Sécurité : des entreprises européennes bien trop confiantes
Une étude PAC pour Steria met en évidence un décalage considérable entre sentiment de sécurité et réalité des pratiques.
Le tableau est préoccupant. Selon une enquête réalisée par Pierre Audoin Consultants pour Steria, 91 % des entreprises européennes s’estiment capables de faire face à une crise « majeure » de sécurité. Pour autant, seules 27 % des entreprises disposeraient des moyens opérationnels nécessaires à une supervision continue de leur sécurité. C’est le principal décalage qui ressort d’une étude établie à partir du sondage de 270 décideurs en sécurité représentant petites, moyennes et grandes entreprises en France, au Royaume-Uni, en Allemagne, et en Norvège.
Florent Skrabacz, directeur des activités sécurité de la SSII en France, avance des éléments d’explication. Pour lui, il faut voir dans ces résultats une « composante d’affichage. Il est difficile d’avouer que l’on est inquiet d’une sécurité dont on est responsable. Et il y a un besoin d’afficher que la sécurité est maîtrisée ». Une composante communication, donc. Mais pour lui, qui relève un véritable manque de maturité, il y a plus préoccupant : « il y a un important décalage entre la confiance d’un côté, et les moyens permettant aux entreprises d’accéder à la réactivité dont elles ont besoin. Et l’on sait que, sur un incident de sécurité, tout se joue sur la réactivité. C’est une question de minutes. »
Et l’une des clés de la réactivité, ce sont les centres opérationnels de sécurité (SOC). Seules 14 % des entreprises de moins de 5 000 employés en disposeraient, selon l’étude. Pour Florent Skrabacz, « il est illusoire aujourd’hui d’adresser la sécurité sans une capacité opérationnelle en plus de l’infrastructure, voire demain des données. » Certes, il reconnaît volontiers que cela peut constituer un investissement sérieux. D’où l’intérêt de la mutualisation, avec des offres managées comme en proposent Steria, justement, ou encore Intrinsec, pour ne citer qu’eux. Toutefois, forts d’un contexte législatif favorisant cet effort financier, 14 % des décideurs français interrogés déclarent vouloir monter un SOC dans les trois ans à venir. Un chiffre tout autant encourageant que surprenant. Car un tel projet nécessite des compétences. Florent Skrabacz ne cache pas là sa perplexité : « les entreprises sont confiantes dans leurs capacités à disposer des bons profils dans trois ans. Il y a là un décalage important entre la réalité du marché du travail dans le domaine de la sécurité, qui continue à flamber, et cette confiance. »
En France, le portefeuille avant la qualité
Comme dans d’autres domaines d’externalisation, le directeur de l’activité sécurité de Steria ne peut s’empêcher de relever la singularité du marché français en matière de SOC mutualisés : « les Allemands attendent de l’externalisation une meilleure qualité de service et de détection des attaques. En France, 68 % des entreprises en attendent en majorité une réduction des coûts. » Une approche très spécifique qui conduit à mesurer la qualité de la prestation par des indicateurs difficiles à concilier avec les objectifs de sécurité : « En France, on mesure d’abord les coûts puis, un peu plus loin, la satisfaction des clients internes. » Une logique d’image, de communication interne, donc, alors « que l’on pourrait attendre des indicateurs orientés sur la performance, comme le délai de traitement des incidents, la rapidité de détection des menaces, etc. »
Les RSSI ne seraient-ils pas tombés dans le piège des efforts de communications avec leur direction générale, ne mettant plus en avant que les coûts au détriment de l’efficacité ? Dans 40 % des cas, selon Florent Skrabacz, la sécurité bénéficie du soutien de la direction générale et, effectivement, les RSSI « se posent la question des éléments de langages ». Et si de nombreuses voix s’élèvent régulièrement pour encourager à parler au portefeuille, les dirigeants chercheraient surtout à savoir ce qui se passe sur leur système d’information. Autrement, la question de la communication entre direction générale et RSSI apparaît loin d’être réglée.
Un marché de l’assurance encore flou
L’intrusion dans le PlayStation Network de Sony avait jeté une lumière crue sur les coûts des incidents de sécurité. Au point d’éveiller les consciences quant à la question des assurances. Selon l’étude PAC pour Steria, 15 % des sondés « estiment avoir une assurance couvrant les cyber-risques .» Le verbe employé ne manque pas d’une ambiguïté certaine qui, selon Florent Skrabacz « reflète bien une réalité du marché. La difficulté de ces contrats est de dire où commence et s’arrête la couverture. L’assurance des cyber-risques, notamment dans son volet qualitatif, reste floue ». Du coup, la connaissance des produits reste limitée.