Sécurité : les entreprises coincées entre marteau et enclume
La quadrature du cercle. C’est à cela que ressemble la problématique de la sécurité du système d’information pour les entreprises, si l’on en croît l’édition 2010 du rapport State of Enterprise Security de Symantec. En effet, ce rapport met en évidence une double problématique : d’un côté, gérer et se protéger de menaces avérées, au coût mesurable, et, de l’autre côté, s’adapter – déjà – à un environnement technologique en pleine mutation. Bref, un casse-tête aux allures de tonneau des Danaïdes.
A consulter l’édition 2010 du rapport de Symantec sur la sécurité informatique des entreprises, on comprendrait que les responsables sécurité du SI (TSSI) aient le moral au plus bas. De fait, pour 84 % des sondés, cette question est essentielle ou, à tout le moins, très importante. Pour 42 % des personnes interrogées, elle vient même avant les activités criminelles conventionnelles, les problèmes d’atteinte à l’image de marque, les catastrophes naturelles, ou encore le terrorisme. Basée sur l’interrogation de 2100 directeurs des systèmes d’information et responsables de la sécurité informatique d’entreprises du monde entier de 500 à plus de 5000 employés – dont 700 entreprises pour la région EMEA, parmi lesquelles 75 pour la France –, courant janvier, l’étude de Symantec souligne toute la complexité du métier de responsable de la sécurité des systèmes d’information.
La menace informatique, une réalité couteuse
Il y a tout d’abord le constat d’une réalité : 78 % des sondés reconnaissent avoir subi une attaque informatique au cours des 12 derniers mois ; 32 % estiment que le nombre des attaques a même progressé sur la période. Le tout se soldant par des pertes avec, dans le top 3 : le vol de données personnelles identifiables de clients ; le vol de données personnelles d’employés ; et le vol de données financières de clients. Le tout pour un coût de l’ordre de 1,6 M$ en moyenne par entreprise concernée, réparti entre perte de productivité, pénalisation de l’image de marque, et perte de confiance de la part des clients.
Une lutte à armes inégales
Là, les RSSI et DSI interrogés estiment manquer de moyens. A commencer par les moyens humains : 45 % des sondés jugent disposer de personnels en effectifs quelque peu voire très insuffisants pour la sécurité réseau, mais aussi pour la prévention des pertes de données ou encore pour la sécurité des systèmes. Des moyens insuffisants, donc, auxquels viennent s’ajouter l’évolution rapide et la complexité croissante des environnements à exploiter. En particulier, et dans l’ordre, la sécurisation semble particulièrement difficile pour les environnements de type Infrastructure-as-a-Service (32 %), Platform-as-a-Service (31 %), virtualisation de serveurs (28 %), Software-as-a-Service (32 %), et enfin virtualisation des postes de travail (29 %). Enfin, comme pour répondre en écho à une récente étude de Webroot, selon laquelle les réseaux sociaux constitueraient la principale menace pour les PME en 2010, Symantec relève que 26 % des sondés considèrent que les sites Web de réseau social représentent une menace quelque importante, voire très importante, pour leur entreprise. Mais la messagerie d’entreprise reste en tête des menaces pour 41 % des sondés.
Enfin, Symantec s’alarme de la problématique de conformité réglementaire, soulignant que, en moyenne, une entreprise cherche à se conformer à rien moins de 19 standards ou référentiels, avec 8 effectivement mis en œuvre. Dans l’ordre : ISO, CIS, la directive européenne sur la protection des données privées, HIPAA, ITIL, et enfin CobIT.
Lever de voile furtif sur le paysage français de la sécurité IT |
Le rapport de Symantec ne s’étend pas très largement sur la question spécifique du paysage français de la sécurité informatique. Mais, dans un pays connu pour le mutisme de ses entreprises sur ce sujet – au grand dam des autorités locales elles-mêmes –, il a le mérite de tracer les grossiers contours d’une cartographie assez sombre. Au cours des 12 derniers mois, 73 % des 75 entreprises françaises sondées auraient ainsi été victimes de cyber-attaques. Des offensives assez voire très nuisibles pour 40 % d’entre elles. Mais, autant les fuites de données sensibles font les choux gras de la presse anglo-saxonne, autant, en France, la prévention de ces fuites aurait été le parent pauvre des budgets sécurité SI des entreprises, en 2009. La faute à un manque d’effectifs dédiés, selon Symantec. Mais peut-être aussi à une législation complaisante ? |