« Moins d'un tiers des entreprises dans le monde disposent d'un plan de gestion des risques informatiques à même de les prémunir contre les dangers liés à l'utilisation des nouvelles technologies » constate le cabinet Ernst & Young dans sa treizième étude mondiale sur la sécurité informatique, « Global Information Security Survey ». Les principaux problèmes sont liés à la croissance de l'externalisation, notamment via l'informatique en nuage (cloud computing) comme le très courant SaaS, mais aussi par les pratiques collaboratives comme les réseaux sociaux et le web 2.0. Michel Richard, associé chez Ernst & Young responsable du département sécurité des SI, attire également l'attention sur la mobilité croissante des équipes et l'insécurité inhérente aux outils et méthodes de cette mobilité (smartphone, ordinateurs portables, tablettes, connexion au SI par le web, etc.). Pour lui, il ne s'agit pas de remettre en cause l'évolution des pratiques métiers mais plutôt d'être conscient des risques et de prendre les mesures nécessaires pour s'en prémunir.
Précisons que le cabinet ne s'intéresse pas principalement à la sécurité informatique au sens technique du mot mais plus à la sécurité des données transitant dans un SI.
La sécurité parent pauvre des budgets
Les dépenses en sécurité n'augmentent en proportion du budget IT que dans la moitié des cas. Dans 6% des cas, la proportion des budgets informatiques consacrée à la sécurité est même en baisse, le solde étant constitué par des organisations aux dépenses plus ou moins stables en sécurité.
Les priorités des entreprises concernent avant tout la continuité d'activité (28% des répondants la placent en première priorité) et la « compliance » (16%), c'est à dire la conformité avec les règles tant légales que professionnelles (Bâle II, etc.). Viennent ensuite la prévention des pertes de données, la gestion des risques sur la sécurité des données, les problématiques d'identification et de sécurité d'accès...
Les efforts particuliers de cette année ne recoupent pas nécessairement les besoins immédiats. En effet, une priorité peut être déjà largement traitée et ne pas nécessiter de nouveaux investissements. Malgré tout, on constate que dans ces efforts financiers la continuité d'activité mais au même niveau que la prévention des fuites d'informations (50% des répondants vont dépenser davantage que l'année passée). Les problématiques d'identification et de sécurité d'accès sont juste derrière (48%) et suivies de la sécurisation des clouds.
[[page]]
La perte directe d'efficacité de l'organisation liée à un problème de sécurité est loin d'être la préoccupation majeure des répondants (38% sont principalement préoccupés par la perte de chiffre d'affaires directement induite). Dans 67% des réponses, c'est en effet la perte de crédibilité de l'entreprise et de ses marques qui est jugée comme la conséquence la plus dramatique d'un incident de sécurité, suivi par la perte de confiance des actionnaires (42%) et des clients (41%).
Les fuites de données dans les nuages sont redoutées
Les risques évoluent. Pour 52% des répondants, le danger qui s'accroit le plus concerne les pertes de données, loin devant la perte de visibilité sur la confidentialité et la sécurité des données (39%) et les accès non-autorisés à celles-ci (34%). Seulement 30% des organisations disposent d'un plan de sécurité informatique qui tient effectivement compte de l'évolution des risques.
Or la nature même des SI évolue. Si 55% des répondants n'envisagent pas de recourir au cloud dans les 12 prochains mois, 23% y recourent déjà et 22% travaillent sur le sujet (soit déjà planifié, soit en cours d'évaluation). Les craintes de sécurité expliquent sans doute que le cloud privé reste privilégié (54% des répondants) contre 29% pour le « vrai » cloud public et 45% qui entendent mixer les deux ou recourir à des solutions hybrides. Le SaaS reste le mode d'exploitation le plus populaire (77% des répondants), devant l'IaaS (45%) et le PaaS (34%).
Une vision moyen-terme plutôt myope
Au-delà du SI au sens strict, les nouveaux usages sont des sources d'inquiétudes mal maîtrisées, qu'il s'agisse du cloud, des réseaux sociaux ou de l'introduction des outils personnels comme les smartphones. Seules 28% des entreprises estiment disposer d'une politique de sécurité adaptée et 34% savoir ce qu'il faudrait faire, 35% n'en n'ayant pas vraiment une vision et désirant y réfléchir.
Les répondants sont curieusement fidèles aux référentiels de bonnes pratiques : 52% déclarent pratiquer ITIL, 47% ISO/IEC 27001:2005, 43% Cobit, 35% ISO/IEC 27002:2005... Malgré tout, seules 60% des organisations disposent d'un plan stratégique formel sur l'évolution de leur politique de sécurité du SI et des données dans les trois ans à venir.