Forum Micro-Sécurité  
Infos-Sécurité  
Support
   ACCUEIL    TPE    PME    ADMINISTRATION ET EDUCATION    GRAND PUBLIC    OUTILS    SECURITE 
La mauvaise formation initiale des employés fait courir des risques aux entreprises d'EuropeVendredi 23 Mars 2007 à 11:17:00
 
Imprimer cet article  

Une nouvelle étude souligne comment le manque de formation initiale met en danger les employés comme les employeurs.

Demander un devis

McAfee Inc. annonce les résultats d’une nouvelle étude, qui montre l’importance qu’a le processus d’accueil des nouveaux employés par les RH dans la sécurité des entreprises européennes.

Le rapport « Employee Education Gap » s’appuie sur un échantillon de plus de 1000 PME (de 50 à 250 employés) en Europe et met en lumière quelques lacunes majeures dans le processus de formation, qui rendent les entreprises vulnérables aux attaques.

Voici quelques résultats majeurs révélés par cette étude :

- La sécurité à l’abandon. 32 % seulement des PME d’Europe intègrent la sécurité de l’informatique à la formation de leurs employés.

- Le Royaume-Uni au premier rang. Le Royaume-Uni compte le plus d’entreprises où la plupart des employés suivront des sessions de sensibilisation, alors que moins d’un tiers des entreprises en France et en Italie font suivre de sessions à tous leurs employés.

- La pression augmente. 70 % des personnes consultées pensent que les employeurs sont aujourd’hui plus sensibles aux risques associés aux nouveaux employés qu’ils ne l’étaient trois ans auparavant.

- Gérer les risques ? 39 % seulement des entreprises mettent à la disposition de leurs employés des consignes concernant le contenu des e-mails et le style à utiliser, 28 % pour l’utilisation des systèmes portables de stockage et 23 % pour les ordinateurs portables.

Employeur/employé, rejet des responsabilités

Lorsque survient un problème de sécurité, la plupart des entreprises considèrent que l’utilisateur final est plus en cause que l’employeur, ce qui a de sérieuses implications au niveau de la responsabilité légale. Par exemple, 55 % considèrent que l’employé est responsable de l’e-mail personnel qui a disséminé un virus sur le réseau de l’entreprise. De même, 67 % considèrent que l’employé est responsable en cas de vol d’un portable. Il est clair que chaque employé a un rôle dans la sécurisation des avoirs de son entreprise, mais le manque de précision du processus de formation, voire son absence totale, expose injustement les employés. Les employeurs doivent tenir compte des précédents légaux* en Europe, qui se sont traduits par de lourdes condamnations à l’encontre de l’employeur, suite à l’envoi par un employé d’e-mails considérés comme diffamatoires par le destinataire ou en contravention avec le contrat client ou les règles de confidentialité.

Les entreprises doivent donc être très claires sur ce qui est de la responsabilité des employés et ce qui est une omission de l’employeur. Les résultats de l’étude soulignent que, pour les problèmes de sécurité, les approches actuelles peuvent être inadaptées en ce qui concerne la responsabilité. Même si ce sont les actions de l’employé qui ont entraîné un problème, c’est souvent l’employeur qui est tenu pour responsable des processus et des conditions des incidents.

Greg Day, Analyste sécurité chez McAfee, commente : « Beaucoup d’entreprises font une priorité de la formation de leurs employés, mais beaucoup ne prennent pas efficacement en compte un élément majeur du travail de chaque employé : son PC et les règles d’utilisation d’Internet. Elles ignorent également l’opportunité que représente l’arrivée de nouveaux employés pour injecter dans leur force de travail un sens de la vigilance et de la sécurité. Cette omission, accompagnée d’un manque très net d’application des règles, augmente le risque de voir les nouveaux employés enfreindre les protocoles de sécurité de l’entreprise, consciemment ou non. »

La manie du secret...

Dans un contexte où les gens changent de travail de plus en plus souvent, les entreprises reçoivent encore plus de « nouveaux » qu’auparavant. Rien qu’au Royaume-Uni, sept millions de personnes ont changé d’entreprise en 2005/2006, ce qui veut dire que plus d’un quart de la population active (29 millions) a commencé un nouveau travail sur une période de 12 mois.

Une entreprise de taille moyenne, qui n’a pas forcément un département dédié à l’informatique, doit prendre très au sérieux l’éducation de ses employés en matière de sécurité des informations. Même si 73 % des entreprises consultées ont révisé leurs règles de formation dans les 12 derniers mois, l’accès à ces informations est restreint après la session initiale. Soit elles sont conservées dans un dossier papier, soit elles sont sur le réseau, mais leur accès est réservé. Dans un tiers seulement des entreprises, ces documents sont disponibles pour tous sur l’intranet ou dans un dossier partagé.

M. Day confirme que « Certaines entreprises ont le discours qu’il faut, mais ne vont pas plus loin, à défaut de bâtir des processus en ligne avec leurs règles. En ce qui concerne la formation initiale, certains pays considèrent qu’ils ont des processus en place, mais la documentation des règles censées les soutenir n’est pas aisément accessible. »

De la variabilité des formations...

En moyenne, les formations initiales sont les plus courtes en Allemagne, durant moins de trois heures pour 36 % des entreprises. L’Espagne est à l’autre bout de l’échelle, avec plus de 2 jours (pour 32 % des entreprises consultées), le Royaume-Uni et la France étant aux alentours d’une demi-journée.

Billy Hamilton Stent, Directeur chez Loudhouse Research, le cabinet qui a conduit l’étude, conclut que « Le processus de formation initiale est l’occasion idéale de générer chez les utilisateurs une position vigilante en matière de sécurité. Il ne s’agit pas de publier la liste de ce qu’il faut faire et ne pas faire, mais plutôt de définir clairement des procédures de travail, de sécurité et de confiance, qui réduiront les risques encourus par les employés et les employeurs. Il faut regretter que seule une minorité d’entreprises voient la situation sous cet angle. »

Un problème de confiance ?

Avec 70 % des entreprises plus sensibles aujourd’hui qu’il y a trois ans aux risques posés par les nouveaux employés, il est clair qu’elles sont conscientes du danger d’avoir des employés mal informés. Elles doivent cependant être prudentes quant à la façon d’imposer un contrôle. 72 % considèrent que les employés sont conscients d’être surveillés de plus près par leur employeur. 29 % trouvent que cette situation renforce la confiance, mais 28 % sont de l’avis contraire.

M. Day concluait : « Le niveau d’inquiétude concernant l’impact sur la sécurité de l’activité des employés dans leur ensemble, et plus spécialement des nouveaux employés, peut influencer la façon dont une entreprise gère la formation initiale. Le point essentiel est d’établir un équilibre entre la réglementation des activités des employés, l’autonomie qui leur est accordée et le maintien de relations ouvertes et constructives avec eux. Un climat de confiance est de la plus haute valeur et des processus inadaptés peuvent avoir sur lui un effet négatif. »

À la lumière des résultats de l’étude, les cinq éléments suivants constituent un bon point de départ pour mettre au point une liste de vérification de la sécurité.

- Couvrir toutes les bases. S’assurer que la formation accorde assez de temps à l’exposition aux risques, ce qui peut mettre en évidence des lacunes dans l’approche qu’a l’entreprise de la sécurité.

- Estimer la sensibilisation des employés. Évaluer le niveau d’information des employés sur des problèmes de sécurité comme le spam, les clauses de non-responsabilité dans les e-mails et le travail mobile.

- Clarifier les responsabilités. Commencer l’étude du risque en évaluant la façon dont l’entreprise définit les responsabilités en matière de problèmes de sécurité. Les sites du gouvernement et spécialisés sont une bonne référence pour débuter.

- Demander une analyse indépendante. Inviter un tiers indépendant, un partenaire ou un client à étudier votre processus de formation, pour signaler les points où les informations pourraient être améliorées.

- Créer des responsables de sécurité. Identifier le personnel qui peut prendre la responsabilité d’assurer une approche vigilante de la sécurité des informations et de la sensibilisation des employés.

*Western Provident Association v Norwich Union (ENGEL, D. (1998) Caught by the net: avoiding cyberliability. Flexible Working. Vol 3, No 4, May. pp15-16.)

Notes
1185 interviews ont été conduites en ligne avec le responsable de la formation des nouveaux employés, d’un point de vue RH ou hiérarchique. Les entreprises participant à l’étude comptaient de 50 à 250 employés et appartenaient à divers secteurs.

Demander un devis

Pour plus d’informations sur les produits Mcafee. 

  Merci de nous contacter au 08 70 44 56 64 ou par mail : mcafee@micro-securite.com

 



 




 

 
Demander un devis 
Pour plus d’informations et / ou devis sur nos produits.
Merci de nous contacter au 08 70 44 56 64 ou par mail : infos@micro-securite.com

 
Demander un devis 
Pour plus d’informations et / ou devis sur nos produits.
Merci de nous contacter au 08 70 44 56 64 ou par mail : infos@micro-securite.com
Imprimer cet article  
                                                                                                                                                                                                     
Cherchez
     NOTRE CATALOGUE
     NOUS CONTACTER
Nous avons changés de numéros de téléphone.
Le +33 (0) 3 60 32 70 22 n'existe plus et remplacé par le +33 (0) 8 70 44 56 64.
Merci de votre compréhension.
Tel: +33 (0) 8 70 44 56 64
Gsm: +33 (0) 6 32 82 90 02 (Com.)
Gsm: +33 (0) 6 65 26 97 99 (Tech.)
Fax: +33 (0) 1 72 74 44 14
Fax: +33 (0) 8 21 83 07 54
infos@micro-securite.com
support@micro-securite.com
 DEMANDE DE DEVIS
 Devis
 Devis Solution de Sécurité
 Devis Antivirus
 Devis Firewall
 Devis Anti-Spam
 NOTRE SOCIETE
 Qui sommes nous ?
 Contactez-nous ?
 Nos références
 Nos partenaires
 Plan de site
 Site référencer
 Certifications
 Nos sondages
     NEWS
   
JUI
07
   Nouvelles récompenses pour la gamme bitdefender ...
   
MAI
11
   Voici ci-dessous une brève présentation de notre application : contactoffice. ...
   
AVR
25
   23 % des pc avec un antivirus à jour sont infectés ...
   
AVR
10
   Evaluation safekit solution de haute disponibilite ...
   
AVR
10
   Procédure suite à la détection du ver w32_nuwar.so.worm dans wininet.dll ...
       RECHERCHER UNE NEWS
  CONTACTER NOUS 
  PLAN DE SITE 
  REFERENCES 
  PARTENAIRES 
  CERTIFICATIONS 
  DESINFECTION 
Copyright © MICRO-SECURITE - 2003-2007

CrawlTrack: free crawlers and spiders tracking script for webmaster - script gratuit de détection des robots pour webmaster