Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Etude mondiale PwC sur la sécurité de l’information, la protection des données et leur alignement avec les besoins métiers – 14ème édition

novembre 2011 par PwC

Alors que 61% des entreprises françaises connaissent des incidents de sécurité, leur confiance dans leur niveau de sécurité a diminué de 36% en trois ans selon PwC.

Les attaques que subissent désormais les systèmes d’information des entreprises ont changé de nature par leur origine, leur fréquence, leur ampleur et leur impact. Selon l’étude PwC, 61% des entreprises françaises déclarent avoir subi un incident en 2011. Elles étaient 39% en 2010. L’inquiétude gagne les organisations : le niveau de confiance des entreprises dans leur niveau de sécurité diminue en trois ans de 87% à 55%.

La menace informatique est devenue une menace économique. Les dirigeants, de plus en plus au fait des risques, demandent à leur fonction SI de renforcer la sécurité de leur système d’information.

A partir de l’analyse des entreprises leaders en matière de sécurité de l’information, PwC définit quatre bonnes pratiques primordiales à mettre en place. Les entreprises qui les appliquent déclarent deux fois moins d’incidents de sécurité que les autres entreprises. Or, seules 11% des entreprises françaises mettent en œuvre l’ensemble de ces mesures.

L’enquête met par ailleurs en évidence une zone de risque croissante liée aux tiers, clients ou partenaires, dont les incidents ont quasiment doublé en trois ans.

Les incidents de sécurité se multiplient dans les entreprises et entraînent des pertes financières croissantes

Selon l’étude PwC, le nombre d’organisations ayant connu au moins un incident de sécurité en 2011 atteint 61% en France et dans le monde, soit une progression de 22 points pour les entreprises françaises par rapport à 2010. Les conséquences sont lourdes en termes métiers.

En France :

20% des entreprises ont subi des pertes financières à cause d’incident de sécurité alors qu’elles étaient 15% l’année dernière et 8% il y a 3 ans.

17% citent des vols de propriété intellectuelle (6% en 2008)

13% des atteintes à l’image (6% en 2008)

« La multiplicité d’incidents en matière de sécurité de l’information, et les impacts sur les entreprises et leur écosystème, ne peuvent plus être ignorés. Pour la plupart, les entreprises ont adopté une approche par les risques se concentrant sur les données (plus de 80% des répondants), mais elles sont beaucoup moins nombreuses à avoir mis en place l’ébauche d’une approche permettant d’apporter une confiance sur le long terme sur la capacité de l’entreprise à protéger ses données » constate Philippe Trouchaud, associé PwC en charge de l’offre « Sécurité de l’Information ».

Les quatre éléments clés de la sécurité de l’information analysés par PwC chez les leaders de la sécurité de l’information

PwC a réalisé le profil des entreprises leaders en matière de sécurité de l’information et défini quatre mesures qui permettent aux entreprises de maîtriser leurs risques de sécurité et se protéger des incidents de sécurité.

Les entreprises qui les appliquent toutes subissent deux fois moins d’incidents de sécurité que les autres entreprises. Elles ne sont pourtant que 13% à appliquer l’ensemble de ces mesures au niveau mondial et 11% en France.

En premier lieu, au-delà d’une politique de sécurité, c’est une véritable stratégie de sécurité de l’information qu’il faut définir, une stratégie qui porte sur la protection de l’information, mais aussi sur la façon dont l’entreprise peut et veut exploiter les opportunités des nouvelles technologies et du cyberespace, tout en se protégeant.

Deuxième élément, un canal de communication approprié entre la fonction sécurité de l’information et les dirigeants, pour leur expliquer les enjeux, solliciter leur engagement et valider la stratégie. En aval, un reporting approprié doit permettre aux dirigeants d’avoir une vision globale sur la maîtrise des risques liés à la sécurité de l’information.

Troisième point, une revue au moins annuelle de l’efficacité du dispositif de sécurité, afin de s’assurer que les risques sont couverts.

Enfin, un processus permettant d’identifier les incidents de sécurité qui peuvent survenir, leur causes et leurs conséquences, afin d’adapter si nécessaire le dispositif et de nourrir le reporting aux dirigeants.

Selon l’étude PwC, l’élément le moins mis en œuvre est la revue de l’efficacité du dispositif de sécurité de l’information, que seules 54% des entreprises au niveau mondial et 39% en France réalisent au moins annuellement, un pourcentage qui stagne depuis 3 ans.

Les obstacles portent sur les moyens, sur la vision et le leadership

Même si la part des entreprises où la fonction Sécurité est rattachée à un membre du Top Management augmente depuis plusieurs années, pour atteindre 47% en 2011, la fonction sécurité de l’information n’est pas encore complètement intégrée dans le corps décisionnel des entreprises.

Les dirigeants qui ont répondu à l’enquête sont sévères avec eux-mêmes. Le manque de leadership du top management est cité comme le deuxième obstacle le plus important (25%), juste après le manque d’investissement (27%). Les responsables de la sécurité de l’information quant à eux citent le manque de compréhension et de vision (37%) et la complexité des SI (30%) comme les principaux obstacles à leur démarche de sécurité.

« La prise de conscience des risques de sécurité par le top management est croissante. Pour avoir une meilleure vision sur le niveau de la sécurité des données et des systèmes d’information, la fonction Sécurité de l’Information doit dialoguer étroitement avec le comité de direction », déclare Philippe Trouchaud.

Parmi les nouvelles menaces à intégrer dans les dispositifs des entreprises : les incidents causés par des tiers, clients ou partenaires

Outre les risques liés aux terminaux mobiles, à la mobilité et aux médias sociaux, que les entreprises ont toujours des difficultés à gérer, l’étude PwC met en évidence une zone de risque croissante : les incidents causés par des tiers, qu’ils soient clients ou partenaires. Ils ont quasiment doublé depuis 3 ans, alors que les moyens affectés à la gestion de ces types de risques (inventaire des tiers manipulant des données personnelles, exigence qu’ils respectent la politique de sécurité, et vérification du respect de la politique de sécurité) se dégradent depuis 3 ans.

Alors que les menaces s’élargissent, le niveau de confiance des entreprises dans leur niveau de sécurité diminue

Illustration de ces évolutions, l’enquête montre que seules 55% des entreprises françaises déclarent être totalement ou plutôt confiantes dans leur niveau de sécurité, contre 87% il y a 3 ans.

« Les fonctions Sécurité de l’Information ont le sentiment d’avoir fait ces dernières années des efforts importants pour s’adapter aux évolutions de la menace et des attentes des entreprises, mais la surface d’exposition augmente du fait de l’apparition de nouvelles technologies, de nouveaux usages et de nouveaux modes de travail. Parallèlement, les attaquants sont plus professionnels, et les budgets des entreprises restent sous contrainte. », analyse Vincent Maret, Directeur PwC, spécialiste de la sécurité des systèmes d’information. « Plus que jamais, les fonctions sécurité doivent s’assurer que les nouvelles menaces sont prises en compte, tout en optimisant leur processus et en assurant le niveau de dialogue qui permettra d’apporter la confiance nécessaire au Top Management. »


À propos de l’étude « Global State of Information Security 2011 »

Le « Global State of Information Security 2011 » est une étude mondiale de PwC, du CIO Magazine et du CSO Magazine. C’est la 14ème année consécutive de réalisation de l’enquête par PwC, et la 9ème année avec “CIO magazine” et “CSO magazine”. Plus de 9 600 réponses de PDG, Directeurs Financiers, DSI, RSSI et responsables IT et sécurité, répartis dans 138 pays, et 563 réponses pour la France. Plus de 40 questions relatives à la sécurité de l’information, à la protection des données et à leur alignement avec les besoins métiers.

PwC en France est le centre d’expertise mondial en matière de sécurité de l’information pour le réseau PwC.




Voir les articles précédents

    

Voir les articles suivants