lundi 14 novembre 2011

14e Etude mondiale PwC sur la sécurité de l’information La confiance des entreprises en baisse

mercredi 2 novembre 2011
Les attaques que subissent désormais les systèmes d’information des entreprises ont changé de nature par leur origine, leur fréquence, leur ampleur et leur impact. Selon la 14e étude PwC sur la sécurité de l’information, la protection des données et leur alignement avec les besoins métiers, 61% des entreprises françaises déclarent avoir subi un incident en 2011 soit une progression de 22 points. Elles étaient 39% en 2010. L’inquiétude gagne les organisations : le niveau de confiance des entreprises dans leur niveau de sécurité diminue en trois ans de 87% à 55%.

La menace informatique est devenue une menace économique. Les dirigeants, de plus en plus au fait des risques, demandent à leur DSI de renforcer la sécurité de leur système d’information.  A partir de l’analyse des entreprises les mieux placées en matière de sécurité de l’information, PwC définit quatre bonnes pratiques primordiales à mettre en place. Les entreprises qui les appliquent déclarent deux fois moins d’incidents de sécurité que les autres entreprises.  
 
 Nous vivons à l’heure des cybermenaces et il est difficile d’être optimistes
sur leurs évolutions.Depuis quelques années, les attaques informatiques à
des fins crapuleuses se multiplient.
Patrick Pailloux, Directeur Général de l’ANSSI

L’enquête met par ailleurs en évidence une zone de risque croissante liée aux tiers, clients ou partenaires, dont les incidents ont quasiment doublé en trois ans. En France, l’étude révèle les éléments suivants :
- 20% des entreprises ont subi des pertes financières à cause d’incident de sécurité alors qu’elles étaient 15% l’année dernière et 8% il y a 3 ans.
- 17% citent des vols de propriété intellectuelle (6% en 2008)
- 13% des atteintes à l’image (6% en 2008)
 
« Pour la plupart, les entreprises ont adopté une approche par les risques se concentrant sur les données (plus de 80% des répondants), mais elles sont beaucoup moins nombreuses à avoir mis en place l’ébauche d'une approche permettant d'apporter une confiance sur le long terme sur la capacité de l'entreprise à protéger ses données »  constate Philippe Trouchaud, associé PwC en charge de l’offre « Sécurité de l’Information ».


Gagner et maintenir la confiance de nos citoyens
dans le fait que leurs données sont protégées est un facteur important
pour le développement et l’adoption de nouvelles technologies
et des services en ligne en Europe.
Professeur Udo Helmbrecht, Directeur exécutif de l’ENISA

Les 4 caractéristiques des leaders en sécurité

PwC a défini le profil des entreprises leaders en matière de sécurité de l’information et défini quatre mesures qui permettent aux entreprises de maîtriser leurs risques de sécurité et se protéger des incidents de sécurité.
Les entreprises qui les appliquent toutes subissent deux fois moins d’incidents de sécurité que les autres entreprises. Elles ne sont pourtant que 13% à appliquer l’ensemble de ces mesures au niveau mondial et 11% en France.

- En premier lieu, au-delà d'une politique de sécurité, c'est une véritable stratégie de sécurité de l'information qu'il faut définir, une stratégie qui porte sur la protection de l'information, mais aussi sur la façon dont l'entreprise peut et veut exploiter les opportunités des nouvelles technologies et du cyberespace, tout en se protégeant.

- Deuxième élément, un canal de communication approprié entre la fonction sécurité de l’information et les dirigeants, pour leur expliquer les enjeux, solliciter leur engagement et valider la stratégie. En aval, un reporting approprié doit permettre aux dirigeants d'avoir une vision globale sur la maîtrise des risques liés à la sécurité de l’information.

- Troisième point, une revue au moins annuelle de l'efficacité du dispositif de sécurité, afin de s'assurer que les risques sont couverts.

- Enfin, un processus permettant d'identifier les incidents de sécurité qui peuvent survenir, leur causes et leurs conséquences, afin d'adapter si nécessaire le dispositif et de nourrir le reporting aux dirigeants.

Selon l’étude PwC, l’élément le moins mis en œuvre est la revue de l’efficacité du dispositif de sécurité de l’information, que seules 54% des entreprises au niveau mondial et 39% en France réalisent au moins annuellement, un pourcentage qui stagne depuis 3 ans. 
Le marché des affaires dans le cyberespace entraîne une modification en profondeur
de notre façon de penser. Les utilisateurs deviennent de plus en plus nomades,
dans un contexte de collaboration, de communication et de coopération
poussée entre les organisations. Le rôle de la sécurité de l’information
est de permettre aux utilisateurs de travailler de façon sécurisée en tous lieux,
depuis n’importe quelle plateforme et avec tout le monde.
Dr. Gunter Bitz, Directeur de sécurité des produits, SAP


Les obstacles portent sur les moyens, sur la vision et le leadership

Même si la part des entreprises où la fonction Sécurité est rattachée à un membre de la direction générale augmente depuis plusieurs années, pour atteindre 47% en 2011, la fonction sécurité de l’information n’est pas encore complètement intégrée dans le corps décisionnel des entreprises.

Les dirigeants qui ont répondu à l’enquête sont sévères avec eux-mêmes. Le manque de leadership du top management est cité comme le deuxième obstacle le plus important (25%), juste après le manque d’investissement (27%). Les responsables de la sécurité de l’information quant à eux citent le manque de compréhension et de vision (37%) et la complexité des SI (30%) comme les principaux obstacles à leur démarche de sécurité.
  
Outre les risques liés aux terminaux mobiles, à la mobilité et aux médias sociaux, que les entreprises ont toujours des difficultés à gérer, l’étude PwC met en évidence une zone de risque croissante : les incidents causés par des tiers, qu’ils soient clients ou partenaires. Ils ont quasiment doublé depuis 3 ans, alors que les moyens affectés à la gestion de ces types de risques (inventaire des tiers manipulant des données personnelles, exigence qu’ils respectent la politique de sécurité, et vérification du respect de la politique de sécurité) se dégradent  depuis 3 ans.



__________
À propos de l’étude « Global State of Information Security 2011 »

Le « Global State of Information Security 2011 » est une étude mondiale de PwC. C’est la 14ème année consécutive de réalisation de l’enquête par PwC. Plus de 9 600 réponses de PDG, Directeurs Financiers, DSI, RSSI et responsables IT et sécurité, répartis dans 138 pays, et 563 réponses pour la France.

Aucun commentaire:

Enregistrer un commentaire