La France doit encore combler son retard face au reste du monde
en matière de sécurité des systèmes d'information, c'est le
bilan de l'étude annuelle menée dans ce domaine par le cabinet de conseil Ernst
& Young. Un retard qui se situe aussi bien sur le terrain de la communication
que du budget, et qui se traduit par une plus grande fragilité
des systèmes face aux diverses menaces.
En matière de communication tout d'abord, 67% des 1 230 entreprises
mondiales interrogées jugent la sécurité comme un élément
critique dans l'atteinte de leurs objectifs stratégiques alors
qu'en France, ce chiffre tombe à 27%. Au total dans l'hexagone,
74% des dirigeants estiment la sécurité comme relativement
ou très importante dans la réalisation de leurs objectifs.
Pourtant près d'un responsable sécurité sur deux affirme que
cet élément n'est pas considéré comme une priorité pour leur
direction générale.
Mais
les responsables sécurité français tentent de faire basculer
cette tendance. Ainsi ils émettent plus souvent des rapports
à destination de leur hiérarchie que leurs homologues étrangers.
Ainsi, 46% d'entre eux envoient au moins une fois par trimestre un rapport à leur dirigeant.
Malgré cette communication, le métier de responsable
sécurité demeure mal considéré.
Pour un tiers des répondants, la mise en place d'une stratégie
de sécurité n'est pas reconnue par les directions métier
comme un élément créateur de valeur ajoutée pour l'entreprise.
Là encore, cette donnée pourrait évoluer. En 2004, les principales
initiatives des départements sécurité ont ainsi porté sur le respect
de la politique de sécurité du système d'information, et l'alignement
de ce dernier avec les objectifs et les contraintes de l'entreprise.
En revanche, l'étude souligne les écarts existants entre
la préoccupation des entreprises françaises et le reste du
monde. L'identification des failles de sécurité des logiciels
et le renforcement de la confidentialité des données
deviennent des problématiques majeures hors
hexagone avec un degré d'importance évalué respectivement à 71% et 65%,
contre 41% et 48% en France.
Un
tiers des sociétés n'ont pas testé
leur plan de continuité depuis plus d'un an. |
L'identification de la menace
principale ne fait cependant pas débat. Les virus, vers et chevaux de troie sont unanimement évalués
comme la principale menace, devant le spam, la faute d'un
salarié et la perte d'informations confidentielles.
71% des responsables sécurité français interrogés déclarent
ainsi qu'un virus a causé l'arrêt inattendu de systèmes critiques
en 2004, classant cette menace devant les défaillances logicielles
(64%) mais derrière les pannes matérielles (75%).
Or si les virus font l'objet de toutes les attentions, près
d'un tiers des sociétés françaises n'ont pas testé depuis
un an leur plan de continuité d'activité en cas d'incident
majeur. Un constat déjà mis en avant par une étude
dirigée par le club de la sécurité des systèmes d'information
français - Clusif - en juillet dernier (lire l'article
du 01/07/2004).
L'année 2005 devrait être synonyme d'augmentation des budgets de
sécurité pour 52% des RSSI, dont 13% envisagent même une très
forte augmentation - contre 11% une légère réduction et 37%
un budget stable. L'impact des nouvelles réglementations représentera
une forte contrainte pour une majorité (57%).
|