La sécurité de l’information : une nécessité face aux menaces actuelles

Les trois quarts des entreprises constatent une augmentation des attaques […]

November 27, 2012

  • Les trois quarts des entreprises constatent une augmentation des attaques externes
  • Aucun cadre d’architecture de sécurité n’est mis en place dans 63% des entreprises
  • L’adoption du Cloud computing a doublé depuis 2010, néanmoins 38% des sondés indiquent qu’aucune mesure de sécurité n’a été prise pour atténuer les risques

Selon l’édition 2012 de l’étude Global Information Security (GIIS) d’Ernst & Young qui vient de paraître, les entreprises doivent opérer un changement fondamental dans leur approche de sécurité de l’information afin de faire face aux menaces que peuvent présenter les technologies existantes et émergentes. Depuis 15 ans déjà, ce rapport constitue l’une des études les plus complètes dans ce domaine et se base sur les réponses de 1850 CIOs, CISOs et autres responsables de services de sécurité de l’information dans 64 pays.

Les entreprises améliorent progressivement leurs capacités relatives à la sécurité de l’information afin d’apporter des solutions à court terme sans toutefois traiter des problématiques liées aux menaces auxquelles est confrontée la sécurité de l’information dans son ensemble. Au cours des deux dernières années, 31% des sondés ont rencontré un plus grand nombre d’incidents liés à la sécurité. Par conséquent, la nécessité de développer un cadre d’architecture de sécurité robuste n’a jamais été aussi forte. Néanmoins, 63% des entreprises n’ont pas de tel cadre en place et 16% seulement des sondés rendent comptent d’une fonction de sécurité de l’information en totale adéquation avec les besoin de l’entreprise.

« La nouvelle donne pour le CIO est la suivante : la rapidité d’action n’est pas assez grande, affirme Christophe Wintgens, à la tête du département Advisory d’Ernst & Young Luxembourg. Les changements toujours plus complexes s’opèrent à un rythme effréné et il faut tenir compte des marchés émergents, de l’instabilité économique toujours présente, de l’off-shoring ainsi que des exigences réglementaires accrues en plus d’un environnement de la sécurité de l’information déjà complexe ».

Accroissement continu des menaces

Les entreprises assistent à une mutation de l’environnement des risques, alors que la fréquence et la nature des menaces liées à la sécurité de l’information tout comme le nombre d’incidents liés à la sécurité augmentent. Plus des trois quarts (77%) des sondés s’accordent sur le fait qu’il existe un risque croissant d’attaques externes mais ce n’est pas l’unique source de préoccupations pour les entreprises d’envergure mondiale, 46% d’entre elles signalent une augmentation des vulnérabilités internes.

La marche ininterrompue des nouvelles technologies

Les nouvelles technologies offrent d’énormes opportunités aux entreprises mais constituent également des menaces potentielles émanant de sources jusqu’alors inconnues. Le cloud computing continue d’être l’un principaux moteurs d’innovation en matière de modèle d’entreprise, le nombre d’organisations utilisant le cloud ayant presque doublé au cours des deux dernières années. Toutefois, 38% des organisations n’ont pris aucune mesure telle que la supervision accrue du processus de gestion des contrats des fournisseurs de cloud ou l’utilisation de techniques de cryptage en vue d’atténuer leurs risques.

Les appareils comportant des fonctions internet dont les avancées technologiques et les avantages commerciaux inhérents ont contribué largement à la très forte hausse de leur taux d’utilisation sont une autre nouvelle technologie revêtant désormais une grande importance.

Christophe Wintgens commente: « Avec 44% des entreprises autorisant à l’heure actuelle l’utilisation de tablettes personnelles ou appartenant à leur entreprise — ce qui représente une hausse de 20% en comparaison à 2011 — des flux substantiels d’information entrent et sortent désormais du bureau, rendant les contrôles de plus en plus ardus ».

Les entreprises reconnaissent la nécessité d’investir plus dans la technologie mobile. Toutefois dans un marché de l’informatique mobile en rapide mutation, l’adoption de techniques et de logiciels de sécurité reste relativement faible ; 40% à peine des entreprises utilisent certains types de techniques de cryptage sur les appareils mobiles.

Plus d’argent mais est-il bien dépensé ?

Face à un accroissement des risques et des technologies à sécuriser, les entreprises augmentent leurs budgets et adaptent leurs priorités. 55% des entreprises ont indiqué avoir des projets d’augmentation de leur budget de l’ordre de plus de 5% au cours des 12 prochains moins. Alors que 32% des sondés consacrent plus d’un million de dollars à la sécurité de l’information, le niveau d’investissement varie à l’échelle mondiale : 48% des entreprises américaines y consacrent plus d’un million de dollars, alors que les régions d’Asie-Pacifique et d’EMEIA (Europe, Moyen-Orient, Inde et Afrique) y consacrent respectivement 35% et 26%. En termes d’allocation du budget à des postes précis, les priorités arrivant en tête des investissements sont la sécurisation des nouvelles technologies (55%) et la continuité des opérations (47%).

Le transfert de la responsabilité de la fonction IT à la fonction « Risque » est indispensable

L’augmentation planifiée des budgets ne peut être efficace que si les décideurs en assument la responsabilité. La sécurité de l’information continue à être prise en charge par le département informatique au sein de nombreuses entreprises, 63% des sondés indiquant que leurs entreprises ont confié la responsabilité de la sécurité de l’information au service informatique.
Cependant, la sécurité de l’information allant bien au-delà de la sphère informatique traditionnelle, une prise de décisions liées à la sélection d’outils, des processus et méthodes de contrôle adéquats de la gestion des risques s’avère désormais indispensable, tout comme l’évaluation des performances, l’identification des domaines non couverts et une remise en cause des responsabilités.
Alors qu’exactement 5% des responsables en charge de la gestion des risques sont également responsables de la sécurité de l’information, de nombreuses organisations ne disposent pas de mécanisme d’évaluation des risques en bonne et due forme mis à disposition par la fonction « risque », ce qui a pour conséquence l’absence de tout programme de renseignements sur les menaces dans 52% des organisations. La prolifération des menaces et l’accélération du fossé entre la vulnérabilité et la sécurité nécessite de multiples sources d’évaluation telles que l’audit interne, des auto-évaluations internes ainsi que des évaluations par des tiers afin de contrôler et d’évaluer les incidents en matière de sécurité.

Christophe Wintgens conclut : « Certaines entreprises prennent des décisions en matière de sécurité qui répondent à des besoins à court terme et qui dépendent plus de leur ressources et de leur budget que d’une réelle stratégie visant à réduire leur vulnérabilité. ».
En termes de perspectives d’avenir, il ajoute: « Même si nous avons identifié certains des manquements actuels, bien d’autres se profilent encore à l’horizon, liés notamment aux interventions gouvernementales ou à de nouvelles pressions réglementaires. Si les entreprises ne prennent pas dès aujourd’hui les mesures nécessaires afin de développer des cadres de sécurité complets, les effets combinés des problématiques actuelles et à venir alimenteront sans cesse davantage les menaces pesant sur la sécurité de l’information ».

L’intégralité des conclusions et recommandations de ce rapport destiné aux entreprises est accessible sur le site : www.ey.com/GISS.

Watch video

In the same category