Les dirigeants, mauvais élèves de la sécurité
Une récente étude américaine montre, quantitativement, à quel point les dirigeants donnent le mauvais exemple en matière de sécurité.
Nombre de RSSI ne seront assurément pas surpris par les résultats de l’étude On The Pulse de la société de services de sécurité Stroz Friedberg. Mais ceux-ci auront au moins le mérite de plaquer des chiffres sur une réalité largement négligée. Selon cette étude, conduite auprès de 764 « travailleurs de l’information » américains, à l’automne dernier, 87 % des managers senior en entreprise transfèrent régulièrement des fichiers professionnels vers un compte de messagerie ou de stockage Cloud personnel. Et près de 60 % d’entre eux ont accidentellement transmis des données sensibles à un destinataire autre que celui recherché, contre 25 % pour l’ensemble des salariés. Stroz Friedberg souligne que la « responsabilité de la sécurité de l’information concerne tout le monde dans une organisation », tout en relevant que seulement 45 % des dirigeants se sentent réellement responsables de la protection des actifs informationnels de l’entreprise.
La question de la formation et de la sensibilisation semble en outre largement négligée : seuls 37 % des salariés ont reçu une formation sur la sécurité des terminaux mobiles, et 42 % sur le partage de données.
Au final, l’étude de Stroz Friedberg résonne comme un écho à la polémique lancée lors de l’édition 2012 des Assises de la Sécurité par Patrick Pailloux. Le patron de l’Anssi avait alors appelé à l’adoption de pratiques de sécurité élémentaires, à une hygiène de base. Mais dans les couloirs de l’événement, certains RSSI fustigeaient le fait que « l’exemple de toutes les mauvaises postures vient d’en haut ». Comprendre : des dirigeants, de personnes dont le statut interdit trop souvent aux RSSI toute posture autoritaire.