Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Dimension Data/IDC : Stratégie de sécurité informatique, les entreprises revoient leurs budgets à la hausse

octobre 2009 par Dimension Data - IDC

En 2009, à la demande de Dimension Data, IDC a mené une étude préliminaire portant sur la sécurité informatique. Cette enquête révèle que les entreprises commencent à comprendre à quel point il est important d’aborder la sécurité informatique sous un angle proactif.

Pourtant, entre 2008 et 2009, à peine 19 % des entreprises ont revu leur budget informatique global à la hausse, et 41 % ont réduit leurs dépenses informatiques, essentiellement en raison de la récession économique. Chez 59 % des entreprises interrogées, les investissements prévus pour la sécurité informatique représentaient 10 % ou plus du budget informatique global.

« Les entreprises que nous avons interrogées – soit 407 sociétés implantées dans 18 pays d’Europe occidentale, d’Amérique, du Moyen-Orient, d’Afrique et d’Asie-Pacifique – affirment faire évoluer leurs investissement de solutions spécifiques vers des solutions plus génériques, répondant à leur besoin fonctionnel. Ainsi, 59 % d’entre elles envisagent d’investir dans les audits de sécurité informatique, 57 % dans la prévention contre la perte de données (DLP) et 52 % dans le conseil », déclare Neil Campbell, directeur international des solutions de sécurité chez Dimension Data.

« Les résultats de l’étude indiquent que les entreprises, quelle que soit leur taille, sont de plus en plus conscientes qu’il ne suffit pas de réagir aux incidents de sécurité. Le fait d’acquérir des solutions autonomes pour régler les problèmes au fur et à mesure qu’ils surviennent, sans s’interroger sur les modalités de leur intégration au reste du système informatique, est une stratégie coûteuse et peu efficace. Mieux vaut planifier une stratégie intégrée. »

« Les entreprises réalisent également que chacune de leurs activités fait appel à l’informatique. Si leurs ressources informatiques ne sont pas sécurisées, elles s’exposent à des risques majeurs, et c’est la raison pour laquelle elles s’adressent aujourd’hui à des experts de la gouvernance et de la gestion du risque pour déployer des systèmes de sécurité informatique de bout en bout. »

« Aujourd’hui, la sécurité informatique est arrivée à un stade critique », explique Neil Campbell. « Les données doivent être au cœur des stratégies de sécurité, car après ses collaborateurs, les données constituent l’atout le plus précieux d’une entreprise. Protéger des données n’est pas aussi simple que de protéger un réseau ou un système : c’est une approche qui implique un changement de logique autant qu’un changement technologique. »

La plupart des solutions de sécurité se focalisent sur la protection des périmètres (pare-feux, réseaux privés virtuels, etc.) et des ressources (ordinateurs portables, serveurs). Ces solutions font partie intégrante d’une stratégie de sécurité de bout en bout. Toutefois, il faut bien comprendre qu’elles protègent l’infrastructure qui contient et gère les informations – et non les informations elles-mêmes. Autre risque des environnements de sécurité centrés sur la protection des périmètres : une fois que les données quittent les ressources ou les périmètres protégés, elles cessent souvent d’être sécurisées.

Selon Neil Campbell, les entreprises doivent désormais envisager la sécurité informatique sous l’angle de la GRC (approche associant la gouvernance, la gestion du risque et celle de la conformité) et de la DLP (prévention contre la perte de données). Il faut noter que même si la DLP a recours à diverses technologies pour protéger les données d’une entreprise, elle ne constitue pas un enjeu technique, mais plutôt un enjeu métier.

Elle donne aux entreprises les moyens de définir et d’appliquer une stratégie de sécurité efficace sur le flux d’informations, et donc de garder le contrôle sur des données cruciales ayant trait aux projets, aux indicateurs financiers et au code source, mais aussi de prévenir les infractions accidentelles à la conformité et à la confidentialité tout en permettant à l’utilisateur d’accéder au système à l’aide d’ordinateurs portables ou d’autres périphériques mobiles.

La DLP englobe les données en mouvement (circulant entre les réseaux, les utilisateurs, les machines), les données en cours d’utilisation, les données « au repos » (stockées ou archivées) – que ces données se situent ou non au sein du réseau de l’entreprise.

« La DLP n’offre pas une simple solution “tout-en-un” », indique Éric Domage, responsable du programme d’études européen d’IDC sur les produits et stratégies de sécurité. « Une stratégie de DLP efficace doit être adaptée aux besoins spécifiques de l’entreprise et s’appuyer sur des exercices détaillés d’évaluation du risque. Ces exercices doivent prendre en compte tous les types de flux de données (en circulation, en cours d’utilisation ou au repos) pour identifier et éliminer tous les vecteurs de perte de données, et enfin créer une chaîne inviolable de liens de sécurité. »

« Nos recherches démontrent, par exemple, qu’un temps d’arrêt d’une journée provoqué par une faille de sécurité aurait un impact supérieur sur un fabricant de produits manufacturés que sur une institution financière », déclare Neil Campbell. « Toutefois, en termes d’image, c’est l’institution financière qui pâtirait le plus d’une faille affectant les données personnelles et confidentielles. Avant d’acquérir des systèmes de protection de la sécurité, il est crucial que les entreprises déterminent au préalable le type de risque auquel elles s’exposent en cas de perte de données ou de toute autre faille de sécurité. La nature et la vraisemblance de ce risque définissent ensuite l’environnement de contrôle. »


À propos de l’enquête sur la sécurité commandée par Dimension Data

Commandée par Dimension Data au cabinet IDC, l’enquête sur l’état de la sécurité informatique a été réalisée auprès des représentants de 407 sociétés employant plus de 500 salariés et implantées dans 18 pays d’Europe occidentale, d’Amérique, du Moyen-Orient, d’Afrique et d’Asie-Pacifique.




Voir les articles précédents

    

Voir les articles suivants