Selon une étude menée en Europe et aux Etats-Unis, les dirigeants d’entreprise ne veulent pas appliquer à eux-mêmes les contraintes de sécurité qu’ils imposent à leurs collaborateurs et deviennent dès lors le cyber talon d’Achille de leur système d’information…

On entend souvent des DSI et des RSSI se plaindre d’avoir dû, sous la pression de leurs dirigeants, intégrer en urgence une technologie ou incorporer dans le réseau « à la va vite » des terminaux derniers cris absolument pas alignés sur les politiques sécurité de l’entreprise.

Une nouvelle étude MobileIron – intitulée « Trouble at the Top » (Déboires au sommet) et menée auprès de 300 responsables informatiques et 50 CxOs en France, Allemagne, Benelux, Royaume-Uni et Etats Unis – révèle que les dirigeants des entreprises se sentent souvent frustrés par les règles de sécurité définies et demandent à pouvoir les contourner.

Selon l’étude, 76% des dirigeants auraient en effet demandé à leurs DSI et RSSI de pouvoir contourner au moins l’une des règles de cybersécurité, au cours les 12 derniers mois.

Typiquement, 47% des dirigeants ont demandé un accès réseau pour un appareil non supporté, 45% ont demandé à contourner l’authentification multifacteurs et 37% ont voulu accéder à des données professionnelles à partir d’une application non reconnue et managée par la DSI.

Par ailleurs, bien que 60% des cyber-attaques visent directement le top management des entreprises (les fameux CxO), 68% des dirigeants jugent les politiques de sécurité de leur entreprise trop invasives, 62% estiment qu’elle freine leurs usages mobiles et 58% avouent même les trouver trop compliquées pour les comprendre !

Pourtant, 84% des dirigeants interrogés dans le cadre de l’étude sont conscients que leurs responsabilités les amènent à être exposés à un risque accru de cyber-attaques.

Du côté des responsables informatiques, l’impuissance est largement exprimée par deux chiffres :
* 78% des DSI ont identifié leurs dirigeants comme la principale cible des attaques par Phishing.
* 71% des DSI reconnaissent que ces mêmes dirigeants sont aussi ceux qui présentent le plus grand risque de se laisser berner par une telle attaque ciblée.

« Ces découvertes sont troublantes parce que toutes ces exceptions accordées aux cadres dirigeants augmentent énormément le risque d’une perte de données, » reconnaît Brian Foster, vice-président senior responsable de la gestion de produit chez MobileIron. « En accédant aux données de l’entreprise à partir d’un appareil personnel ou d’une application qui sort les données hors de l’environnement protégé, ces dirigeants laissent des informations critiques de l’entreprise à la portée de cyber-attaquants. Pendant ce temps, l’authentification multifacteurs – conçue pour protéger les entreprises de la plus grande cause de perte de données à savoir les identifiants perdus ou volés – est écartée par ces mêmes cadres dirigeants ! »

De quoi assurément troubler les nuits des responsables de la sécurité des systèmes d’information.


Source : Trouble at the Top