mardi 11 février 2014

Sécurité : la prise de conscience intervient souvent trop tard

A lire sur: http://connect.emc2.fr/securite-la-prise-de-conscience-intervient-souvent-trop-tard/

Une récente étude Vason Bourne pour EMC attribue à la France un indice de maturité en matière de sécurité informatique relativement bas. Il reflète un mal local : la prise de conscience du risque ne survient souvent qu’après un incident. 

Selon une récente étude Vanson Bourne pour EMC, l’indice de maturité des organisations françaises en matière de sécurité n’est que de 51,4. Ce qui place l’Hexagone devant certains de ses voisins européens, comme le Royaume-Uni et l’Allemagne, mais sensiblement en retrait par rapport aux Etats-Unis (61,8) ou encore à la Chine (65,2). Un indicateur d’autant plus préoccupant qu’il se traduit nettement dans l’évolution des dépenses informatiques au cours des 12 derniers mois : +37 % en France, contre +81 % en Chine et +64 % outre-Atlantique…
Perspective rassurante, l’arrivée du Cloud conduirait les entreprises à se poser plus de questions qu’auparavant. L’ouverture du système d’information à l’extérieur, avec les risques afférents, participe d’une prise de conscience. Mais un spécialiste de la sécurité comme RSA a lui-même été victime d’une attaque importante, début 2012. Le niveau de maturité y était-il suffisant ? « Je pense que l’on avait un bon niveau de maturité », estime Bernard Montel, directeur technique de RSA, la division sécurité d’EMC, concédant toutefois qu’il « y a eu une prise de conscience, après l’attaque. C’est évident. » Et le niveau de maturité est alors monté d’un cran. A cette occasion, RSA s’est découvert maillon d’une chaîne plus vaste, n’étant pas la cible principale de l’attaque, mais seulement une étape d’une opération de plus grande envergure, visant ses clients. La découverte d’un volet nouveau du risque. Et justement, la maturité, en sécurité, « c’est savoir se poser les bonnes questions en terme de risque et appliquer les bonnes procédures. » RSA a toutefois fait preuve de rapidité et d’efficacité dans la gestion de la crise, et d’une communication transparente avec ses clients.
Une autre démonstration de maturité : « admettre que l’on a été attaqué, c’est être mature. » 
Dans l’Hexagone, 50 % des sondés estiment leur niveau de préparation inférieur à la moyenne, et seuls 8 % se considèrent comme des « leaders », précise Bernard Montel, ajoutant que 36 % des dirigeants considèrent disposer de capacités de sauvegarde et de récupération insuffisantes… Les responsables IT semblent là « mieux connaître le niveau de risque et de couverture ». Pourtant, les principaux impacts possibles sont bien identifiés : perte de productivité des employés, dégradation de l’image de marque, de la confiance… Et 23 % des responsables IT estiment avoir déjà été victimes de failles. Pour autant, souvent, les décideurs métiers « ne prennent conscience du risque qu’après que l’incident est survenu, » relève Bernard Montel.


Aucun commentaire:

Publier un commentaire