Les entreprises se méfient de leur système d’information

La quatorzième édition de l’étude mondiale « Global State of Information Security 2011 » (PwC/ClO Magazine/CSO Magazine), a été menée par PwC auprès de PDG, directeurs financiers, DSI, RSSI et responsables IT et sécurité dans 138 pays, rassemblant plus de 9 600 réponses dont 563 pour la France.

Le prix à payer : finances, données et matière grise

61 % des entreprises françaises déclarent avoir subi un incident en 2011, contre  39 % en 2010, soit une hausse de 22 points. Suite à ces incidents, 20 % des entreprises déclarent avoir subi des pertes financières (8 % en 2008), 17 % des vols de propriété intellectuelle (6 % en 2008), et 13 % des atteintes à leur image (6 % en 2008).

« Pour la plupart, les entreprises ont adopté une approche par les risques se concentrant sur les données (plus de 80 % des répondants). Mais elles sont beaucoup moins nombreuses à avoir mis en place l’ébauche d’une approche permettant d’apporter une confiance sur le long terme sur la capacité de l’entreprise à protéger ses données », constate Philippe Trouchaud, associé PwC en charge de l’offre « Sécurité de l’Information ».

Quatre mesures selon PwC

Après analyse des entreprises leaders en matière de sécurité, PwC a défini quatre mesures pour maitriser les risques de sécurité et revenir les incidents :

– définir une véritable stratégie de sécurité de l’information qui porte sur la protection de l’information, et sur la façon d’utiliser les nouvelles technologies et le cyberespace, tout en se protégeant ;
– communiquer avec les dirigeants via un canal approprié pour expliquer et définir une stratégie de sécurité, et rendre compte globalement (reporting) ;
– une revue au moins annuelle de l’efficacité du dispositif de sécurité, pour s’assurer que les risques sont couverts ;
– un processus d’identification des incidents de sécurité, de leurs causes et de leurs conséquences, pour adapter le dispositif et nourrir le reporting.

La faute au management, à la communication et aux autres

La part des entreprises où la fonction Sécurité est rattachée à un membre du Top Management augmente à 47 % en 2011, mais reste modeste. D’autant plus que la fonction sécurité de l’information n’est pas encore complètement intégrée dans le corps décisionnel des entreprises.

Les dirigeants mettent en avant le manque de leadership du top management au second rang (25 %) derrière le manque d’investissement (27 %). Et les responsables de la sécurité de l’information citent le manque de compréhension et de vision (37 %) et la complexité des SI (30 %).

Hausse des incidents de tiers

À quel moment les dirigeants comprendront-ils enfin que l’informatique n’est ni un mal nécessaire, ni un centre de coût, mais un investissement et un générateur de potentiel ? Et la sécurité devient incontournable puisque l’informatique et le numérique forment déjà la colonne vertébrale de l’entreprise…

Outre les nouvelles menaces liées aux terminaux mobiles, à la mobilité et aux médias sociaux, les entreprises mettent en avant les incidents causés par des tiers, clients ou partenaires. Ces derniers auraient quasiment doublé depuis 3 ans. Assez logique puisque l’enquête montre aussi que les moyens affectés à la gestion de ces types de risques se dégradent depuis 3 ans (inventaire des tiers manipulant des données personnelles, exigence qu’ils respectent la politique de sécurité, et vérification du respect de la politique de sécurité).