Londres, Royaume Uni, le 24 Avril 2007 – Un sondage effectué auprès de 370 entreprises au Royaume Uni montre que 65% des entreprises s’exposent inutilement aux risques car elles sous-estiment la menace posée à la sécurité des réseaux par les clés USB, les unités de sauvegarde d’accès instantané, les iPods et les PDAs.

Les résultats du sondage, effectué par une entreprise indépendante, ont été annoncés aujourd’hui pendant l’exhibition Infosecurity Europe 2007 par GFI Software, un éditeur international de logiciel de sécurité de réseau, de contenu et de messagerie.

Bien que 49% des entreprises sondées soient préoccupées par le vol des données, 65% ne considèrent pas que l’utilisation de ces dispositifs au sein de leurs réseaux constitue une menace de sécurité. Au contraire, 71% pensent que l’utilisation de dispositifs portatifs de stockage est importante ou très importante pour les opérations de leur entreprise.

Près de la moitié des répondants ont déclaré qu’ils n’avaient aucune idée de combien d’employés utilisaient actuellement les clés ou les iPods dans leurs bureaux, et pendant que 37% déclaraient leur entreprise avait une procédure de surveillance des dispositifs de stockage portatifs, seuls 22% ont une forme d’équipement ou de logiciel pour contrôler leur utilisation au sein du réseau.

« L’utilisation incontrôlée des dispositifs de stockage par les employés est une menace réelle à la sécurité et à la stabilité de toute entreprise. Malheureusement, plusieurs entreprises ne sont pas au courant ou ignorent la menace jusqu’à ce que le désastre arrive », a déclaré André Muscat, Directeur de la Division des produits de sécurité de réseau chez GFI Software.

Les entreprises de sécurité ont pendant longtemps émis des mises en garde à propos des dangers de tels dispositifs mais les récentes violations montrent que les entreprises n’ont toujours pas appris leur leçon et qu’elles s’exposent sans cesse aux risques en distribuant de tels dispositifs aux employés et en encourageant leur utilisation.

D’après l’étude de GFI, 83% des entreprises interrogées au Royaume admettent d’accorder à leurs employés des clés USB ou PDAs, et que les dispositifs portatifs de stockage opérationnels (76%) et le partage de données étaient facilités (61%).

Les dispositifs de stockage portatifs sont une menace principale si les entreprises n’ont aucune information au sujet des fichiers qui sont transférés à partir d’un réseau vers un dispositif et vice versa. Avec seulement 29% enregistrant les données qui sont transférées vers et en provenance de leurs réseaux, les entreprises adoptent une approche naïve envers celle menace de sécurité. Ceci a été confirmé en février lorsque l’entreprise de conseil informatique IT NCC a envoyé à 500 entreprises des clés USB faisant partie d’une invitation anonyme disant « Une occasion de participer à une rencontre unique ». Selon NCC, près de la moitié des directeur financiers et deux-tiers d’entreprises de media avaient connecté la clé de mémoire non-identifiée à leurs ordinateurs. Bien que ceci fût un incident inoffensif, il montre le fait qu’une seule clé est suffisante pour introduire un virus dans un système et une seule clé d’une capacité de 4Gb pour copier toutes les plus importantes informations commerciales stratégiques d’une entreprise.

« Ceci est un problème croissant pour les entreprises et notre étude montre clairement que bien que les entreprises soient préoccupées par le vol des données, elles doivent être au courant des menaces réelles et de leur origine», a ajouté Mr. Muscat.

Pendant que 99% des entreprises au Royaume Uni ont déclaré qu’elles avaient installé un antivirus, un anti-spam et des cou feu, 78% ont déclaré qu’elles ne faisaient rien pour contrôler l’utilisation de dispositifs de stockage portatifs et seulement neuf pourcent ont déclaré qu’elles avaient d’autres mesures ou produits de sécurité installés.

« Les menaces internes augmentent et les entreprises doivent être au courant de cette menace car les conséquences peuvent être très néfastes, » a déclaré Mr. Muscat.

Au mois de février dernier, Nationwide Building Society a été condamné au paiement d’une amende de £980.000 par la ‘Financial Services Authority - FSA’ après que des détails de près de 11 million de clients avaient été exposés à des risques par un employé qui avait téléchargé les données à partir d’un réseau d’entreprise. FSA a déclaré que la défaillance de la banque de gérer et de contrôler les téléchargements de grandes quantités de données vers les dispositifs de stockage portatifs signifiait que Nationwide avait un contrôle limité de l’information en leur possession ou de son usage.

Dans beaucoup de cas, les infractions de sécurité passent inaperçues ou les administrateurs ne s’en rendent même pas compte. L’étude de GFI montre que 28% n’ont aucune idée s’ils sont l’objet d’infractions de sécurité ou de vol de données à cause de l’utilisation incontrôlée de dispositifs portatifs.

Pendant qu’un nombre de contre-mesures ad hoc existent que les entreprises peuvent adopter pour empêcher l’utilisation de dispositifs portatifs, elles ne constituent cependant pas une solution parfaite. L’interdiction de dispositifs de stockage portatifs à l’intérieur des bâtiments d’une entreprise, le blocage physique des ports d'accès d'un ordinateur, ou l'utilisation de règles de contrôle d'accès sous 'Windows Group Policies’ sont des pratiques courantes, néanmoins celles-ci restreignent également l’accès de ceux qui dépendent de ces dispositifs pour travailler normalement, comme l’étude de GFI le montre. « La seule solution efficace pour parer aux menaces des dispositifs de stockage portatifs est de déployer une solution de logiciel qui permet de différentier l’utilisation légitime et illégale de dispositifs, conformément à des normes définies par l’entreprise. Même si l’accès est autorisé, la solution devrait vous permettre d’enregistrer toutes les activités de manière à pouvoir les retrouver en cas d’une éventuelle infraction de sécurité, » a déclaré Mr Muscat.

Ce que les administrateurs doivent également réaliser est que la gestion du risque est toujours plus rentable que la réaction aux infractions ou aux incidents. Dans un environnement sans cesse croissant de réseau où le risque est devenu un souci majeur, les administrateurs doivent être toujours en avance des menaces plutôt que d’attendre et réagir passivement aux incidents. En plus des répercussions financières immédiates telles que des pertes, il y’a également, à plus long terme, l’embarra et la perte de crédibilité. Pour une entreprise qui se targue de protéger les données de leurs clients, une seule infraction pourrait avoir des conséquences irréversibles.

Et ceci est un fait que la majorité des entreprises interrogées par au Royaume Uni semblent ignorer facilement.

Plus de détails sur la sécurité de terminaux et le siphonage iPod se trouvent sur: http://www.gfsfrance.com/fr/whitepapers/pod-slurping-an-easy-technique-for-stealing-data.pdf et http://www.gfsfrance.com/fr/whitepapers/threat-posed-by-portable-storage-devices.pdf.