Administrateurs tentés par le vol de données en GB et aux US !

Quelle éthique professionnelle !
Les administrateurs de bases de données ont accès par définition aux informations les plus sensibles des structures dans lesquelles ils évoluent.
Cyber Ark a effectué en 2009 pour la troisième fois une étude sur le sujet en Grande-Bretagne et aux US.
Les résultats surprennent quand même !
35% des administrateurs abuseraient de leurs droits d'accès aux données, alors qu'en 2008, ils n'auraient été "que" 33%.
Ils utiliseraient leurs droits d'accès et leurs compétences pour :

• espionner leurs collègues via les fichiers des ressources humaines,
• collecter des informations commerciales,
• accéder aux documents stratégiques de l'entreprise.

74% d'entre eux affirment qu'ils pourraient accéder à des informations confidentielles en contournant les systèmes de contrôle s'ils le désiraient.
Les administrateurs de données emporteraient comme données critiques pour la sécurité de l'entreprise :

• les bases de données clients,
• les comptes emails
• les plans stratégiques des entreprises.

Une société sur cinq admet aussi dans le cadre de cette étude avoir déjà eu des problèmes d'accès frauduleux à ses données d'origine interne.
L'étude s'est penchée cette année plus particulièrement sur le type d'information que les administrateurs de données emporteraient avec eux si jamais ils étaient licenciés de leur entreprise.
Les réponses à la question "Quel type d'information emporteriez-vous avec vous si vous deviez quitter l'entreprise ? " sont repris ci-dessous :

Type d'information	2009	2008
Bases de données client	47%	35%
Adresses email	47%	13%
Documents sur les fusions acquisitions	47%	7%
Documents de R&D	46%	13%
Mots de passe du dirigeant	46%	11%
Données financières	46%	11%
Mots de passe critique	42%	31%

Source : Cyber Ark  

L'étude de Cyber-Ark a été réalisée auprès de 400 administrateurs réseaux travaillant dans des entreprises britanniques et américaines, est-ce pour autant rassurant en ce qui nous concerne que ces chiffres ne soient pas les notres ?
Rappelons la position des administrateurs de données qui sont placés entre deux obligations dans le cadre de l'exercice de leur fonction :

• soumis aux consignes de leur hiérarchie en tant que salariés,
• tenus d'assurer leur fonction dans le respect des règles juridiques existantes sous peine de voir leur responsabilité personnelle engagée.

Un document intitulé Administrateurs Techniques, Droits & Devoirs, publié sur le site de l'Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP) rappelle une jurisprudence qui avait abouti à la condamnation d'un responsable réseau et de son responsable hiérarchique, et dans laquelle la cour avait relevé un abus de la part de ces professionnels de leur position « et des possibilités techniques dont ils disposaient ».
L'AFCDP recommande d'ailleurs de faire établir une charte spécifique à cette catégorie professionnelle et de les sensibiliser d'avantage au cadre juridique.