Protéger les données sensibles : mythe ou réalité ?

Cloud

Selon des chercheurs britanniques, le facteur humain empêche de garantir une sécurité absolue des données.

Quel que soit le degré de sophistication du système informatique d’une entreprise, il est impossible de protéger complètement les informations sensibles. C’est en substance la conclusion d’une étude menée par des chercheurs britanniques de la Leeds University Business School . Ils estiment que les organisations risquent toujours d’être compromises par la psychologie humaine.

L’étude a été menée par le professeur Gerard Hodgkinson, directeur du Centre for Organisational Strategy, Learning and Change de l’université de Leeds. « Notre étude révèle que les organisations ne seront jamais en mesure d’éradiquer tous les risques latents liés à la protection et à la sécurité des données stockées sur les systèmes informatiques, puisque nos cerveaux sont conditionnés à travailler en mode pilote automatique dans la vie de tous les jours », a-t-il déclaré.

« Les gens tendent à conceptualiser le monde qui les entoure de façon simplifiée. Si nous considérons et analysons les risques associés à chaque permutation dans toutes les situations, nous ne ferions jamais rien. « Si je me prépare une tasse de thé, je ne vais pas m’amuser à évaluer la probabilité de m’ébouillanter ou de m’étrangler en buvant. »

Les chercheurs ont interrogé des individus qui utilisent régulièrement des systèmes informatiques dans leur travail de tous les jours. Ces personnes ont été invitées à énumérer des exemples de risques de sécurité de données potentiels, tirés soit de leur imagination, soit de leur propre expérience personnelle.

Un autre groupe a été invité à commenter la probabilité, les causes sous-jacentes et les conséquences et impacts probables des scénarios les plus courants.

Bien que les données de l’étude aient été collectées sur une période de deux ans, de nombreux exemples de risques donnés par les participants correspondaient, avec une précision étonnante, aux défauts de sécurité informatique récents.

« Les résultats ont révélé que, lorsqu’ils sont invités à se concentrer sur des problèmes potentiels, les employés font preuve d’une grande capacité de perception et de catégorisation des risques et d’une bonne connaissance des conséquences des scénarios à risque« , explique Robert Coles, le co-auteur du rapport. « Mais cette perception n’est pas toujours traduite dans la pratique et on continue à commettre les mêmes erreurs élémentaires. »

Les auteurs estiment que ces résultats sont utiles pour mettre en évidence les zones d’ombre au niveau de la perception des ‘risques’ et des ‘probabilités’, ce qui permet aux organisations d’améliorer les processus d’initiation et de formation.

L’étude met également en évidence la nécessité d’accorder une attention particulière à la conception des processus de sécurité de l’information. « Les organisations devraient peut-être envisager de faire participer les utilisateurs potentiels au développement de processus métier stratégiques », ajoute le Dr Coles. « Un système bien conçu permet d’éviter ces erreurs. Nous avons besoin d’un plus grand nombre d’éléments déclencheurs et de mécanismes sur le lieu de travail qui nous amènent à réfléchir avant d’agir. »

Traduction de l’article Sensible data ‘impossible’ to protect de Vnunet.com en date du 11 février 2008