La quatorzième édition de l’étude mondiale « Global State of Information Security 2011 » (PwC/ClO Magazine/CSO Magazine), a été menée par PwC auprès de PDG, directeurs financiers, DSI, RSSI et responsables IT et sécurité dans 138 pays, rassemblant plus de 9 600 réponses dont 563 pour la France.
61 % des entreprises françaises déclarent avoir subi un incident en 2011, contre 39 % en 2010, soit une hausse de 22 points. Suite à ces incidents, 20 % des entreprises déclarent avoir subi des pertes financières (8 % en 2008), 17 % des vols de propriété intellectuelle (6 % en 2008), et 13 % des atteintes à leur image (6 % en 2008).
« Pour la plupart, les entreprises ont adopté une approche par les risques se concentrant sur les données (plus de 80 % des répondants). Mais elles sont beaucoup moins nombreuses à avoir mis en place l’ébauche d’une approche permettant d’apporter une confiance sur le long terme sur la capacité de l’entreprise à protéger ses données », constate Philippe Trouchaud, associé PwC en charge de l’offre « Sécurité de l’Information ».
Après analyse des entreprises leaders en matière de sécurité, PwC a défini quatre mesures pour maitriser les risques de sécurité et revenir les incidents :
– définir une véritable stratégie de sécurité de l’information qui porte sur la protection de l’information, et sur la façon d’utiliser les nouvelles technologies et le cyberespace, tout en se protégeant ;
– communiquer avec les dirigeants via un canal approprié pour expliquer et définir une stratégie de sécurité, et rendre compte globalement (reporting) ;
– une revue au moins annuelle de l’efficacité du dispositif de sécurité, pour s’assurer que les risques sont couverts ;
– un processus d’identification des incidents de sécurité, de leurs causes et de leurs conséquences, pour adapter le dispositif et nourrir le reporting.
La part des entreprises où la fonction Sécurité est rattachée à un membre du Top Management augmente à 47 % en 2011, mais reste modeste. D’autant plus que la fonction sécurité de l’information n’est pas encore complètement intégrée dans le corps décisionnel des entreprises.
Les dirigeants mettent en avant le manque de leadership du top management au second rang (25 %) derrière le manque d’investissement (27 %). Et les responsables de la sécurité de l’information citent le manque de compréhension et de vision (37 %) et la complexité des SI (30 %).
À quel moment les dirigeants comprendront-ils enfin que l’informatique n’est ni un mal nécessaire, ni un centre de coût, mais un investissement et un générateur de potentiel ? Et la sécurité devient incontournable puisque l’informatique et le numérique forment déjà la colonne vertébrale de l’entreprise…
Outre les nouvelles menaces liées aux terminaux mobiles, à la mobilité et aux médias sociaux, les entreprises mettent en avant les incidents causés par des tiers, clients ou partenaires. Ces derniers auraient quasiment doublé depuis 3 ans. Assez logique puisque l’enquête montre aussi que les moyens affectés à la gestion de ces types de risques se dégradent depuis 3 ans (inventaire des tiers manipulant des données personnelles, exigence qu’ils respectent la politique de sécurité, et vérification du respect de la politique de sécurité).
OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…
Avec Phi-3-mini, Microsoft lance un SLM conçu pour attirer une clientèle disposant de ressources financières…
La Commission européenne serait sur le point d'approuver la proposition d'Apple visant à fournir à…
Le Premier ministre a précisé les usages de l'IA dans les services de l'administration et…
Sous la marque Horizon OS, Meta va ouvrir le système d'exploitation des casques Quest à…
Après avoir essaimé dans 145 pays, la communauté de femmes de la tech Women Who…