vege - Fotolia
La sensibilisation à la sécurité fonctionne, lentement
Même s’ils continuent de contribuer à ce qu’il convient d’appeler le Shadow IT, les utilisateurs semblent adopter des postures plus prudentes.
Qui est responsable de la sécurité informatique en entreprise ? C’est l’une des questions que pose une étude réalisée par Redshift pour Palo Alto Networks, auprès de 765 décideurs métiers dans des entreprises de plus de 1000 salariés entre Allemagne, Belgique, France, Pays-Bas et Royaume-Uni.
De fait, selon cette étude, près d’un cinquième des employés en position de management n’estime pas avoir à jouer de rôle dans les efforts de cybersécurité de leur entreprise. Qui plus est, pour 40 % des sondés, en cas d’incident, c’est la DSI qui doit être tenue pour responsable. Et pour 17 % des sondés, peut-être d’autant plus qu’elle définit des politiques de sécurité frustrantes « et les empêche d’accéder aux outils et sites Web nécessaires pour leur travail ». Mais qui pourrait bien les en blâmer ? Pour 57 % des responsables informatique, la sécurité est de leur seul ressort…
Alors pour Palo Alto Networks, il est important de passer d’une vision négative de la sécurité à une vision positive. Difficile d’y voir une surprise : il y a maintenant des années que les industriels de la sécurité informatique tentent de la vendre comme un enabler permettant d’aller vers de nouveaux modèles organisationnels et commerciaux. Sans encore trop de succès, semble-t-il.
Mais l’équipementier recommande là de « faire la démonstration de la valeur commerciale venant de la cybersécurité, qu’il s’agisse de nouveaux contrats ou d’efficacités métiers renforcées ». Surtout, il souligne l’importance du dialogue, « avec un langage commun » aux différentes fonctions de l’entreprise, et de la sensibilisation – un processus « continu ».
Et si ses effets n’apparaissent pas forcément immédiats, ils ne semblent pas pour autant négligeables. De fait, 61 % des sondés indiquent qu’ils « discuteraient avec la DSI avant d’introduire de nouveaux appareils ou applications métiers dans le réseau de l’entreprise ».
Palo Alto Networks y voit le signe que « la prise de conscience progresse », tout en estimant que « les efforts de sensibilisation des employés doivent se poursuivre pour être sûr que ceux qui sont sur la ligne de front comprennent le rôle qu’ils ont à jouer et disposent des compétences nécessaires pour identifier les menaces ».