fuite de données

Fuites de données et motivation des employés

Comment la motivation des employés influence les pertes de données des entreprises.

Andrey Evdokimov
27 Avr 2020

Quelles sont les conséquences des fuites de données pour les employés ? Pour répondre à cette question, nous commençons par étudier les causes de la plupart de ces incidents qui, selon mon expérience, sont souvent dus à un manque de rigueur, à l’irresponsabilité des employés ou à l’inefficacité de la direction. En d’autres termes, quelle que soit la manière dont on aborde la question, le facteur humain est au cœur du problème.

Quand les employés ne prennent pas leurs responsabilités

Essayez de demander aux employés quels changements dans leur flux de travail les aideraient à améliorer leur productivité et leur niveau de satisfaction au travail. Les gens veulent généralement travailler d’une manière qui leur convient et sans interférence. Ils veulent, par exemple, avoir des droits d’administrateur sur leur ordinateur, pouvoir installer n’importe quel logiciel, et accorder l’accès aux données et aux systèmes de leur équipe à leur guise. Ils veulent également inviter des personnes externes au bureau. Ce genre de choses.

Cependant, presque personne n’est vraiment prêt à assumer la responsabilité de ce qu’il veut ou trouve pratique. De nombreux employés (et leurs supérieurs aussi, parfois) sont complaisants et pensent qu’ils sont en quelque sorte protégés quoi qu’ils fassent, et que quelqu’un pourra toujours remédier à la situation d’un coup de baguette magique. Bien sûr, nous, les experts en cybersécurité des entreprises, faisons toujours de notre mieux pour protéger les utilisateurs, mais nous ne sommes pas omnipotents.

Les mauvaises décisions de la direction

La deuxième cause des incidents les plus graves est, d’une manière générale, une gestion inefficace des processus d’entreprise, qui englobe également les actions ou l’inaction du personnel chargé de la sécurité de l’information et de l’informatique. Une entreprise qui prend la cybersécurité au sérieux ne subit pas de dommages importants si un employé insère une clé USB avec un fichier infecté, ouvre un e-mail avec une pièce jointe malveillante ou suit une URL infectée. Dans tous les cas, une chaîne d’erreurs doit se produire dans la bonne combinaison :

Le processus d’entreprise a été organisé de manière à permettre ce type d’erreur ;
Une personne a fait une erreur ou a violé les politiques de sécurité de l’information ;
Les systèmes d’information ou les services d’infrastructure contenaient des vulnérabilités non détectées ou non corrigées ;
Les systèmes étaient trop complexes, ce qui a engendré un manque de ressources suffisantes pour assurer une configuration sécurisée, une gestion des correctifs en temps utile et la mise en œuvre des mesures de sécurité.
Le service de sécurité n’a pas été en mesure (par manque de compétences ou de possibilités) d’identifier l’incident avant qu’il ne cause des dommages.

Chacun de ces facteurs est la conséquence d’une décision. Cependant, la cause globale de l’incident est une combinaison de ces facteurs. La manière dont l’incident affecte la motivation des employés dépend largement de la réaction de la direction ; parfois, les mesures adoptées par une entreprise pour empêcher la répétition de tels incidents peuvent faire beaucoup plus de dégâts que l’incident lui-même.

Voici un exemple concret. Une banque a connu à plusieurs reprises des incidents à cause d’attaques externes et d’erreurs commises par les employés. Les systèmes de la banque ont donc été hors service pendant un certain temps. La direction, soucieuse de motiver le personnel responsable et de punir les fautifs, a licencié à plusieurs reprises son personnel informatique et de cybersécurité. Dans le même temps, bien qu’elle sût que le système bancaire automatisé présentait des vulnérabilités structurelles, la direction n’a alloué aucun budget pour créer un nouveau système ou pour réparer l’ancien. Les employés expérimentés ont réalisé que n’importe qui pouvait faire une erreur un jour, et l’entreprise a choisi d’embaucher de nouvelles personnes plutôt que de résoudre le problème sous-jacent. Ils ont donc vite cherché un emploi ailleurs. Les nouveaux employés ne connaissaient pas bien le système de l’entreprise, qui avait été développé en interne, et de ce fait, ils commettaient encore plus d’erreurs et passaient plus de temps à entretenir les systèmes parce qu’il leur manquait des connaissances essentielles. Le résultat : des clients ont quitté la banque, et celle-ci est passée d’une position dans le top 50 à se retrouver au-delà de la 200e place.

Que faut-il faire

Je crois qu’il est important de ne pas démotiver vos employés. Aidez-les plutôt à comprendre leurs responsabilités, les valeurs de l’entreprise et l’importance de la contribution de leurs collègues. Vous pouvez leur démontrer tout cela par un soutien matériel, un respect mutuel et des règles claires.

Les règles de l’entreprise en matière d’informatique doivent expliquer simplement et précisément ce qui est autorisé et ce qui ne l’est pas, et ce que le personnel doit faire en cas de cyber-incident, y compris en termes de vie privée et de confidentialité. Le chef d’équipe doit communiquer clairement les informations à ses subordonnés. Pendant un cyber-incident, mais aussi après, il doit expliquer le problème et ses conséquences (qui peuvent inclure des sanctions). Cela permet de garder une atmosphère d’équipe saine et peut aider l’entreprise à éviter de reproduire les mêmes erreurs.

Vous pouvez utiliser cette feuille de route en matière de sécurité de l’information pour vous concentrer sur la motivation de l’équipe et la réduction de l’impact des cyber-incidents :

Organisez une formation du personnel, non seulement pour éviter les erreurs, mais aussi pour apprendre à votre personnel ce qui peut être une erreur ;
Motivez vos employés ;
Établissez des règles claires en matière de sécurité de l’information dans l’entreprise ainsi que des mesures pour les contrôler dans la pratique ;
Utilisez des outils de détection et de réaction aux incidents ;
Mettez en place des systèmes pour vous protéger des erreurs, de l’imprudence, des négligences et des actes de malveillance des personnes internes ;
Révisez régulièrement les mesures ci-dessus pour réduire la probabilité qu’une personne fasse deux fois la même erreur.

Pour plus d’informations sur l’aspect humain des incidents de cybersécurité, consultez notre dernier rapport (en anglais) : « Taking care of corporate security and employee privacy » (Prendre soin de la sécurité des entreprises et de la vie privée des employés).

Évaluations MITRE ATT&CK

MITRE a testé nos solutions dans la cadre de l’évaluation APT29. Nous vous expliquons en quoi consiste ce test, pourquoi et comment il est réalisé, et ce que signifient les résultats.

Conseils

Souris, le petit oiseau (le vrai) va sortir, ou de nouvelles façons de reconnaître les deepfake

Comment distinguer une photo ou vidéo réelle d’un trucage et retracer sa provenance.

Passer à Kaspersky : guide de migration pas à pas

Comment faire passer la cyberprotection de votre ordinateur ou de votre smartphone à la solution de sécurité la plus primée de Kaspersky ?

Patron ou escroc ? Escroquerie sous couvert de demandes de votre patron

Vous avez reçu un message inattendu de la part de votre patron ou d’un collègue qui vous demande de « régler un problème » ? Attention aux escrocs ! Comment pouvez-vous vous protéger, vous et votre entreprise, contre une attaque potentielle ?

Assurer la sécurité du domicile

Les entreprises de sécurité proposent des technologies intelligentes, principalement des caméras, pour protéger votre maison contre les vols, les incendies et les autres incidents. Mais qu’en est-il de la protection des systèmes de sécurité eux-mêmes contre les intrus ? Nous comblons cette lacune.

Protection des enfants

Fuites de données et motivation des employés

Quand les employés ne prennent pas leurs responsabilités

Les mauvaises décisions de la direction

Que faut-il faire

Trello : fuite de données

Vous utilisez le site de rencontres OKCupid ? Changez votre mot de passe !

Évaluations MITRE ATT&CK

Conseils

Souris, le petit oiseau (le vrai) va sortir, ou de nouvelles façons de reconnaître les deepfake

Passer à Kaspersky : guide de migration pas à pas

Patron ou escroc ? Escroquerie sous couvert de demandes de votre patron

Assurer la sécurité du domicile

Abonnez-vous et recevez tous nos titres à la une par e-mail

Solutions pour les particuliers

TPE

PME

Grande entreprise

Securelist

Eugene Personal Blog

Encyclopédie de Kaspersky