Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Etude de l’IT Policy Compliance Group Symantec : Les principales mesures pour protéger les données confidentielles

janvier 2008 par IT Policy Compliance Group Symantec

Le dernier rapport d’étude L’IT Policy Compliance Group Symantec baptisé « Core Competencies for Protecting Sensitive Data » fait la synthèse de réponses fournies par plus de 450 entreprises du monde entier. Il apparaît qu’une seule entreprise sur 10 est en mesure de protéger correctement ses informations confidentielles.

Le rapport analyse les différences entre les entreprises leaders dans le domaine de la protection des données et celles qui sont les plus en retard. Il donne ainsi des indications adaptées sur les meilleures pratiques susceptibles de renforcer la protection des informations, la conformité et l’avantage concurrentiel.

L’une des conclusions les plus frappantes de cette étude concerne le lien existant entre la protection des données confidentielles et la conformité réglementaire : les entreprises les plus performantes en matière de protection sont aussi celles qui réalisent le plus régulièrement des audits de conformité. 96 % des entreprises qui subissent le moins de pertes de données confidentielles sont également celles qui ont le moins d’éléments non conformes à corriger pour passer un audit réglementaire. À l’inverse, 64 % des entreprises qui subissent le plus de pertes sont également celles qui sont le moins conformes pour passer un audit.

Les aptitudes ou compétences clés, référencées par le rapport, sont en général liées à la structure organisationnelle, la stratégie, la proximité avec les clients et l’excellence opérationnelle. On comprend combien il est important de définir moins de règles et d’objectifs de contrôle, de procéder à des évaluations plus fréquentes et de profiter de la gestion des changements des systèmes d’informations pour éviter des utilisations ou des changements non autorisés.

• Les entreprises leaders définissent en moyenne 30 objectifs de contrôle et réalisent des évaluations de conduite tous les 19 jours. Elles subissent au maximum 2 pertes et vols de données par an, ainsi que 2 défaillances, ou moins, en matière de conformité.
• Les entreprises « retardataires » définissent en moyenne 82 objectifs de contrôle et réalisent des évaluations de conduite tous les 230 jours. Elles subissent au moins 13 pertes et vols de données par an, ainsi que 22 défaillances, ou plus, en matière de conformité. Plusieurs événements récents ont montré que la perte de données pouvait avoir des conséquences très graves sur la réputation d’une entreprise et sur ses objectifs stratégiques. Il est donc impératif de mettre en place des contrôles des risques pour éviter les pertes et les vols d’informations, et de vérifier régulièrement ces contrôles, Les entreprises les plus performantes s’efforcent de sélectionner les contrôles les plus pertinents plutôt que de les multiplier. Les résultats de l’enquête montrent clairement que la méthode la plus pratique consiste à sélectionner, mettre en œuvre et communiquer ces contrôles clés, puis à en vérifier régulièrement l’efficacité. Elle permet d’obtenir de meilleurs résultats que l’ajout constant d’une multitude de contrôles non coordonnés et isolés.

L’étude révèle également que la qualité des contrôles est moins importante que leur pertinence vis-à-vis d’un risque donné, ou que la fréquence de leur évaluation. Les entreprises qui ne mettent pas en place des contrôles appropriés et qui n’évaluent pas assez souvent l’efficacité des contrôles procéduraux et techniques sont davantage exposées au risque de pertes et de vols de données.

« Compte tenu de la multiplication rapide des exigences de conformité et des risques liés à la réputation des entreprises, la protection des informations concernant les clients et les employés, de même que la propriété intellectuelle, n’a jamais eu autant d’importance qu’aujourd’hui. Pourtant des failles de sécurité et des usurpations d’identité continuent de se produire. Même si les contrôles ne peuvent pas garantir une protection totale, les entreprises doivent prendre les mesures qui conviennent en matière de sécurité des informations et de gestion des risques. Des programmes éprouvés conçus pour maintenir et renforcer la sécurité et tenir à l’abri les données confidentielles se sont révélés extrêmement payants en protégeant du vol et des pertes des informations de grande valeur. Les dirigeants des entreprises ne peuvent plus s’asseoir et attendre que survienne une crise ou un incident pour passer à l’action : aujourd’hui, tout le monde doit être proactif. » selon un expert de la sécurité chez Symantec.

Les meilleures pratiques des leaders

Les entreprises qui perdent le moins de données sont celles qui obtiennent les meilleurs résultats lors des audits réglementaires. Elles disposent d’un jeu d’attitudes ou comportements clés qui, non seulement réduisent au minimum les pertes de données et améliorent la conformité, mais qui limitent également l’impact financier des éventuels incidents (voir le précédent rapport intitulé « Why Compliance Pays Reputations and Revenues at Risk »), permettant ainsi de maintenir l’avantage concurrentiel.

Structure organisationnelle et stratégie
- Mettre en place un programme de conformité de premier ordre,
- Documenter et maintenir à jour des règles, des normes et des procédures,
- Réorganiser les contrôles internes, la sécurité informatique et les fonctions de gestion des risques afin de s’appuyer sur la proximité client (la « customer intimacy ») et l’excellence opérationnelle, Proximité avec le client
- Définir les rôles et les responsabilités des propriétaires des règles,
- Identifier et gérer les risques commerciaux et financiers,
- Fournir des formations aux employés et gérer les exceptions aux règles.

- Étendre le périmètre des audits internes à la plupart des fonctions commerciales,
- Définir des objectifs de contrôle pertinents en fonction du risque,
- Réduire le nombre des objectifs de contrôle,
- Mettre en place des contrôles mesurables,
- Réaliser des autoévaluations des contrôles procéduraux,
- Augmenter la fréquence d’évaluation des contrôles techniques,
- Mettre en œuvre un programme complet de gestion des changements des systèmes d’information,
- Utiliser la gestion des changements des systèmes d’information pour prévenir les utilisations ou les changements non autorisés.


À propos de l’étude

Les sujets étudiés par l’IT Policy Compliance Group font partie d’un calendrier d’études établi d’après des informations transmises par les membres sponsors et membres généraux, et à partir des conclusions compilées d’études récentes. Les bancs d’essai les plus récents sur lesquels s’appuie le présent rapport ont été réalisés avec la participation de 454 entreprises, entre février et mai 2007. La marge d’erreur de cette étude est de plus ou moins 4,5 %. La majorité des organisations (90 %) se trouvent aux États-Unis. Les 10 % restants sont répartis dans les pays suivants : Australie, Canada, France, Allemagne, Irlande, Japon, Espagne et Royaume-Uni, entre autres.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants