 |
|
|
| |
|
|
| Sommaire Sécurité |
|
| Le vol d'identité jugé comme le délit le plus notable du siècle |
| Vol de données, spywares, phishing... autant de menaces qui planent sur les organismes financiers. Malgré cela, les investissements de sécurité demeurent insuffisants, selon une étude de Deloitte.
(27/06/2006) |
|
Le cabinet d'audit Deloitte vient de publier les résultats d'une vaste étude sur la sécurité informatique au sein des institutions bancaires : "2006 Global Security Survey".
Avec des pirates désormais de mieux en mieux organisés et essentiellement motivés par le gain, ces institutions sont naturellement une cible toute désignée. Sans brosser un tableau alarmant, l'étude met cependant en lumière plusieurs lacunes pour le moins problématiques.
Les institutions bancaires prennent peu à peu la mesure des risques de sécurité auxquels il leur faut désormais faire face. Et parmi leurs principales préoccupations, le phishing tient nettement le haut du pavé.
Les intrus s'efforcent désormais de dérober des informations sensibles en usant de connexions directes au réseau ou par le biais d'accès non autorisés. Pour cela, ils exploitent généralement des vulnérabilités logicielles ou des erreurs de configuration qui leur permettent de contourner les barrières de contrôle d'accès.
L'ingénierie sociale ou social engineering (encore appelé subversion psychologique), plus difficilement identifiable, serait une méthode plus efficace encore pour parvenir à dérober des informations sensibles. Le développement actuel du phishing en est une parfaite illustration (lire les chiffres "virus").
Pour 53 % des établissements interrogés, le phishing représente la menace la plus sensible de ces 12 derniers mois, devant les virus, les vers et les spywares. Et pourtant, seulement 30 % déclarent avoir déployé des technologies pour prévenir ce type d'attaques.
| Le phishing au cur des préoccupations |
De plus, le phishing ne vise pas seulement les organismes bancaires eux-mêmes, mais également leurs clients. Le vol d'identité s'est par conséquent considérablement développé, au point que Deloitte le définit comme le crime émergent le plus notable de ce siècle. Une réalité qui a contraint les banques à mettre en place des projets de sensibilisation à destination de leur clientèle.
Mais ce type de démarches est encore loin d'être systématique. Seules 29 % des banques estiment de leur responsabilité d'étendre la protection jusqu'à l'ordinateur de leurs clients. Il est à ce sujet à noter l'initiative de la Barclays qui a décidé de mettre à la disposition de ses clients "banque en ligne" une solution anti-virus pendant deux ans (lire la rubrique "Ils ont choisi" du 22/06/2006).
Bien que le vol et la protection des identités soient pour ces organismes bancaires une préoccupation majeure (53 %), elles tardent encore à se doter d'outils de gestion des identités et de contrôle d'accès. Ainsi, 55 % indiquent avoir totalement déployé des solutions de gestion d'identité, 30 % ayant commencé - ou envisageant de le faire - dans les prochains 18 mois.
Les organismes financiers tardent en effet à mettre en uvre de nouvelles applications de sécurité afin de faire face à la sophistication des menaces. 56 % s'estiment d'ailleurs insuffisamment préparés contre l'émergence d'attaques informatiques exploitant des spywares ou des réseaux sans fil.
Néanmoins, les technologies ne sont pas le seul point d'achoppement. En effet, l'étude Deloitte met en lumière plusieurs carences en personnel et notamment en spécialistes de la sécurité informatique. 43 % disposent de moins de 10 salariés formés à la sécurité de l'information et des données. Et seuls 6 % en comptent plus de 60. Toutefois, la majorité (51 %) de ces organismes financiers a d'ores et déjà commencé à remédier à cette faiblesse en procédant à des recrutements.
| Un personnel insuffisamment sensibilisé |
Si les entreprises souffrent d'un évident manque de compétences en sécurité des données, elles se montrent également peu enclines à former leurs salariés à ce type de problématiques. Seulement 34 % ont dispensé des formations ou plus simplement informé leur personnel durant les 12 derniers mois. A 63 % il s'agit uniquement d'alertes par e-mails ou de pages Web sur l'intranet. Pourtant, 42 % des menaces de sécurité internes surviennent après une erreur humaine, plus que par intention délibérée de nuire.
En dépit des risques, et même si les entreprises font de la protection des données une de leurs principales préoccupations, peu d'entre elles envisagent d'accroitre en conséquence le budget alloué à la sécurité informatique. En moyenne, l'augmentation n'est que de l'ordre de 9 %. Seuls 20 % porteront leurs dépenses au-delà de 10 %.
Les firmes interrogées par Deloitte ont pourtant pleinement conscience des conséquences en termes d'image et de réputation qu'une perte de données pourrait avoir pour elles. 72 % de celles qui ont dû faire face à ce type d'incident au cours de l'année chiffrent les dommages à 1 million de dollars. Pour 2 %, ils sont au-delà des 5 millions.
On est toutefois encore loin des 500 millions de dollars que pourrait coûter aux contribuables américains le vol de la base de données illégalement détenue par un employé du ministère des anciens combattants (lire l'article du 24/05/2006).
Le cabinet Deloitte & Touche, qui a réalisé cette étude, a lui aussi connu quelques déboires après qu'un de ses employés ait égaré dans un avion un CD-Rom contenant les données personnelles de plus de 9 000 employés de McAfee.
|
| |
| |
|
|
|
|
|
|
Dossier 
