Les données de la sécurité de l’information

Bien comprendre les enjeux de la sécurité de l’information, c’est aussi comprendre quelques données clefs.

En 2140, 80% des entreprises françaises (de plus de 200 personnes) estiment avoir une dépendance forte vis à vis de leur système d’information, et 3/4 considèrent qu’une indisponibilité de 24h et moins de leur Système d’information serait lourde de conséquences.

Pourtant l »édition 2014 du Clusif sur les Pratiques de sécurité en France montrent que :

  • 2/3 des entreprises ne disposent pas de tableau de bord sur la sécurité (alors qu’à 75% elles ont mis en place une politique de sécurité de l’information, autant dire que beaucoup de ces politiques sont théoriques)
  • 2/3 des entreprise indiquent disposer d’un Plan de Continuité d’Activité mais seulement 28% de ces entreprises l’on fait sur la base d’une analyse métier des RTO/RPO (ce qui indique que les entreprises confondent souvent continuité d’activité et haute disponibilité) .
  • enfin seulement 38% des entreprises réalisent des analyses de risques (chiffre qui semble en plus fort discutable, quand on voit qu’un tiers de ces entreprises disent utiliser ISO 27005 comme méthode de gestion des risques …)

Bref comme il est indiqué en synthèse de l’étude du Clusif : le travail continue … laborieusement.

D’après le Gartner,  l’Europe en 2014 est le continent où les entreprises consacrent la part la plus faible de leur budget à la sécurité, 4,3%, contre 5,5% par exemple aux Etats-Unis.

Quelle confiance dans leur sécurité de l’information ?

La même enquête aux USA fait par l’ISSA (organisme américain équivalent au Clusif en France, association regroupant des entreprises et des professionnels autour de la sécurité de l’Information), a montré qu’à peine 20% des entreprises américaines sont bien protégées par rapport à un référentiel minimal de bonnes pratiques (ISO 27001).

Bref, telle est la situation en France, on est confiant en la sécurité de l’information pour son entreprise alors que l’on a pas mis en oeuvre une politique de sécurité et les mécanismes de contrôle associés. Etonnant, non ?

 

Arrivée de méthodes de mesure/contrôle de mise en place de la sécurité de l’Information.

L’arrivée en France de normes internationales et de méthode basées sur des analyses des risques (Mehari, Ebios, …) réels pour l’entreprise risque bien de remettre en cause notre bonne vieille culture des solutions « techno-centrique », c’est à dire de croire, qu’ayant mis un bon anti-virus, un bon pare-feu le problème de la sécurité de l’information est traité.

Mais peut être que les Directions Générales des Entreprises et Organismes ne délégueront plus la responsabilité de la Sécurité de l’Information au seul département informatique, qui, si il a des responsabilités vis à vis des solutions techniques à mettre en œuvre, n’a ni le pouvoir, ni les moyens de mettre en place une culture sécurité et de risk management) :

  • le coût moyen d’une incident de sécurité est de 40.000 €
  • certaines entreprises ont déclaré des incidents de sécurité leur ayant coûté 700.000 €
  • dans 20% des cas, les entreprises mettent plus d’une semaine pour revenir à une situation de fonctionnement normal.

Quels sont les obstacles à la mise en oeuvre d’un management de la sécurité de l’information ?

Le premier obstacle est souvent économique. Mais en fait cela cache d’autres difficultés. La première est de positionner la sécurité de l’information : chantier technologique ou chantier transverse à l’entreprise.

Suivant la réponse des entreprises, les freins à la mise en oeuvre de la sécurité de l’information sont alors différents.

Les budgets de sécurité sont ils bien distribués ?

On voit dans le graphique ci-après, que la distribution des budgets est très déséquilibrée entre technologie et moyens organisationnels. Bruce Schneier, un expert de la sécurité de l’information résume pourtant bien ce dilemne dans son livre Secrets et Mensonges :
« Si vous pensez que la technologie peut résoudre vos problèmes de sécurité, alors vous n’avez rien compris à vos problèmes ni à la technologie »

Seules les grandes entreprises ont pris conscience de l’importance d’impliquer fortement les directions utilisatrices dans l’ensemble de la démarche sécurité.

Calcul du ROI de la sécurité

Moins d’une entreprise sur trois calcule le ROI des mesures de sécurité. Il est vrai que ce n’est guère plus évident pour la sécurité que pour les autres investissements des systèmes d’information.

Pourtant la mise en oeuvre de certains indicateurs permettraient de mieux justifier les investissements de sécurité. Les premiers concernant évidemment la disponibilité des application critiques pour l’entreprise.

COPYRIGHT YSOSECURE © 2002 - 2021