Erreur humaine : le budget de sécurité diminue quand le risque augmente

Une récente étude pointe du doigt la dichotomie entre les risques encourus par les entreprises en matière de sécurité informatique, et les budgets qui y sont affectés.


Le facteur humain est au cœur des incidents

Une étude eCSI réalisée par BalaBit IT Security démontre que les budgets visant à lutter contre les risques informatiques n’étaient pas affectés là où les risques étaient jugés les plus importants.

La plus grande source de risque aujourd’hui est liée au facteur humain, aux collaborateurs d’une entreprise qui seraient susceptibles de piller ou de perdre des données. Ce risque est interne à l’entreprise, 51 % des personnes sondées par l’étude prétendent que c’est un risque majeur pour le système d’information d’une entreprise en matière de perte financière. Et pourtant, ce même risque n’est prioritaire que dans 13 % des budgets SI des entreprises.

L’infographie ci-dessous réalisée par la société BalaBit IT Security met en évidence le paradoxe entre le risque lié au facteur humain qui pèse sur les entreprises entraînant une importante perte financière, et les budgets qui y sont affectés.

Le budget de sécurité diminue quand le risque augmente

A contrario, les menaces provenant de l’extérieur sont surévaluées en matière de budget : elles sont jugées comme des « menaces principales » par seulement 18 % des individus sondés alors que le budget qui leur est consacré en priorité est évalué à 30 %. Cette surévaluation est accentuée par les risques liés à l’infrastructure : les entreprises accordent 28% de leur budget de sécurité à ces risques alors qu’ils sont évalués à 9% comme des menaces prioritaires.

Ces chiffres indiquent aux entreprises la nécessité de réorienter leurs priorités vers une stratégie de sécurité focalisée sur les risques internes, qui seraient plus dévastateurs que les menaces provenant d’auteurs externes.

Limiter les risques liés aux facteurs humains

Les collaborateurs ont généralement une vision assez lointaine du piratage informatique. Les conséquences d’une attaque informatique sur les entreprises sont perçues comme assez diffuses, sans réelles conséquences pour eux.
Ils sont de plus en plus victimes d’attaques d’ingénierie sociale et se sentent donc responsables d’avoir été à l’origine d’une attaque dont son entreprise a été victime.

Loin de chercher à effrayer les collaborateurs ni à les rendre coupables, il faut leur donner les moyens de se défendre contre la menace majeure qui pèse sur le système d’information.

Les campagnes de sensibilisation proposées par Hapsis et Conscio Technologies permettent de sensibiliser les collaborateurs. Basées sur des exercices pratiques, ces formations permettent aux collaborateurs de se défendre contre une attaque extérieure.

A propos de l’étude :

L’étude eCSI a été menée auprès de 300 participants à la Conférence RSA à San Francisco, du 24 au 28 février 2014, par BalaBit IT Security.