Emails et réseaux sociaux : champions de la fuite de données

Emails et réseaux sociaux : champions de la fuite de données
Dans le cadre de sa septième étude annuelle réalisée auprès de grandes entreprises américaines, le fournisseur de solutions de sécurité Proofpoint révèle que plus d'un tiers de celles-ci ont connu un incident de sécurité impliquant la fuite de données ces 12 derniers mois : pour 36% d'entre elles, il s'agit de cas de divulgation d'informations sensibles ou jugées "compromettantes", pour 31% de divulgation/vol de données clients et enfin pour 29%, de fuites de données affectant la propriété intellectuelle. Selon cette étude, l'email reste le canal principal responsable de la perte de données (35%), tandis que les réseaux sociaux représentent un vecteur de fuite de plus en plus important. Ces derniers, justement, seraient à l'origine de comportements irrationnels, si l'on en croit une étude récemment publiée par BitDefender : ils toucheraient même les professionnels des technologies de l'information, qui accepteraient trop facilement des requêtes venant "d'ami(e)s"... malintentionné(e)s.

Parmi les comportements épinglés par Proofpoint : l'utilisation inappropriée des emails, des terminaux mobiles personnels dans le cadre du travail, et des médias sociaux populaires : Facebook, Linkedin, Twitter, sites de partages de vidéos, blogs et forums de discussion. Conséquence selon Proofpoint, le nombre d'actions disciplinaires liées à ces comportements a augmenté ces derniers mois, "pouvant même aller jusqu'au licenciement".

L'e-mail, toujours l'ennemi numéro un
Au moment où l'enquête a été réalisée, 35% des entreprises interrogées menaient une enquête sur des cas de fuites d'informations confidentielles par e-mail. Sur les 12 derniers mois écoulés , 20% des décideurs ont indiqué avoir licencié au moins un salarié pour avoir enfreint des règles d'utilisation des emails de l'entreprise. Le contenu et la fréquence d'utilisation des mails expliquent que ce canal demeure la cause principale à l'origine des fuites de données : les décideurs interrogés estiment même qu'un email expédié sur 5 contient des informations qui posent un risque légal, financier, ou une menace pour le cadre réglementaire de l'entreprise. Les audits (pour 48% des répondants) et l'emploi de personnes pour monitorer le contenu des mails "sortants" ne semblent pas avoir d'incidence sur le nombre de cas recensés.

Les médias sociaux dans le collimateur
Tendance qui se confirme : les risques de pertes de données liées à l'utilisation des médias sociaux. 25% des entreprises interrogées enquêtent ainsi sur la divulgation d'informations confidentielles causées par des messages laissés sur des blogs et sites de discussions. Les sites de partage de contenus multimédia (ex : Youtube) ne sont pas en reste, puisque 18% des entreprises menaient -au moment du sondage- une enquête sur des fichiers audio et vidéos partagés en ligne (53% d'entre elles en interdisent l'usage). Last but not least, l'utilisation non conforme des réseaux sociaux, deuxième source d'inquiétude derrière l'utilisation inappropriée des emails, est à l'origine d'enquêtes pour 25% d'entre elles. Sans surprise, 53% des entreprises interdisent formellement l'utilisation de Facebook, tandis que que Linkedin est banni chez 31% d'entre elles. Quant à Twitter, il est media non grata dans 49% des cas..

BitDefender alerte contre la confiance trop facilement gagnée sur les réseaux sociaux
Allant dans le sens des résultats fournis par Proofpoint, l'étude menée par BitDefender met en garde contre un problème majeur à l'origine de la fuite de données via les réseaux sociaux : le fait d'accepter trop rapidement la demande d'un "ami", sans prendre suffisamment garde au contenu partagé ultérieurement. Le test réalisé par BitDefender a consisté à soumettre une "friend request" à plus de 2000 utilisateurs (toutes professions confondues) de réseaux sociaux, puis de déterminer ensuite le type de détails révélés par les usagers. Le résultat est surprenant puisqu'il révèle que 86% des usagers ayant accepté la demande de l'amie "test" (une femme, donc) travaillent dans l'industrie informatique, dont 31% plus particulièrement dans la sécurité informatique. Raison invoquée pour accepter la demande : "le joli visage" de l'amie test pour 53% des personnes interrogées. Après une demi-heure de test, 10% des utilisateurs ayant accepté cette demande communiqueraient des informations personnelles comme leur adresse et numéro de téléphone. Deux heures plus tard, 73% d'entre eux commenceraient à révéler des information de nature confidentielle : sur leur lieu de travail, la stratégie d'entreprise, ou encore sur des logiciels ou produits technologiques encore non commercialisés.

En savoir plus
L'étude de Proofpoint (en anglais)
L'étude de BitDefender