Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Les travailleurs IT sont plus enclins à compromettre la sécurité des données que les autres travailleurs,
Selon un sondage d'Intermedia

Le , par Olivier Famien

0PARTAGES

6  1 
Intermedia, le fournisseur d’applications Cloud a effectué un sondage sur plus de 2 000 travailleurs de bureau aussi bien aux États-Unis qu’en Angleterre. L’objectif était de détecter les personnes ayant des habitudes comportant le plus de risques pour les données de leurs entreprises.

De prime abord, Intermedia a pu constater de manière générale à travers les données collectées que parmi les personnes interrogées, 97 % ont accès à des informations sensibles ou confidentielles tandis que 93 % d’entre elles reconnaissent s’être déjà adonnées au moins une fois à des comportements qui ont fait peser des risques sur les données auxquelles ils avaient accès.

En regardant plus en détail, les conclusions de ce rapport sont plutôt surprenantes. De toutes les personnes travaillant dans divers domaines tels que les ressources humaines, le marketing, la finance, le commerce, ce sont les personnes travaillant dans le domaine des technologies de l’information qui présentent les plus mauvaises habitudes de sécurité en général.

Par exemple, sur 46 % des personnes interrogées qui utilisent des noms d’utilisateurs et mots de passe web et les partagent avec d’autres utilisateurs, 65 % des personnes travaillant dans le domaine IT en font partie. De même, 67 % des employés de l’industrie des technologies avouent accéder au web en utilisant un mot de passe commun également utilisé par leurs collègues, tandis que sur l’ensemble des métiers interrogés, cette pratique est de l’ordre de 49 %.

Sur 19 % personnes interrogées qui ont déjà donné leurs identifiants à d’autres travailleurs, on retrouve 32 % des professionnels du monde IT qui s’adonnent également à cette pratique.

En outre, 52 % des employés travaillant dans le domaine des technologies de l’information ont répondu qu’ils utilisent leurs mots de passe personnels pour des applications d’entreprises alors que pour cette pratique, nous avons 40 % des interrogées sur l’ensemble des personnes interrogées qui font la même chose.

48 % des employés du secteur des technologies pratiquent le shadow IT sur leurs PC. Ces derniers sont d’accord pour installer des applications sur leurs ordinateurs de travail sans que la direction des systèmes d’information (DSI) en soit informée. Cette attitude est observée chez 29 % des personnes interrogées, toutes les professions confondues.

Nous rappelons de manière basique que le shadow IT s’apparente à un ensemble d’équipements, services ou technologies utilisés en milieu professionnel sans que la direction des systèmes d’information soit au courant.

Cette situation est en général provoquée par le fait que les décisions pour fournir des outils à jour aux travailleurs sont lentes à prendre. Ces derniers se tournent donc vers des outils, applications, services, matériels qu’ils utilisent dans l’ombre ou simplement sans que le service informatique ne soit informé.

Concernant toujours le shadow IT, 45 % des travailleurs IT ont déjà déployé des applications gratuites ou payantes sans avoir consulté l’équipe IT, alors que ce comportement est observé à hauteur de 23 % sur l’ensemble des interrogés.

Aussi, à la question de savoir si les employés utiliseraient leurs accès, partageraient, modifieraient, supprimeraient des données de leur travail actuel s’ils étaient emmenés à quitter leur travail aujourd’hui, 57 % des travailleurs du secteur des technologies ont répondu qu’ils le feraient alors que la tendance générale englobant toutes les professions est de 23 % de personnes qui seraient prêtes à le faire.

Encore plus en profondeur, 26 % des personnes du secteur technologique ont répondu qu’ils n’hésiteraient pas à emporter les données de leur compagnie si cela leur était profitable. Cette mentalité est observée chez 15 % des personnes interrogées pour l’ensemble des personnes sondées.

En regardant ces chiffres, il est clair que la menace des données en entreprises proviendrait le plus de ceux qui sont supposés être les mieux sensibilisés sur la question. Jonathan Levine, CTO d’Intermedia explique cela en expliquant que « vous avez entendu le proverbe, ‟100 % des hommes affirment qu’ils sont mieux que le conducteur moyen”. C’est la même chose. ‟100 % des travailleurs IT disent qu’ils sont mieux que la moyenne en matière de sécurité”. Vous entendrez aussi les gens dirent des choses comme : ” ‟Pourquoi mettre une ceinture de sécurité ? Je conduis depuis longtemps sans ceinture et je ne suis pas encore mort”. C’est la même mentalité ».

Source : Intermedia

Et vous ?

Que pensez-vous de ces résultats ?

Partagez-vous les conclusions du rapport ?

Voir aussi

Forum Sécurité

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Guikingone
Membre éprouvé https://www.developpez.com
Le 23/10/2015 à 17:38
Citation Envoyé par Saverok Voir le message
Et faire une demande à l'admin, non ?
Si l'administrateur du parc décide de restreindre les droits admin sur les postes, c'est qu'il a ses raisons.
Quand tu prends place sur ton poste, tu signes une charte d'utilisation du matériel.
Il y a des procédures dans l'entreprise à respecter.
Certes c'est lent et ça fait chier mais c'est comme ça.

Ta réponse me fait penser à un gars qui se fait choper à 200km/h sur une nationale et qui explique qu'il était en retard à son rdv et que donc, c'est normal qu'il ne respecte pas le code de la route et que c'est la faute de ce code s'il y a de l'insécurité routière...
C'est justement après demande et réponse négative que j'ai pris la décision de mon propre chef de me débrouiller, sans cela et si la réponse avait été positive, je n'aurais pas contourner la règle, je le conçoit.
Je respecte le fait que les règles sont faites pour être respectés mais dans des cas où la sécurité n'est pas en danger, je trouve cela trop restrictif, surtout si on bosse au sein du service concerné.

Et je précise que si je venais à me faire attraper à 200km/h sur une nationale, je ne blâmerais personne ni aucun code, je prendrais toute la responsabilité, question d'éducation.
2  0 
Avatar de tchize_
Expert éminent sénior https://www.developpez.com
Le 23/10/2015 à 8:47
Faut voir aussi comment les questions sont posées. Quand vous dev une application, il est inévitable que vous devez partager les passes avec vos collègues pour qu'ils testent avec les mêmes comptes test. Pareil pour les accès à certains serveurs.
Le shadow it a toujours été toléré dans le dev it. On part du principe que le user est assez formé que pour savoir ce qu'il fait.
Pour le vol de données par contre c'est inadmissible.
1  0 
Avatar de RyzenOC
Inactif https://www.developpez.com
Le 23/10/2015 à 9:07
On oublie trop souvent qu'un Pro à des besoins plus poussé que la secrétaire qui démarre juste word.

Quand je programme, je dois très souvent être en admin ou avoir les droits de root. Je dois souvent installer des programmes/bibliothèques...etc.

Malheureusement les DSI ne comprennenet pas cela, au lieu de par exemple isoler l'environnement de développement du reste de la boite, ils nous imposent des restrictions (impossibilité d'installer un logiciel par exemple), et on est souvent ammené a contourner ces restrictions pour pouvoir justement travailler.

Il y'a peu je devais faire un programme en Python sous Windows, mais j'avais pas le droit d'installer Python, ni d'éditeur de texte, je fais comment ? J'ai du bidouiller pour pouvoir installer python et notepad++.

Autre exemple, quand on fait un logiciel qui utilise des socket, on doit pouvoir modifier le pare feu par exemple.
1  0 
Avatar de Mohamed_beng
Membre à l'essai https://www.developpez.com
Le 23/10/2015 à 14:07
Qu'en pensez-vous?
Que la publicité fonctionne. ce n'est pas une critique à l'encontre de votre article mais bien à l'encontre de "l'étude" d'Intermedia. Je ne sais pas pour les autres, mais à la première lecture, en arrivant en bas de la page, je me suis dit, mais que font les employeurs? Et étrangement, la solution est offerte par... Intermedia.
Je ne les blâme pas de chercher à vendre leurs produits, mais le faire de cette manière... Jouer les salariés contre les employeurs...
Là où, selon moi, le procédé devient détestable, c'est qu'ils mettent en place une atmosphère de peur en utilisant le champ lexical de la menace : riskiest users (c'est même dans l'url...), Insider threats: Meet the Business World's Riskiest User (c'est le contenu de la balise <title>, je n'ai pas accès au rapport complet, mais je trouve que ça commence bien. Et ça c'est ce qui est évident. Parce que si on s'amuse à interpréter, alors, je trouve que les questions, comme beaucoup l'ont souligné, sont mal posées, voir anxiogènes.
Ainsi dans l'encart suivant: Technology companies have a lot to worry about., la dernière "statistique" mériterait d'être approfondie. En effet, le comportement que vise l'article est, si l'on s'en tient à la généralité de la proposition, celui de l'accès aux données de l'entreprise par les ex-employés de manière générale. Mais mettre dans le même panier, les attitudes qui pour certaines, dans notre pays en tout cas (et sans doute dans les pays de common law), pourraient recevoir l'onction d'un Conseil de prud'hommes (ou d'un juge dans les autres pays)(download, share), et celles qui peuvent relever de la malveillance (delete or alter company info), me semble d'une particulière mauvaise foi.
Celle concernant les professionnels de l'IT qui admettent avoir accédé aux systèmes de leur entreprise après leur départ de l'entreprise, 28% pour l'IT contre 13% pour les autres sondés est mise en avant sans discernement aussi. Je peux me tromper, mais il me semble que dans ces domaines on peut avoir des raisons d'agir ainsi, d'autant qu'encore une fois, rien ne dit que les accès soient illégitimes ou relèvent de la malveillance...
On pourrait aussi comparer ces réponses avec les répartitions par tranche d'âge, ancienneté... C'est peut être fait dans le rapport, mais ce n'est pas mis en avant ici.
Enfin bref, qu'en pensez-vous? Franchement, pas du bien, jouer les salariés contre les employeurs, ceux qui savent (IT guy, Tech guy), malfaisant, contre les ignorants naïfs et bienveillants (employeurs)...
Mon avis est tranché je sais, mais je trouve vraiment la ficelle trop grosse, et je ne suis pas développeur, mais juriste de formation (désolé Traroth2... )
1  0 
Avatar de gallima
Membre actif https://www.developpez.com
Le 23/10/2015 à 14:23
Je suis à la fois personne physique, utilisateur de l'IT et administrateur de l'IT.

Est ce que sa leur fait peur que je change de casquette à volonté ?

Saleté de pub !
1  0 
Avatar de Guikingone
Membre éprouvé https://www.developpez.com
Le 23/10/2015 à 15:14
Ce n'est pas pour blâmer qui que ce soit mais il est à noter que parfois, l'insécurité peut mener à des solutions posés.

Une fois j'ai du installer un logiciel tout simple (NotePad++) sur mon poste pour bosser sur un projet et malheureusement je ne pouvais pas sans accès Admin (conservé et réservé aux membre du SI), j'ai du contourner le pare-feu et me connecter au réseau via un accès Wifi partagé depuis mon mobile, ce fut laborieux mais au bout de 15 minutes, j'avais enfin mon logiciel alors que si les accès avait été ouvert à tout ceux qui bosser dans la service, tout cela aurait plus être plus rapide et bien plus efficace.

Nous ne sommes pas forcément de mauvais utilisateurs ni des créateurs d'insécurité mais nous devons parfois contourner les règles et rendre l'environnement plus susceptible au danger afin de pouvoir travailler, ce que je déplore.
2  1 
Avatar de BufferBob
Expert éminent https://www.developpez.com
Le 23/10/2015 à 8:36
c'est l'histoire du cordonnier mal chaussé.

la secrétaire qui n'y connait rien aura une attitude beaucoup plus humble vis à vis des consignes de sécurité, là où le IT croit savoir, croit connaitre, c'est le même principe quand on nous dit à l'auto-école que les accidents arrivent en général sur les routes qu'on connait le mieux; on relâche sa vigilance
1  1 
Avatar de transgohan
Expert éminent https://www.developpez.com
Le 23/10/2015 à 9:31
Nous n'avons pas de PC personnel hormi celui de bureautique.
Donc sur la plateforme de développement n'importe qui peut avoir à se connecter sur n'importe quel PC pour bosser.
Et comme nous avons des équipements connectés aux PCs mais pas à tous n'importe qui peut avoir à les utiliser périodiquement.
Du coup obligé de partager nos mots de passe.

Nous avons aussi une connexion sur des serveurs solaris, mais manque de compte, donc nous partageons des comptes.

Bref on est mal chaussé mais nous ne pouvons rien y faire.
0  0 
Avatar de RyzenOC
Inactif https://www.developpez.com
Le 23/10/2015 à 9:49
@BufferBob Je parlais pour un environnement de développement (j'insiste sur ce point), par sur un serveur en production.
0  0 
Avatar de grimtyr
Nouveau Candidat au Club https://www.developpez.com
Le 23/10/2015 à 9:53
Quand j'étais dans l'IT pour une grosse SS2I (ou ESN),

On avait tous des mots de passe AD génériques archi-simple qu'on se partageait entre nous,
On contournait le proxy avec un script emprunté aux HQ,
J'avais même dénicher le mot de passe admin local sur tout les postes !
Mais à côté de ça, on avait des applications foireuses, infiniment lentes et qui crashaient bien trop souvent.

Sans ces informations, notre travail aurait été bien plus pénible et bien moins productif.
Car on a pu installer des IDE, de bons soft de Remote Control, developper des softs spécifiques.
Et finalement faire du meilleur boulot !
0  0