Intéressant article que celui intitulé "One in three employees would sell business secrets"
publié ce 24 avril 2009 sur le site SecurityWatch, qui évoque les résultats d'une enquête réalisée par la société Infosecurity Europe auprès de salariés d'entreprises au Royaume-Uni.
Selon cette petite étude, un employé sur trois serait prêt à vendre des informations de son entreprise si le prix en valait la peine, c'est-à-dire pour 1 million de £ :
- pour les 2/3 il serait facile de voler de l'information de l'entreprise
- 88% pensent que l'information de l'entreprise à laquelle ils ont accès a de la valeur
- 10% cèderaient ces informations si on remboursait leurs crédits, 5% contre des vacances...
Les employés ont admis avoir accès à des bases de données clients (88%) des business plans (72%), des mots de passe administrateurs (37%)...
A en croire cette étude, la majorité des salariés sont des menaces à la sécurité de l'entreprise, car non seulement ils sont prêts, contre monnaie sonnate et trébuchante, à trahir leur employeur (quitte à couper la branche sur laquelle ils sont assis), mais en plus ils ont accès à l'information qui est monnayable.
Le social engineering a donc encore de beaux jours devant lui et les "incidents" de sécurité ne sont pas prêts de diminuer dans les entreprises, mais aussi les administrations, institutions. Car l'on sait que la menace intérieure (insider threat) est l'une des plus difficiles à contrer : les murs élevés par les responsables de la sécurité protègent généralement mieux des menaces extérieures qu'intérieures.
Il y a toutefois une composante extérieure dans cette menace : la sollicitation. Car le salarié n'agirait que sur sollicitation. Il faut bien que quelqu'un lui propose de les acheter, ces données, avant qu'il ne les vole.
(billet également publié sur http://infowar.romandie.com et http://ith.romandie.com)