L’exposition aux risques liés à la sécurité des systèmes d’information demeure malgré une prise de conscience des entreprises.

La 6ème édition du baromètre mondial sur la sécurité des systèmes d’information réalisée conjointement par PricewaterhouseCoopers et CIO/CSO Magazines met en exergue des progrès significatifs des entreprises en termes de sécurité des systèmes d’information notamment sur un plan technologique.

Il n’en reste pas moins que des améliorations cruciales restent à réaliser. Près de 41 % des entreprises ne disposent pas d’une stratégie de sécurité, que 35 % d’entre elles ne savent pas dire s’il y a eu au cours des 12 derniers mois des incidents de sécurité ou encore déterminer les causes de ces incidents (42%). De plus, l’identification et l’évaluation des risques, qui sont des éléments majeurs permettant de déterminer la pertinence et l’efficience du dispositif de gestion de la sécurité de l’information, n’est conduit que par 55% des entreprises.

Élaborée conjointement par PricewaterhouseCoopers et CIO/CSO Magazines, l’étude intitulée « The Global state of information security 2008 », la plus importante de ce type, est basée sur les réponses et points de vue de plus de 7.000 décideurs informatiques et dirigeants de 119 pays à travers le monde. Elle couvre l’ensemble des secteurs industriels pour qui la protection et sécurisation des données est cruciale.

Une maturité technologique des entreprises, de plus en plus équipées

59% des décideurs déclarent avoir mis en œuvre une « stratégie globale de sécurité du système d’information » (contre 57% l’an passé) et les progrès en matière d’infrastructures et d’outils technologiques sont réels. D’une part, 55% des entreprises disposent de bases de données chiffrées (45% en 2007) et 63% possèdent des logiciels de détection d’intrusion (contre 59% en 2007). D’autre part, les firewalls de protection des postes utilisateurs sont également en augmentation (67% cette année contre 62% l’année dernière). Les entreprises sont en outre de plus en plus nombreuses à accompagner leurs collaborateurs grâce à des formations de sensibilisation (54%, soit 12 points de plus qu’en 2007). Ce mouvement devrait se poursuivre et s’amplifier, puisque près d’une organisation sur deux (44%) déclare prévoir d’accroître son budget de sécurité dans l’année à venir.

« L’étude montre clairement une prise de conscience large des dirigeants des questions relatives à la sécurité des systèmes d’information. Leur réponse se traduit par des investissements importants en matière d’infrastructures, de technologie et d’outils de plus en plus avancé. Pour autant, au-delà des outils technologiques, l’enjeu est aujourd’hui de définir les bonnes pratiques et les processus adaptés pour protéger et sécuriser l’information, et plus seulement les systèmes. » explique Philippe Trouchaud, associé de PricewaterhouseCoopers, responsable des activités de conseil en sécurité des systèmes d’information.

Une faiblesse persistante dans l’exécution des politiques de sécurité et la connaissance des risques

57% des organisations de ne mesurent pas la conformité opérationnelle aux directives de sécurité, et elles ne sont que 22% à disposer des métriques leur permettant d’évaluer leur niveau de sécurité et de produire les indicateurs de pilotage nécessaires, notamment en matière de conformité, Par ailleurs, seule, une organisation sur cinq en moyenne conduit des analyses de risques et de vulnérabilité. « Si 6 organisations sur 10 déclarent avoir une stratégie de sécurité de son système d’information, leurs priorités d’investissement, leur organisation, et leur connaissance des enjeux restent inégales et donc vulnérables » selon Philippe Trouchaud.

La sécurisation des données : enjeu crucial et dénominateur commun d’une économie globalisée

L’internationalisation, la mobilité des données et des personnes, l’interconnexion généralisée font de l’information l’actif le plus précieux de l’entreprise, mais aussi le plus menacé. Quelques chiffres illustrent le manque de visibilité des entreprises quant à la valeur de leurs informations : 78% ne gardent aucune trace des organisations externes utilisant leurs données et informations. 76% d’entre elles ne considèrent pas l’évaluation de la valeur de leurs données comme partie intégrante de leur politique de sécurité. Enfin, 30% avouent ne jamais classer leurs informations selon leur niveau de risque. Tandis qu’elles disposent de plus en plus d’équipements, les entreprises restent étonnamment peu clairvoyantes quant aux risques encourus : 36% des personnes interrogées ne sont pas « sûres » du nombre de dysfonctionnements de sécurité que leur organisation a pu rencontrer ces 12 derniers mois. Ce chiffre est même plus élevé dans les marchés traditionnels (40% aux USA, 36 % en Europe) que dans les pays émergents (28% en Amérique du Sud, 25% en Asie).

Selon PricewaterhouseCoopers, la sécurité des systèmes d’information fait désormais partie intégrante de la stratégie de la majorité des entreprises. Toutefois, elle ne doit pas être limitée à un déploiement réactif d’infrastructures matérielles et logicielles, mais doit être mise en cohérence avec les stratégies business de l’organisation. Elle doit également se doter de moyens de pilotage lui permettant de contrôler la mise en œuvre effective des politiques de sécurité.

« Les entreprises doivent disposer des moyens permettant de décider de la meilleure stratégie de sécurité, engager les bonnes personnes, cibler les bonnes données et mettre en œuvre les technologies adéquates répondant à ces besoins : celles qui seront prêtes à réagir aux situations inattendues seront celles qui réussiront le défi de la protection de l’information », conclut Sofiane-Maxime Khadir, directeur chez PricewaterhouseCoopers au sein des activités de conseil en sécurité des systèmes d’information.

Des progrès significatifs de l’Asie et des pays émergents

Les pays asiatiques, l’Inde en particulier, sont en train récupérer leur retard sur les Etats-Unis et les pays européens an matière de sécurisation des systèmes d’information. L’Amérique Latine suit également la même progression avec un facteur d’accélération moins important.

10% des entreprises d’Amérique du Sud et 10% des compagnies asiatiques prévoient d’augmenter leur budget sécurité au cours des prochains mois, contre 5% des entreprises aux Etats-Unis et 6% en Europe.

À propos de l’étude « The Global State of Information Security 2008 »

PricewaterhouseCoopers réalise une étude annuelle en partenariat avec les magazines CIO et CSO, afin de dresser un état des lieux de la sécurité informatique dans le monde. Pour cette 6ème édition, plus de 7 000 dirigeants de systèmes d’information à travers 119 pays ont répondu à un questionnaire en ligne du 25 mars au 19 mai 2008.

Consulter l'étude sur le site www.pwc.fr

Les derniers produits des risques professionnels

Réagissez en laissant votre commentaire !