|
| |
|
|
| Sommaire Sécurité |
 |
| Premier fléau pour les entreprises américaines : les virus |
| Les dégâts occasionnés par les incidents informatiques accusent un repli, selon l'étude 2006 du CSI et du FBI. Principales raisons de l'embellie, l'augmentation des budgets sécurité et la formation des salariés.
(26/07/2006) |
|
Menée auprès de 600 entreprises IT, avec la participation de la division Computer Intrusion Squad du FBI, la onzième édition de l'étude conduite par le Computer Security Institute (CSI), fait état d'une diminution des pertes globales dues aux incidents de sécurité.
Ainsi, la perte moyenne par entreprise aurait diminué de 18 %, pour passer de 203 606 à 167 713 dollars. Globalement, les incidents de sécurité informatique auraient tout de même coûté en 2006, plus de 52 millions de dollars.
Cependant, il convient de pondérer ce résultat et l'importance de la baisse. En effet, pour l'étude 2006, seuls 50 % des firmes interrogées ont accepté ou ont été en mesure de communiquer les montants des pertes estimées. Ce total s'élevait à 130 millions en 2005, pour les 639 répondants, contre seulement 313 cette année.
Même si les réponses sont anonymes, cette réticence à dévoiler des chiffres serait, selon l'institut, due en grande partie à la crainte des entreprises américaines de ternir leur image. Les firmes sont en effet tenues, en raison d'une obligation légale, de dévoiler publiquement toute intrusion constatée. Une démarche nécessairement peu valorisante.
| Les contaminations virales ont coûté 15,7 millions de dollars |
Parmi les incidents constatés, quatre grandes catégories représentent à elles seules plus de 74 % des pertes financières. Il s'agit des virus, des accès non-autorisés aux réseaux, des pertes ou vols de périphériques mobiles (téléphones, ordinateurs portables, etc.), et enfin des vols d'informations ou de données relatives à la propriété intellectuelle.
Et ce sont les virus qui continuent de prélever le plus lourd tribut dans les caisses des entreprises américaines. Les contaminations par virus auront ainsi coûté au total 15,7 millions de dollars en 2006 juste devant les accès non-autorisés (10,6 millions) et les vols d'ordinateurs portables et de mobiles (6,5 millions). Le piratage de propriétés intellectuelles aura quant à lui représenté une charge de 6 millions de dollars.
Bien que les intrusions réseau continuent d'être une sérieuse menace et la source de pertes massives, elles accusent un léger recul ces 12 derniers mois. Ainsi, 52% des sociétés, contre 53 % en 2005, déclarent avoir été victimes d'un accès non-autorisés. En 2004, ce chiffre était de 56%.
Les attaques par virus rapportées par les entreprises connaissent elles aussi un reflux. De 70 % en 2005, la valeur passe à 65 % un an plus tard. Autre tendance forte révélée par l'étude, la diminution des abus d'Internet des salariés. 42 % des entreprises déclarent avoir constaté ce type d'incidents, contre 80 % en 2003.
Pour le CSI, la baisse des coûts imputés aux incidents de sécurité tient avant tout aux investissements réalisés dans les solutions technologiques. Si près de la moitié des entreprises interrogées a alloué moins de 3 % de son budget IT à la sécurité (34 % en 2005), plus d'un tiers (34%) aurait dépensé plus de 5 % (27 % en 2005).
| 80 % des entreprises ont conduit un audit interne |
En revanche, la part des sociétés ayant alloué entre 3 et 5 % est tombé à 6 %, contre 24 % un an plus tôt. Les dépenses de sécurité se répartissent donc désormais sur les valeurs extrêmes, hautes ou faibles.
Parmi l'arsenal technologique déployé par les entreprises, on retrouve les outils dorénavant omniprésents comme les pare-feu (98 %), les antivirus (97 %), les logiciels antispyware (79 %), les applications de contrôle d'accès (70 %), ou encore les IDS (69 %).
La seconde explication majeure avancée par le CSI concerne la formation et la sensibilisation des employés aux problématiques de sécurité. Si la grande majorité des entreprises perçoit la formation comme cruciale pour réduire les risques, elle estime cependant que les actions de cette nature restent encore trop insuffisantes.
Autre volet important, les techniques utilisées par les entreprises pour mesurer l'efficacité de leur politique de sécurité. La conduite d'audits internes tient ici très largement le haut du pavé. 82 % d'entre elles en ayant réalisé un dans l'année écoulée.
D'autres techniques sont également employées, comme les tests d'intrusion (66 %), ou encore le recours à des outils automatisés d'évaluation (66 %). Respectivement 62 et 58 % déclarent user d'applications de monitoring des emails et d'Internet.
Enfin, si l'externalisation (outsourcing) de la sécurité informatique avait été évoquée dans l'édition 2004 de l'étude, la pratique demeure encore peu répandue. Uniquement 1 % des entreprises interrogées indique avoir externalisé plus de 80% des opérations de sécurité. 61 % déclarent ne pas confier de tâches relatives à la sécurité à un prestataire externe, contre 63 % en 2004 et 2005.
|
| |
| |
|
|
|
Dossier 
