Global State of IT Security

Les entreprises du monde entier ont tendance à investir dans les infrastructures informatiques, elles restent souvent à la traîne en matière de mise en œuvre, d’évaluation et d’examen des politiques liées à la sécurité et à la confidentialité des informations transmises. Il s’agit là de l’une des conclusions principales d’une étude récente menée conjointement par PricewaterhouseCoopers avec les magazines CIO et CSO .
La majorité des entreprises interrogées disposent maintenant d’un Directeur de la Sécurité Informatique (DSI) ou d’un Responsable de la Sécurité des Systèmes d’Information (RSSI), soit 60% en 2007 contre 43% en 2006. Elles sont aussi une majorité à avoir adopté une politique de sécurité (57% en 2007 contre 37% en 2006). Ces entreprises ont également réalisé d’importants investissements dans les dispositifs de sécurité tels que les pare-feux (88%), la sauvegarde des données (82%), les mots de passe utilisateurs (80%) et les logiciels de type Spyware (80%). Néanmoins, le temps consacré à la mise en œuvre de mesures concrètes reste très limité. Preuve en est : une majorité d’entreprises déclarent ne jamais se soumettre à un audit ou ne jamais surveiller le respect des politiques de sécurité. De la même manière rares sont celles qui ont mesuré et examiné l’efficacité des politiques et procédures de sécurité au cours de l’année écoulée.

L’informatique montre la voie

Fort de ces conclusions, il ne fait aucun doute que, dans les années à venir, l’amélioration des procédures internes de sécurité et l’alignement des dépenses liées à la sécurité sur les objectifs économiques incomberont à la Direction informatique. La tendance a d’ailleurs été amorcée : les résultats de l’enquête montrent que la majorité (65%) des budgets dédiés à la sécurité informatique proviennent désormais directement du service informatique, contre seulement 48% en 2006. Parallèlement on constate une diminution des budgets consacrés par les autres départements à la sécurité informatique, notamment les budgets des départements Compliance (9% en 2007 contre 18% en 2006), Finance (15% en 2007 contre 19% en 2006) et ceux d’autres secteurs d’activité (4% en 2007 contre 18% en 2006).


Manque d’adéquation entre dépenses de sécurité et objectifs économiques

On note également qu’à l’heure actuelle, il existe un décalage entre les dépenses en matière de sécurité et les objectifs commerciaux tels qu’ils sont perçus dans les entreprises. Enfin, même si le respect de la réglementation semble avoir donné lieu à une augmentation importante des dépenses de sécurité, le lien entre sécurité – que ce soit par l’intermédiaire de la structure de l’organisation ou par le biais de la politique en matière de sécurité - et confidentialité des informations et/ou respect de la réglementation reste difficile à établir au sein des structures concernées.

Fait marquant, les CEO, CIOS et CISO ne sont pas d’accord quant aux priorités à établir et aux dépenses à effectuer dans ce domaine. Ainsi, pour ce qui est des dépenses, les CEO et les CIO accordent la priorité à la planification de la continuité des affaires et aux plans de secours en cas de sinistre, alors que les CISO privilégient le respect de la réglementation.

La source la plus probable de défaillances en matière de sécurité des informations : les employés

Autre fait marquant constaté par l’enquête une majorité des personnes interrogées (69%) , les employés et anciens employés sont la source la plus probable d’atteintes à la sécurité, devant les pirates informatiques (41%). Ce premier chiffre est en nette augmentation, puisqu’en 2005, à peine 33% des personnes interrogées estimaient que les employés représentaient un risque en matière de sécurité informatique (contre 63% pour les pirates informatiques). Ces atteintes prennent principalement la forme d’e-mails et de détournements de comptes utilisateurs. Pourtant, à peine la moitié des personnes interrogées (52%) utilisent des dispositifs de sécurité informatique directement liés aux personnes. De simples précautions telles que le contrôle des antécédents des employés, le contrôle de l’utilisation qu’ils font d’Internet et des données de la société et la mise en œuvre de programmes de sensibilisation aux procédures et politiques internes restent peu répandues. En outre, la majorité des personnes interrogées ne disposent toujours pas d’une stratégie de gestion de l’identité.

Ainsi, tout porte à croire que pour la première fois, les salariés sont la première source de faiblesses potentielles dans les politiques de sécurité des informations. Une faiblesse qui pourra se résoudre par une sensibilisation et un programme de formation adéquat en interne ainsi que par la mise en œuvre de dispositifs de sécurité plus performants et adaptés.