On le constate en politique : l'épouvantail de l'insécurité brandi à une semaine des élections européennes reste l'un des arguments électoraux les plus efficaces. Il ne s'agit pas ici, bien entendu, de mettre sur le même plan la protection des écoles et celle du système d'information, mais force est de constater que l'une comme l'autre (et comme beaucoup d'autres formes d'insécurité : sociale, sanitaire, environnementale, etc) font la une de l'actualité. Normal : les périodes de tension et d'incertitude, multipliant les angoisses, les frustrations et la violence, favorisent les réflexes d'auto-défense et le durcissement des carapaces.
Consacrées à la sécurité IT, plusieurs études publiées au cours de ces dernières semaines pointent "une recrudescence inquiétante" de la cybercriminalité et des risques liés à un manque de sécurité des systèmes d'information, "notamment dans le contexte de crise actuelle". Sans chiffrer la croissance des agressions contre les systèmes informatiques, l'étude KPMG (1) analyse le sentiment de plus en plus vif qu'ont les entreprises d'être démunies contre les malwares, les intrusions, les virus, les sites Internet "empoisonnés" et autres menaces susceptibles d'endommager le patrimoine informationnel. Selon cette étude, la moitié des responsables de la sécurité informatique de l'échantillon estimerait leur entreprise insuffisamment protégée. 62% des interrogés considèrent que leur organisation ne consacre pas assez de temps, de budgets et de ressources à l'identification et à l'évaluation des vulnérabilités auxquelles elle est exposée. Une autre enquête, signée Tufin Technologies (2), conclut au manque de réactivité des procédures sécuritaires en cas de danger et souligne le laisser-aller des responsables sécurité avouant (pour 61% d'entre eux !) que si un incident majeur se déclarait dans le système d'information de leur entreprise cinq minutes avant le commencement d'un grand match de football, ils attendraient la fin du match pour se pencher sur le problème !
Plus que jamais, le danger vient de l'intérieur. Si 45% des professionnels interrogés (par KPMG) constatent une augmentation du nombre d'attaques sur leurs réseaux, 66% estiment que les informaticiens mécontents ou licenciés pour raison économique peuvent être amenés à mettre leurs compétences et leurs connaissances au service de l'économie cybercriminelle. Ce phénomène nouveau, lié au contexte économique, est désigné sous le nom de "frustration hacking". Il ne se limite pas aux informaticiens. Il comprend notamment les attaques dites "first-time last-time", parce qu'elles sont commises une seule fois, le dernier jour de leur présence dans l'entreprise, par des personnes qui n'avaient jamais rien fait de mal auparavant. Comparables à un acte de violence impulsif, ces attaques (il s'agit en général de destruction de données, action à la portée de n'importe quel salarié disposant encore de ses droits d'accès) sont souvent imprévisibles, difficiles à détecter sur le coup et réclament beaucoup de temps pour reconstituer les données perdues.
En amplifiant le risque sécuritaire et l'inquiétude des entreprises, la période actuelle est favorable au marché des solutions sécuritaires : les dépenses en outils de cette nature devraient augmenter dans plus de la moitié des grandes entreprises, si l'on en croit une enquête réalisée par Infosecurity Europe (3). Une étude commanditée par l'éditeur CA confirme cette progression des dépenses sécuritaires à l'échelle mondiale.
Outre les outils classiques de protection du SI (antivirus, firewalls, etc.) et les services de conseil en sécurité , les dépenses concernent notamment les outils de contrôle d'accès et de gestion d'identités, outils regroupés sous le signe IAM, pour Identity Access Management (e-shop : Synthèse et Perspectives: La gestion des identités et des accès), domaine dans lequel nos entreprises ont beaucoup de retard à rattraper. Plus largement, les solutions d'analyse de risques et de conformité réglementaire dans le cadre d'une politique globale de gouvernance (ou GRC, pour gouvernance, risque et conformité) ont le vent en poupe : une conférence sur le sujet est d'ailleurs prévue au programme de notre Forum CXP du 18 juin. Plus que jamais, la sécurité est à l'ordre du jour !
Auteur : Claire Leroy, L'Œil Expert, 2 juin 2009
(1) Etude menée par KPMG International avec AKL Associates menée entre le 3 février et le 13 mars 2009 auprès de 307 spécialistes européens de la sécurité de l'entreprise (RSSI, spécialistes de la détection de fraude, de l'audit et du risque)
(2) Réalisée auprès de 151 professionnels IT
(3) Auprès de plus de 1000 entreprises
Continuer avec Linkedin