Les dirigeants et les responsables informatiques prennent de plus en plus conscience des risques liés à la sécurité des systèmes d’information et commencent à mettre en œuvre une véritable stratégie en matière.
Une étude PricewaterhouseCoopers/CIO/CSO Magazines avance que les dirigeants et les responsables informatiques mondiaux prennent de plus en plus conscience des risques liés à la sécurité des systèmes d’information (SSI) de leur entreprise. C’est en tout cas ce que déclarent 59% des décideurs mondiaux (57% en 2007), qui affirment avoir mis en œuvre une « stratégie globale de sécurité des systèmes d’information ». Ces progrès, réels, sont issus de la sixième étude mondiale, The Global state of information security 2008, élaborée par PricewaterhouseCoopers et CIO/CSO Magazines. Elle se fonde sur les réponses de plus de 7.000 décideurs informatiques et dirigeants, tous secteurs confondus, dans 119 pays.
Les pays asiatiques, et l’Inde en particulier, rattrapent leur retard sur les Etats-Unis et les pays européens sur la SSI. L’Amérique Latine suit également la même progression. Ainsi, 10% des entreprises sud-américaines et asiatiques prévoient d’augmenter leur budget sécurité au cours des prochains mois, contre 5% des entreprises aux Etats-Unis et 6% en Europe.
Une organisation sur deux déclare vouloir accroître son budget sécurité
Désormais, selon cette étude, 55% des entreprises mondiales possèdent des bases de données chiffrées (45% en 2007) et 63% des logiciels de détection d’intrusion (contre 59% en 2007). De même, les pare-feu sur les postes des utilisateurs sont également en augmentation (67% contre 62% en 2007). Les formations de sensibilisation sont également en forte croissance (54%, soit 12 points de plus qu’en 2007). D’après l’étude, « ce mouvement devrait se poursuivre et s’amplifier, puisque près d’une organisation sur deux (44%) déclare prévoir d’accroître son budget de sécurité dans l’année à venir ». Cette dernière réponse doit cependant être nuancée, car l’étude a été réalisée entre mai et juin 2008, et la crise n’était pas encore passée par là…
Globalement, toutefois cette enquête « montre clairement une prise de conscience large des dirigeants aux questions de SSI. Leurs réponses se traduisent en investissements importants (infrastructures, technologie et outils de plus en plus sophistiqués). L’enjeu est à présent de définir les bonnes pratiques et les processus adaptés pour protéger et sécuriser l’information, et plus seulement les systèmes », explique Philippe Trouchaud, associé de PricewaterhouseCoopers, responsable des activités de conseil en sécurité des systèmes d’information.
Pourtant, tout n’est pas rose, car 41% des entreprises ne disposent pas d’une stratégie de sécurité, et 35% d’entre elles ignorent si elles ont subi un incident de sécurité au cours des 12 derniers mois. Pire, elles ne savent pas déterminer (à 42%) les causes de ces éventuels incidents. La raison ? Elles ne disposent pas d’outils de mesures des risques : 57% d’entre elles ne mesurent pas la conformité opérationnelle aux directives de sécurité, seules 22% possèdent des métriques leur permettant d’évaluer leur niveau de sécurité.