Un nouveau rapport de HP Wolf Security révèle que 91% des équipes de sécurité se sentent obligées de compromettre la sécurité de leur entreprise pour assurer la continuité des activités pendant la pandémie de Covid-19. Ce rapport, intitulé Rebellions & Rejections, combine les données d’une enquête mondiale en ligne YouGov menée auprès de 8.443 employé.e.s de bureau travaillant à domicile depuis le début de la pandémie, avec celles d’une enquête mondiale menée par Toluna auprès de 1.100 responsables informatiques. Dans un contexte de croissance des cybermenaces, il révèle les tensions en interne entre équipes informatiques et employé.e.s. Une rebellion naît face à la montée des contrôles, d’après l’enquête.
Plus d’un tiers (37%) des personnes en télétravail interrogées déclarent que les politiques et technologies de sécurité sont trop restrictives. La grande majorité (80%) des équipes informatiques est confrontée aux réactions d’utilisateurs qui n’apprécient pas les contrôles imposés à la maison ; 67% déclarent recevoir des plaintes à ce sujet chaque semaine.
Les efforts des équipes de sécurité pour augmenter ou mettre à jour des mesures de sécurité pour les travailleurs à distance sont régulièrement rejetées, surtout par les plus jeunes. Selon l’enquête, 48% des 18-24 ans se sentent frustrés par ces restrictions et considèrent les outils de sécurité comme un obstacle. Cela conduit près d’un tiers (31%) d’entre eux et elles à tenter de contourner les politiques de sécurité de l’entreprise pour accomplir leur travail.
Près de la moitié (48%) des employé.e.s de bureau interrogé.e.s s’accordent à dire que des mesures de sécurité – a priori essentielles – entraînent une perte de temps considérable. Ce chiffre atteint 64% chez les 18-24 ans. Plus de la moitié (54%) sont davantage préoccupé.e.s par le respect des délais impartis pour un projet que par l’exposition de leur entreprise à une violation de données. 39% avouent même ne pas être au courant de l’existence ou du contenu de leur politique de sécurité.
« Pour créer une culture de sécurité plus collaborative, nous devons éduquer les employés à propos des risques croissants de cybermalveillance (…) La sécurité doit être réévaluée en fonction des besoins de l’entreprise et du travailleur hybride », commente Joanna Burkey, RSSI chez HP Inc.
Facile à dire car l’étude précise tout de même que de nombreuses équipes de sécurité ont fait des efforts pour modifier le comportement des utilisateurs afin de préserver la sécurité des données de leur entreprise : 91% ont mis à jour les politiques de sécurité du fait de l’augmentation du télétravail, 78% ont restreint l’accès aux sites Web et aux applications.
« Si la sécurité est trop lourde et pèse sur les gens, ceux-ci trouveront un moyen de la contourner », commente Ian Pratt, responsable mondial de la sécurité des systèmes personnels chez HP Inc. « La sécurité doit s’intégrer autant que possible dans les schémas et les flux de travail existants, avec une technologie discrète, sécurisée par conception et intuitive pour l’utilisateur. En fin de compte, nous devons faire en sorte qu’il soit aussi facile de travailler de manière sécurisée que de travailler de manière non sécurisée, et nous pouvons y parvenir en intégrant la sécurité dans les systèmes dès le départ. »
Selon 83% des équipes informatiques, il est impossible de définir et d’appliquer des politiques d’entreprise en matière de cybersécurité étant données les frontières de plus en plus floues entre vie personnelle et vie professionnelle. D’où un sentiment de découragement de la part du personnel de cybersécurité, selon l’enquête. 80% des équipes IT interrogées déclarent que la sécurité informatique devient « une tâche ingrate » parce que « personne ne les écoute » et 69% des équipes informatiques ont l’impression d’être désignées comme « les méchants » dans l’entreprise du fait des restrictions qu’ils et elles doivent imposer.
« Les équipes de cybersécurité ne devraient pas avoir à porter à elles seules le poids de la sécurisation de l’entreprise », précise Joanna Burkey. « La cybersécurité est une discipline (…) dans laquelle chacun doit s’engager. »