Plus une entreprise tente de délimiter l'utilisation des nouvelles technologies par ses employés, plus elle court de risques de sécurité, estime de façon étonnante de l'étude annuelle 2013 sur la sécurité informatique en entreprise menée par l'école de gestion Rotman de l'Université de Toronto et Telus.
Pour la cinquième étude, les auteurs se sont détournés des chiffres. Ils ont plutôt opté pour une approche qualitative qui leur a permis d'amasser des témoignages d'expériences réelles.
L'étude en arrive à faire la distinction entre les entreprises «Oui», «où le département de sécurité informatique travaille en collaboration avec les employés pour assurer une adoption responsable des nouvelles technologies» et les entreprises «Non». Dans ces dernières, l'accent est mis sur des contrôles rigides des permissions.
On conclut que les entreprises «Non» sont souvent moins sécuritaires, parce qu'elles «ont tendance à fonctionner avec un faux sentiment de sécurité».
«En effet, écrit-on, les employés contournent souvent les contrôles pour accéder aux technologies qu'ils jugent essentielles à la productivité. L'entreprise n'est donc pas au courant et court un risque.»
Médias sociaux
C'est le cas par exemple de l'accès aux médias sociaux. Une édition précédente de l'étude avait démontré que les entreprises qui y bloquaient l'accès avaient été victimes, en moyenne, de 10,3 incidents de sécurité liés à ceux-ci lors de l'année précédente. Celles qui y permettaient l'accès en avaient moins souffert, avec une moyenne de 7,2 incidents.
«Avec la prévalence des médias sociaux dans notre monde, les employés vont trouver une façon d'y accéder de toute façon», explique Jonathan Raymond, directeur général de la sécurité chez Telus. L'entreprise se place dans une meilleure situation si elle peut voir et mesurer ce qui se passe en y donnant accès sur ses équipements plutôt par des moyens détournés sur lesquels elle n'exerce aucun contrôle, résume-t-il.
Outre les médias sociaux, l'utilisation de téléphones intelligents ou de tablettes personnelles ainsi que de services de stockage dans le nuage comme Google Docs ou Dropbox sont les deux autres champs où être plus permissif peut s'avérer plus sécuritaire, selon M. Raymond, à condition de bien expliquer les enjeux aux employés.
Jamais sûr à 100%
Le rapport met aussi en lumière l'incapacité des dirigeants de services informatiques à être certains que leur réseau n'a pas déjà été victime d'une faille.
«Il y a ce sentiment généralisé voulant qu'il y ait des intrusions dont ils ne sont pas au courant, note M. Raymond. Je ne sais pas si c'est possible d'être certain à 100% que notre réseau n'a jamais été piraté, mais je sais qu'il y a du progrès possible en investissant dans certaines technologies.»