Les données personnelles des salariés ou liées à l’activité d’une organisation ne restent pas toujours confidentielles au sein d’une entreprise, du moins quand les responsables informatiques et autres webmasters décident d’y jeter un œil… Selon une étude menée par l’éditeur Cyber-Ark Software, intitulée « Trust, Security and Passwords », 33% des 400 DSI interrogés en Europe et aux Etats-Unis avouent avoir fouiné dans les données privées de leurs collègues, qualifiées de « confidentielles » et de « sensibles », grâce notamment aux droits d’administration étendus qu’ils possèdent. Et 74% d’entre eux avouent qu’il leur est tout à fait possible d’accèder facilement à ces informations en détournant les dispositifs de sécurité mis en place par leur entreprise.

Dans la même étude réalisée en 2008 par Cyber-Ark auprès de 300 DSI, 33% d’entre eux seulement disaient consulter les données confidentielles de son organisation et 47% avouaient avoir les moyens d’outrepasser leur fonction.

Mais les administrateurs réseau, grâce à leurs mots de passe qui leur ouvrent de nombreux droits, ont des préférences quand il s’agir d’accéder illégitimement aux données disponibles au sein de l’entreprise. Ainsi, les bases de données clients, les dossiers des ressources humaines, qui contiennent notamment les salaires des employés, les projets de fusion-acquisition, et les documents liés au marketing attirent davantage les responsables informatiques.

En cas de licenciement, certains DSI déroberaient volontiers des données privées

Pour mesurer leur loyauté et le respect des politiques de sécurité, Cyber-Ark leur a demandé quelles informations confidentielles ils seraient susceptibles de dérober en utilisant leurs droits privilégiés dans le cas où ils seraient renvoyés. Sans scrupules, plus du tiers des DSI reconnait qu’il n’hésiterait pas à s’emparer des bases de données clients.

Un tiers d’entre eux partirait avec la liste complète des mots de passe privilégiés. Plus d’un sur dix se ferait un plaisir de garder le motde passe du compte administrateur de gestion des e-mails et une copie des projets de R&D. Mais à peine 11% s’empareraient des mots de passe du P-DG et des rapports financiers.

Cette protection aléatoire des données confidentielles, accessibles à des employés munis des bons moyens d’accès, ne recule pourtant pas dans les entreprises. « L’accès à des informations sensibles de la part des employés reste une tendance lourde », explique Udi Mokady, le P-DG de Cyber-Ark. « L’accès à des données sensibles, comme les numéros de cartes de crédit, des informations liées au personnel, ou des rapports financiers, peut porter gravement préjudice à une entreprise, et l’exposer une dévalorisation de sa marque ou permettre à ses concurrents d’avoir accès à des informations critiques qui pourront leur être utiles ».