2008 : Quid des priorités des RSSI?

À la lecture de cette étude publiée par Forrester, l’évidence saute aux yeux, maintenir le niveau de sécurité de l’écosystème IT d’une entreprise est de plus en plus complexe

La société d’études Forrester vient de publier une étude portant sur les priorités « sécurité » des RSSI pour 2008. Bilan des courses, les investissements dans la protection des données et la « disponibilité des infrastructures IT » restent les priorités de cette année.

Le document, réalisé par un trio d’analystes (Khalid Kark, Jonathan Penn et Alissa Dill) souligne dans son introduction« l’abîme qui existe entre les priorités et les responsabilités des Responsables de la sécurité des systèmes d’information », le fameux RSSI en Français ou CISO en anglais.

Pour l’institut, le RSSI doit à la fois garder en tête ses priorités en terme de sécurité et les objectifs économiques de son entreprise. Un véritable travail d’équilibriste…

D’ailleurs, la majorité des sondés (56%) considère que la protection des données est le premier secteur à protéger. 39% penchent plus pour la protection de la propriété intellectuelle de l’entreprise.

33% des RSSI estiment qu’il est prioritaire de penser à la « business continuity » et au plan de reprise de l’active en cas de crash de l’infrastructure.

La mise en conformité arrive en quatrième position avec 28% des sondés qui estiment qu’il s’agit d’un point important. Enfin, les dernières priorités sont l’ediscovery (recherche de documents) et l’investigation numérique…

Dans son étude, Forrester s’interroge. Quelles sont les mesures les plus importantes que vont devoir prendre les RSSI dans les 12 prochains mois? Résultats, 44% des sondés estiment que la priorité est la protection des données mobiles, 41% la mise en place d’un plan de continuité d’activité en cas de catastrophe, 35% évoquent la sécurité des applications métiers.

Point particulièrement intéressant 34% des grandes entreprises interrogées estiment que la mise en conformité est une priorité contre seulement 29% des PME.

Enfin, 32% des RSSI citent également dans leurs objectifs la mise en place de solution de type NAC (Network Access Control) afin de gérer les identités et les accès au réseau.

28% estiment qu’il est important de former le personnel aux règles de sécurité et enfin 27% déclarent qu’il est important de travailler sur la recherche de vulnérabilités et de surveiller le développement des menaces dites complexes. Sur ce dernier point, notons que selon Symantec, 61% des vulnérabilités identifiées durant le second trimestre 2007 étaient liées à des applications.