Assises de la Sécurité : la menace se déplace vers l’intérieur

Yves Grandontagne,

Les menaces externes ne sont plus la première crainte des RSSI, désormais se
sont les utilisateurs qui sont leur première préoccupation

Les campagnes de sensibilisation se multiplient, et pourtant elles ne suffisent pas à réduire les usages inappropriés et maladroits des NTIC dans l’entreprise, et à contrer les usages malintentionnés !

Ainsi, les opérations d’interdictions génèrent, de fait, des tentatives de contournement de la part d’utilisateurs de plus en plus compétents. Or, les dispositions réglementaires et législatives rendent les entreprises responsables des agissements de leurs salariés dans le cadre des NTIC (nouvelles technologies de l’information).

De ces obligations découle la mise en oeuvre de moyens de surveillance et de contrôle. Mais ces derniers sont eux aussi soumis à des contraintes réglementaires et législatives, qui créent parfois des situations de conflit entre les DRH (direction des ressources humaines) chargées de leur gestion, mais qui n’ont pas de culture informatique, et les DSI et RSSI auxquels on impose une obligation de résultat.

La crainte de l’utilisateur

Une étude IDC commandée par les Assises de la Sécurité révèle que le principal défi des entreprises en matière de sécurité n’est plus la menace des attaques virales et informatiques, mais bien désormais dans la gestion des utilisateurs et des facteurs humains.

Ainsi, 75 % des entreprises se disent confrontés à des difficultés de sensibilisation des utilisateurs et 54,4 % aux accès distants des collaborateurs.

Les virus, vers et autres menaces ‘traditionnelles’ n’arrivent plus désormais qu’en troisième position (51 %), avec les patchs (51 %), la mise en conformité (49,5 %), l’accès distant des partenaires et clients (43 %), la sensibilisation des décideurs (43 %) et le calcul du ROI (36 %).

On notera que le niveau des attaques et perturbations subies semble stabilisé, pour 44 % des décideurs en tout cas, mais qu’en revanche ils sont encore près de 15 % à l’ignorer !

Le difficile calcul du ROI

Le calcul du retour sur investissement (ROI), s’il semble le plus éloigné des décideurs, n’en demeure pas moins une préoccupation financière de premier plan, qui milite pour la normalisation des projets, mais souffre principalement de la difficulté de valoriser les actifs perdus ou indisponibles.

57 % des décideurs éprouvent des difficultés à quantifier un sinistre, 53 % à estimer les pertes d’exploitation, 43 % à calculer la valeur des données et 36 % à estimer le coût global des solutions. Ils ne sont que 11 % à déclarer ne rencontrer aucune difficulté…

Rappelons cependant que les pertes occasionnées par les attaques et défaillances informatiques, de l’extérieur comme de l’intérieur, restent encore aujourd’hui un sujet caché, et qu’en fonction de cette attitude il est quasi impossible d’évaluer le coût même approximatif des menaces sur les résultats de l’entreprise.