En 2140, 80% des entreprises françaises (de plus de 200 personnes) estiment avoir une dépendance forte vis à vis de leur système d’information, et 3/4 considèrent qu’une indisponibilité de 24h et moins de leur Système d’information serait lourde de conséquences.
Pourtant l »édition 2014 du Clusif sur les Pratiques de sécurité en France montrent que :
Bref comme il est indiqué en synthèse de l’étude du Clusif : le travail continue … laborieusement.
D’après le Gartner, l’Europe en 2014 est le continent où les entreprises consacrent la part la plus faible de leur budget à la sécurité, 4,3%, contre 5,5% par exemple aux Etats-Unis.
La même enquête aux USA fait par l’ISSA (organisme américain équivalent au Clusif en France, association regroupant des entreprises et des professionnels autour de la sécurité de l’Information), a montré qu’à peine 20% des entreprises américaines sont bien protégées par rapport à un référentiel minimal de bonnes pratiques (ISO 27001).
Bref, telle est la situation en France, on est confiant en la sécurité de l’information pour son entreprise alors que l’on a pas mis en oeuvre une politique de sécurité et les mécanismes de contrôle associés. Etonnant, non ?
L’arrivée en France de normes internationales et de méthode basées sur des analyses des risques (Mehari, Ebios, …) réels pour l’entreprise risque bien de remettre en cause notre bonne vieille culture des solutions « techno-centrique », c’est à dire de croire, qu’ayant mis un bon anti-virus, un bon pare-feu le problème de la sécurité de l’information est traité.
Mais peut être que les Directions Générales des Entreprises et Organismes ne délégueront plus la responsabilité de la Sécurité de l’Information au seul département informatique, qui, si il a des responsabilités vis à vis des solutions techniques à mettre en œuvre, n’a ni le pouvoir, ni les moyens de mettre en place une culture sécurité et de risk management) :
Le premier obstacle est souvent économique. Mais en fait cela cache d’autres difficultés. La première est de positionner la sécurité de l’information : chantier technologique ou chantier transverse à l’entreprise.
Suivant la réponse des entreprises, les freins à la mise en oeuvre de la sécurité de l’information sont alors différents.
On voit dans le graphique ci-après, que la distribution des budgets est très déséquilibrée entre technologie et moyens organisationnels. Bruce Schneier, un expert de la sécurité de l’information résume pourtant bien ce dilemne dans son livre Secrets et Mensonges :
« Si vous pensez que la technologie peut résoudre vos problèmes de sécurité, alors vous n’avez rien compris à vos problèmes ni à la technologie »
Seules les grandes entreprises ont pris conscience de l’importance d’impliquer fortement les directions utilisatrices dans l’ensemble de la démarche sécurité.
Moins d’une entreprise sur trois calcule le ROI des mesures de sécurité. Il est vrai que ce n’est guère plus évident pour la sécurité que pour les autres investissements des systèmes d’information.
Pourtant la mise en oeuvre de certains indicateurs permettraient de mieux justifier les investissements de sécurité. Les premiers concernant évidemment la disponibilité des application critiques pour l’entreprise.