Enquête Eurosec 2007 : les RSSI se préoccupent de gouvernance

Cette étude repose sur 34 questions auxquelles ont répondu 150 entreprises de différentes nationalités européennes (Autriche, Belgique, Danemark, France, Pays-Bas…) Elle permet de dégager les grandes tendances en matière de sécurité informatique.

75% des RSSI (Responsables sécurité du système d’information) s’accordent pour dire que leur métier est reconnu dans l’entreprise alors qu’ils étaient 81% en 2006.

Les raisons de cette légère baisse de reconnaissance sont multiples. D’abord, elle s’explique par les problématiques de budget, le manque de sensibilité des décideurs et la difficulté du RSSI à être influent au-delà de la DSI.

Pour 63% des entreprises sondées, la sécurité du Système d’information est un enjeu stratégique de première importance. La proportion des RSSI rattachée directement à la Direction Générale atteint désormais 31%.

Une majorité d’entre eux reste rattachée à la DSI. Soit directement à la DSI, pour 33%, soit via une entité de la DSI, pour 19%. Et 17% sont rattachés à d’autres directions.

Les grands chantiers de gouvernance sécurité en 2006

Quelles ont été les préoccupations des RSSI en 2006 en matière de gouvernance de la sécurité ? Deux thèmes se dégagent en priorité : l’évolution du cadre de la sécurité (ndlr : la mise ne conformité ou compliance, les chartes, la politique) et la continuité.

89% des sociétés ont en effet mis en place des chartes ou politiques globales de sécurité, par exemple le contrôle d’accès, l’administration, mais seulement 60% les tiennent à jour.

Quatre thèmes se dégagent en deuxième priorité, 44% pour la prise en compte de la sécurité dans les projets, 35% la sensibilisation, 35% la conformité juridique et réglementaire et 31% la gestion globale des risques.

Seulement 33% des entreprises ont réalisé une évaluation globale des risques en 2006. 19% des entreprises ne l’ont pas fait, car elles s’appuient sur des analyses réalisées les années passées. Une posture franchement risquée…

50% des entreprises déclarent avoir formé l’ensemble des employés et du management aux questions de sécurité. Mais 30% n’ont organisé aucune session en 2006 (ils n’étaient que 12% lors de la précédente enquête).

Les problématiques d’intelligence économique et de lutte contre la fraude impactant les SI ne sont que très rarement prioritaires pour les équipes de sécurité SI, respectivement 13 et 12%. Enfin, les cellules de veille continuent de se développer : 77% des entreprises ont mis en place une veille technologique et 52% une veille juridique.

Quid des priorités en matière de sécurité selon les RSSI?

Dernier point important de cette étude publiée pour Eurosec 2007, la question des chantiers de protection des infrastructures.

Les priorités dites de niveau 1 sont les suivantes: pour 65% des RSSI interrogés, la gestion d’accès est primordiale, la garantie de continuité pour 46% des personnes interrogées, 28% donnent une place prépondérante à la défense conte le vol ou la divulgation d’informations, la mise en ?uvre de moyens de lutte contre les attaques et les malversations internes n’a représenté une priorité que pour 12,5% des sondés.

Pour conclure, il est intéressant de constater que certains thèmes ont été délaissés, par exemple, la protection des technologies sans fil, 12,5%, la protection contre les intrusions 7,5%, la protection des IM 6% (messagerie instantanée), et la lutte contre les attaques DoS ou DDoS 4%.