
Par ailleurs, c’est le cas avec Nghia Hoang Pho, l’analyste de la NSA qui a accidentellement exposé les données de la NSA et qui a plaidé coupable devant un tribunal en décembre dernier et qui a été condamné à 5 ans et demi de prison pour cause de rétention intentionnelle, imprudente et illégale d’informations hautement classifiées. En effet, les outils classés top secrets de la NSA ont été exposés parce que l’entrepreneur vietnamien de la NSA a dû aller travailler à la maison (avec son ordinateur personnel) sur le remplacement des outils de piratage rendus désuets par la divulgation faite par Edward Snowden, lorsque le piratage a eu lieu via l’antivirus Kaspersky installé sur son ordinateur.
Un autre cas de fuite de données par un acteur interne est celui du général quatre étoiles et ancien directeur de la CIA, David Petraeus, en 2015. Il avait également plaidé coupable d’avoir donné des informations hautement confidentielles à son ex-maîtresse. Les informations en question étaient constituées des identités des agents secrets, des stratégies de guerre, des discussions diplomatiques ou encore le contenu de discussions impliquant l’ex-président Barack Obama et même des documents contenant des informations sur la défense nationale des USA.
Netwrix a effectué son étude sur les expériences et les projets de plus de 1 500 entreprises en matière de gestion des risques informatiques. 44 % des répondants ne savent pas ou ne sont pas sûrs de ce que leurs employés font avec des données sensibles, selon le rapport. Ce taux est largement suffisant pour traduire la menace interne dans les organisations.
Certaines conclusions de l’étude amplifient cette menace interne. En effet, les meilleures pratiques concernant les contrôles de sécurité critiques ne sont pas régulièrement examinées. 20 % des répondants procèdent rarement à l'élimination des données obsolètes et inutiles et à la classification des données, tandis que 14 % des organisations n’exercent jamais ces importants contrôles de sécurité.
Netwrix s’est penché, également, sur les pratiques d’évaluation des risques informatiques et l’élaboration d'un plan d'intervention en cas d'incident. Seules 33 % des organisations déclarent effectuer régulièrement la réévaluation de leurs risques informatiques, tandis que 77 % ont procédé à cette pratique au moins une fois. 17 % des répondants disent avoir élaboré un plan d’intervention en cas d’incident, contre 42 % qui n’ont aucun plan d’intervention du tout sinon une ébauche.
« Notre rapport montre que la principale raison pour laquelle les entreprises ne parviennent pas à faire face aux risques informatiques majeurs réside dans une approche laxiste des bases de la sécurité », déclare Steve Dickson, PDG de Netwrix. « Ils accordent la priorité à certains contrôles et laissent les plus importants hors de portée. Une approche aléatoire des bases de la sécurité et une visibilité réduite des données sensibles donnent aux professionnels de l'informatique un faux sentiment de sécurité. Cependant, accorder plus d'attention à tous les principes de sécurité fondamentaux peut aider les entreprises à gérer les risques informatiques avec plus de succès. »
Source : Netwrix
Et vous ?


Voir aussi




