Le poids de la contrainte, se défenderont certains. N’empêche. En termes de sécurité, crise ou pas, c’est du laxisme. Les mesures les plus élémentaires ont été, souvent, sciemment contournées.

Le laxisme aura un coût en termes de risques. 48 % des organisations ont admis avoir compromis la sécurité ou augmenté les risques de sécurité. Comment ? En étant laxistes sur des politiques de sécurité et en laissant aux employés plus de latitude que ce qui était normalement acceptable. C’est énorme

Si à peine 20% des entreprises reconnaissent que les mesures de sécurité liées à l’accès à distance sont sciemment contournées, combien l’ignorent encore ? On constate aujourd’hui que la normalisation n’est pas un retour vers le passé. C’est, en tout cas, l’analyse de Palo Alto dans son étude The State of Hybrid Workforce Security 2021 (panel : 3.000 personnes impliquées dans la sécurité)

Une crise… qui s’étend dans la durée

Alors que la vie d’entreprise reprend, que le télétravail s’impose pas à pas, il faut désormais composer avec ce nouveau mode de travail hybride. Ce qui devait n’être qu’une situation de crise s’est étendu dans la durée. Et s’est généralisé à l’ensemble des activités de l’entreprise. 60 % des entreprises ont étendu l’usage du BYOD à cette période ! 

Pour permettre l’accès à distance aux données de l’entreprise, les responsables sécurité ont troqué leur casquette de ‘monsieur NON’ pour le rôle de celui qui délivre les clés de l’accès à distance : les ordinateurs portables, les certificats d’authentification. Mais toutes ces ouvertures ont offert davantage d’opportunités aux attaquants. Elles ont ainsi probablement contribué à l’augmentation inédite des succès des attaques par ransomwares.

Mesures de sécurité désactivées

35% des répondants ont convenu que leurs employés avaient contourné ou désactivé délibérément les mesures de sécurité à distance qu’ils ont mises en œuvre !

Les conséquences sont lourdes. 53% des organisations qui privilégiaient l’accès à distance sont désormais exposées à des risques de sécurité importants. Il s’agit de risques dus à des violations de la politique d’utilisation acceptable non contrôlées et à une utilisation non autorisée des applications.