartphones et les tablettes sont devenus importants - à mesure que les données confidentielles sont stockées sur eux, le risque de violation de données augmente. "

Politique de sécurité

De manière alarmante, 54% des petites entreprises ne disposent d'aucun programme pour sensibiliser leur personnel aux risques de sécurité. Seuls 26% des répondants ayant une politique de sécurité estiment que leur personnel le comprend très bien, tandis que 21% pensent que le niveau de compréhension du personnel est faible. En effet, 75% des organisations dont la politique de sécurité est mal comprise ont eu des failles de sécurité liées au personnel au cours de la dernière année.

Une entreprise sur sept qui accorde une priorité élevée ou très élevée à la sécurité n'a pas écrit sa politique. la plupart sont de petites entreprises qui utilisent plutôt le bouche à oreille, mais un tiers seulement pensent que leur personnel le comprend parfaitement. Les entreprises qui ont investi dans la formation de sensibilisation du personnel en récoltent les bénéfices - elles ont quatre fois plus de chances de disposer d'un personnel qui comprend clairement la politique de sécurité et deux fois moins susceptible de faire l'objet d'atteintes à la sécurité que les organisations qui ne forment pas leur personnel..

Chris Potter, partenaire de PwC en matière de sécurité de l’information, a déclaré:

"Définir votre sécurité est essentiel pour informer le personnel des risques à surveiller, du traitement approprié des données et des mesures à prendre en cas de violation. La principale cause des violations de la sécurité par le personnel est souvent le défaut des entreprises d'investir dans l'éducation. Les organisations ne parviennent pas à promouvoir une culture de sensibilisation à la sécurité et ne sont donc souvent pas conscientes des risques qu’elles représentent..

"Les violations se produisent souvent par ignorance plutôt que par malveillance. Avoir une politique de sécurité en soi n’empêche pas les violations; le personnel doit la comprendre et la mettre en pratique. Les résultats de l’enquête montrent que les programmes de sensibilisation à la sécurité rapportent des bénéfices évidents. compréhension qui, à son tour, entraîne moins de violations. Malheureusement, les résultats de l’enquête montrent également qu’il faut souvent un incident sérieux pour que les entreprises forment leurs employés. "