Ernst&Young dévoile sa Global Information Security Survey à Luxembourg

Ernst & Young Luxembourg a organisé un événement destiné aux […]

November 16, 2011

Ernst & Young Luxembourg a organisé un événement destiné aux entités ayant participé cette année à l’étude GISS. Cet événement a été organisé le 15 novembre à Munsbach et traitait des tendances internationales ainsi que des spécificités locales de l’étude. Les sujets y évoqués se sont articulés autour du cloud computing, des media sociaux ainsi que des tablettes.

 

Ernst&Young GISS

 

De gauche à droite: Maxime Raymond de Ernst & Young, Marc Schmidt de BGL BNP Paribas, Cristina Spinelli, Piet-Hein Prince and Maxime Brière de Ernst & Young.

L’adoption de nouvelles technologies par les sociétés internationales requièrent plus d’attention que les menaces liées à la sécurité

– 72% des participants à l’étude voient la hausse du niveau de risque induit par les menaces externes

– 80% sont susceptibles d’adopter l’usage de tablettes alors que la mise en oeuvre de mesures de sécurité est encore limitée

– Le cloud computing constitue la priorité en termes de financement des mesures de sécurité au cours des 12 prochains mois

 

Selon la 14ème étude annuelle Global Information Security (GIIS) dirigée par Ernst & Young qui vient de paraître, les organisations internationales, dans leur empressement à « numériser » leurs affaires par le biais des nouvelles technologies et à accéder au monde sans frontières sans cesse croissant du cloud computing et des media sociaux, laissent se développer un fossé grandissant entre les besoins identifiés dans le cadre de la conduite de leurs affaires et la capacité à appréhender les menaces, inédites et complexes, liées à la sécurité.

A l’échelle mondiale, 72% des participants à cette étude menée auprès de 1.700 organisations, dont 37 basées au Luxembourg, constatent un niveau de risque accru du à des menaces externes en augmentation. Ce constat est cohérent avec la mise à jour, par deux tiers des participants à l’étude, de leur stratégie de sécurité informatique au cours des 12 derniers mois. L’empressement montré par 80% des organisations utilisant déjà ou envisageant d’utiliser des tablettes et alors que 61% d’entre eux utilisent déjà ou envisagent de recourir à des services de cloud computing au cours de l’année à venir, est révélateur du peu de prise en considération de la menace que constitue les infractions à la sécurité.

Paul van Kessel, à la tête du département Ernst & Young Global IT Risk and Assurance, ajoute: « De plus en plus de secteurs économiques et d’industries de premier plan impliquent l’utilisation systématique de logiciels ainsi que la mise à disposition de services en ligne. Les données sont partout. Les sociétés, confrontées à l’atténuation des frontières, aux services de cloud computing et aux stratégies d’entreprises relatives à ces derniers, s’interrogent sur la meilleure manière de réagir aux risques émergeants et de revoir leurs besoins stratégiques ».

« Cette mise au point doit évoluer d’une résolution de problématiques à court terme vers une approche plus globale, intégrée dans les objectifs stratégiques à plus longue portée des entreprises ».

Financement

Il est encourageant de noter que 59% des participants à l’étude à l’échelle mondiale et 53% au Luxembourg ont l’intention d’augmenter leur budget lié à la sécurité de l’information au cours de l’année à venir. Toutefois, 51% seulement des participants à l’étude au niveau mondial et 52% au Luxembourg ont confirmé disposer d’une stratégie de sécurité de l’information dûment documentée.

Les sondés ont identifié le cloud computing comme étant leur priorité de financement en matière de sécurité de l’information pour les 12 mois à venir. De manière générale et pour la deuxième année consécutive, les participants ont mentionné la continuité des affaires comme étant leur priorité de financement.

Tablettes

A l’échelle mondiale, l’adoption de tablettes et de smartphones est perçue comme étant le deuxième défi technologique le plus crucial, la moitié des sondés le classant parmi les défis difficiles ou très difficiles. Les ajustements de procédures et les campagnes d’information sont les deux mesures principales utilisées afin de répondre aux risques posés par cette nouvelle technologie mobile. L’adoption de techniques et de logiciels de sécurité demeure néanmoins très faible. Par exemple, les techniques de cryptage sont utilisées par moins de la moitié (47%) des organisations.

Familiarisation avec les techniques de cloud computing

En dépit de récits convaincants en faveur de l’adoption du cloud computing, beaucoup d’organisations sont encore dans le doute quant aux implications du cloud computing et intensifient leurs efforts afin de mieux appréhender les conséquences et les risques. En 2011, 48% des participants à l’échelle mondiale ainsi que 42% au Luxembourg ont classé la mise en oeuvre du cloud computing comme étant un défi difficile ou très difficile à relever et plus de la moitié n’ont pas encore mis de contrôles en place afin de juguler les risques liés au cloud computing. Mondialement, la mesure la plus fréquemment adoptée est une supervision accrue du processus de gestion des contrats avec des prestataires de cloud computing mais cette mesure est appliquée par seulement 20% des sondés à l’échelle mondiale, ce qui indique un niveau de confiance élevé et éventuellement tronqué. Le marché luxembourgeois se distingue car la mesure y étant la plus fréquemment prise est le cryptage des données (15% des sondés).

« En l’absence de lignes de conduite claires, de nombreuses organisations semblent prendre des décisions sans avoir tous les éléments nécessaires, qu’il s’agisse d’une transition prématurée vers le cloud computing, donc sans avoir au préalable pris en considération les risques associés ou bien qu’il s’agisse d’éviter cette transition. Même si de nombreuses organisations sont passées au cloud computing, beaucoup l’ont fait avec réticence ».

Près de 90% des sondés à l’échelle mondiale et de 67% basés au Luxembourg se prononcent en faveur d’une certification externe. Près de la moitié des sondés à l’échelle mondiale (45%) affirment que cette certification devrait se baser exclusivement sur un modèle convenu.

« Alors qu’il existe différentes manières de contribuer à cet objectif, il ne suffit plus de se reposer sur des entités externes afin de traiter les risques associés au cloud computing » affirme Van Kessel. « Ces risques peuvent induire des changements significatifs dans la manière dont une organisation opère et doivent faire l’objet de procédures dûment formalisées de gestion d’entreprise et de gestion des risques informatiques ».

Media sociaux

La plupart des participants à l’étude (72%) ont identifié les attaques malveillantes externes comme étant le risque principal auquel ils étaient confrontés. Ces attaques peuvent être alimentées par des informations obtenues par l’utilisation de media sociaux utilisés afin d’envoyer des messages ciblés de type phishing à des individus ciblés eux-aussi.

Afin de traiter les risques potentiels posés par les media sociaux, les organisations semblent adopter une réponse ferme. Plus de la moitié des sondés ont répondu en bloquant l’accès aux sites plutôt que de prendre en compte les changements et d’adopter des mesures à l’échelle des entreprises. Le marché luxembourgeois se conforme à ces tendances.

Priorité de premier ordre

L’étude montre que seulement 12% des sondés présentent les sujets liés à la sécurité de l’information lors de chaque réunion du conseil d’administration et moins de la moitié des sondés ont affirmé l’adéquation de leur fonction de sécurité de l’information aux exigences de l’organisation. Il en va de même pour tous les sondés au Luxembourg. M. Van Kessel conclut: « une réponse pragmatique et pro-active au lieu d’une réponse réactive est requise ». La sécurité de l’information doit être plus visible dans la salle du conseil avec une stratégie clairement définie au service des affaires dans la sphère du cloud computing et partout ailleurs. La plupart des sociétés ont encore beaucoup de progrès à effectuer afin de concrétiser cet objectif.

« En vue de gérer les risques informatiques de manière efficace, les organisations doivent obtenir une vision élargie et globale du panorama lié aux risques informatiques dans leur ensemble. Cette perspective globale doit fournir aux sociétés un point de départ à l’identification et la gestion des risques et défis informatiques actuels ainsi qu’à ceux susceptibles d’évoluer dans le temps. »


 

 

Watch video

In the same category