BLOGUE. Devinez quel groupe d'employés est le plus sujet à se foutre éperdument des politiques informatiques dictées par les entreprises…
La réponse se trouve dans une étude sur la sécurité informatique des entreprises canadiennes publiées par Telus, en collaboration avec la Rotman School of Management de l'Université de Toronto.
« Nous avons constaté que l’an dernier et en 2011, les cadres supérieurs sont le groupe qui se soucie le moins des politiques de sécurité établies », peut-on lire dans cette étude. Ce n'est évidemment pas sans conséquence.
« Cet état de fait est en parfaite opposition avec le message venant d’en haut voulant que la sécurité et la gestion des risques soient cruciales à la réussite de l’entreprise. Le nombre de brèches internes causant d’importants dommages s’en trouve donc plus élevé étant donné que les cadres supérieurs peuvent exposer des données hautement sensibles. »
Bref, cela crée deux problèmes. Premièrement, la crédibilité de ces règles en est sévèrement atteinte. Deuxièmement, le risque est plus grand, parce que par définition, les hauts dirigeants ont souvent accès à plus de données.
On se préoccupe beaucoup, dans certaines entreprises, de s'assurer que la réceptionniste change son mot de passe tous les mois et que celui-ci soit long d'un kilomètre, mais la pauvre n'a à peu près accès qu'à ses courriels et, dans le pire des cas, au compte de l'entreprise auprès de son fournisseur d'accessoires de bureau.
Par contre, le grand patron, dont le mot de passe ouvre littéralement les voûtes de son entreprise, refuse obstinément d'en trouver un autre que le prénom de sa femme, « parce qu'il va l'oublier ». Prénom qui, soit dit en passant, se trouve facilement sur le compte Facebook dudit patron.
Attaques à but lucratif
Que ce soit contre les entreprises ou contre M. et Mme Tout-le-monde, les attaques informatiques ont passablement évolué au cours des dernières années. Si, fin 1990 et début 2000, les vers à la « I Love You » se multipliaient, leurs conséquences étaient souvent relativement bénignes. Leur conception était surtout faite en fonction d'une propagation rapide, qui assurerait un maximum de visibilité à son créateur en manque d'attention.
De nos jours, les pirates semblent être passés outre l'attrait de la gloire éphémère. Les méchantes langues diront que YouTube et la téléréalité leur ont ouvert de nouveaux débouchés à cet effet. Ce qui les attire davantage, c'est l'argent. Et de l'argent, il y en a plus dans une entreprise que dans l'ordinateur du sous-sol de M. Tremblay.
Les cibles au sein d'une entreprise, particulièrement une qui serait cotée en Bourse, sont nombreuses, explique Rafael Etges, directeur des Services de sécurité, Solutions de sécurité de TELUS : résultats financiers avant leur publication, listes de prix ou de clients, plans de marketing, transactions d'initiés, etc.
Les entreprises cotées en Bourse sont d'ailleurs celles qui ont déclaré le plus de brèches de leurs systèmes, en moyenne, en 2011. Elles en ont identifié 18, contre 17,3 pour les organismes gouvernementaux et 4,6 pour les entreprises privées.
« Elles ont plus de visibilité et sont susceptibles de détenir plus d'informations qui peuvent être revendues », explique M. Etger, tout en convenant qu'il se peut aussi qu'elles soient mieux équipées pour détecter les brèches dont elles sont victimes (et donc les comptabiliser).
En plus de viser à mettre la main sur de l'information revendable, les attaques informatiques ciblent de plus en plus des individus en particulier, note l'étude. Son président ou son directeur des finances, par exemple, qui sont à la fois susceptibles de détenir ce type d'informations et de très mal la protéger (voir plus haut).
« Ils vont utiliser par exemple des logiciels qui enregistrent toutes les frappes sur le clavier pour découvrir les mots de passe, ou encore ils vont faire de l' "ingénierie sociale", c'est-à-dire travailler sur l'aspect psychologique, note M. Etgers. Ils vont par exemple utiliser Facebook pour savoir qui la personne connaît, qui sont ses amis, avec qui elle travaille de près, etc. Ça aider à donner de la crédibilité à leurs messages et, éventuellement, à inciter quelqu'un à faire quelque chose qu'il n'aurait pas fait normalement. »
