Quarante cinq pour cent des dirigeants et responsables de la sécurité constatent une augmentation des risques. La sécurité est certes désormais partie intégrante de la stratégie des entreprises, mais elle n’échappe pas aux contraintes budgétaires. Dans un contexte de sortie de crise, la fonction Sécurité se doit de poursuivre sa mutation pour aider les métiers de l’entreprise à se développer.

Des entreprises qui paraissent désarmées face aux risques liés aux nouvelles technologies

Les entreprises semblent avoir des difficultés à sortir des schémas traditionnels pour maîtriser les risques liés aux nouvelles technologies, réseaux sociaux, objets nomades et Cloud Computing. Seules 40% des entreprises (29% en France) ont mis en place des mécanismes de sécurité pouvant traiter les risques liés aux réseaux sociaux, blogs et Wiki et autres nouveaux médias Internet accessibles depuis les entreprises. Seules 23% (12% en France) ont définis une politique à ce sujet.

« Par rapport à ces risques portant notamment sur la divulgation d’information sensibles et l’atteinte à l’image de marque, la proportion des entreprises ayant mis en place des mesures de sécurité n’a pas augmenté depuis l’année dernière et diminue même pour la France. Certaines entreprises déploient notamment des outils sans définir préalablement des politiques de sécurité adaptées » indique Philippe Trouchaud, associé PwC Consulting, responsable de la Sécurité de l’Information.

« L’arrivée en force de ces nouvelles technologies dans les entreprises impose aux responsables de la sécurité de l’information de sortir des schémas IT traditionnels. La sécurité ne doit pas être dans un rôle d’opposant systématique, mais doit se placer en accompagnement pour le déploiement de ces nouvelles technologies, afin de permettre aux entreprises de concilier sécurité et innovation. Cela impose d’aller au-delà des aspects purement techniques, et de prendre également en compte le recueil des besoins, les politiques d’usage et de sécurité, la formation, la communication ainsi que des dispositifs de contrôle a posteriori », souligne Philippe Trouchaud.

Des impacts liés aux incidents de sécurité en forte augmentation

L’analyse des chiffres depuis 2007 montre que les pertes financières, vols de propriétés intellectuelles ou compromissions de l’image de marque suite à des incidents ont doublé ou triplé sur les 4 dernières années. En France notamment, les pertes financières ont doublé depuis l’année dernière.

« Les entreprises disposent dorénavant de données plus fiables sur leurs incidents de sécurité, ce qui peut expliquer les progressions croissantes des mesures d’impacts. Mais au-delà, ces chiffres indiquent que les risques liés à la sécurité de l’information sont plus que jamais présents. Des incidents rendus publics cette année montrent que la menace se professionnalise. Les attaquants ont aujourd’hui des motivations relevant plus de l’intelligence économique, de l’espionnage industriel, d’actions politiques ou de démarches crapuleuses, que d’une volonté de s’amuser ou se faire remarquer, comme cela a pu être le cas il y a quelques années » indique Vincent Maret, Directeur chez PwC.

Budgets : entre augmentation et contrainte alors que les risques et incidents augmentent

Alors que 45% des entreprises interviewées (43% en 2009) constatent une augmentation des risques liés à la sécurité de l’information et que les impacts métiers liés aux incidents progressent, près d’une entreprise sur deux a dû restreindre ses investissements et différer des projets sécurité.

Les dirigeants avaient su, certes, ne pas sacrifier les budgets sécurité en 2009, une tendance confirmée cette année, avec 52% des entreprises prévoyant d’augmenter leur budget sécurité. Toutefois, cette position ne signifie pas que les responsables sécurité obtiennent tous les budgets qu’ils veulent pour couvrir les risques existants et les nouveaux risques.

« Les contraintes budgétaires obligent les responsables de la sécurité à faire des choix, parfois au détriment de leurs capacités à gérer certains risques. On constate une augmentation du nombre d’entreprises qui envisagent d’attribuer des missions de sécurité à des équipes non spécialisées ou diminuer le nombre de ressources dédiées à la sécurité » indique Vincent Maret.

« L’enquête montre que la fonction sécurité de l’information est cette année dans une situation tendue, entre maturation et régression, entre prudence et optimisme par rapport à l’économie mondiale, entre chasse aux dépenses et protection des métiers. Dans un monde de plus en plus collaboratif, où les systèmes d’information ne sont plus cloisonnés mais tendent à être partagés avec les clients, partenaires et fournisseurs, la sécurité de l’information doit conforter son rôle de partenaire permettant aux métiers de maitriser leurs risques liés à la sécurité de l’information, au-delà de la sécurité de l’informatique. Mais elle doit aussi se positionner de manière à faciliter le travail des entreprises, les aider à innover et à se développer ». indique Philippe Trouchaud. « Il est frappant que les besoins client soient le seul facteur de dépenses en augmentation au cours des 4 dernières années, là ou les facteurs traditionnels comme la continuité ou la réglementation sont en décroissance. Comme si les responsables de la sécurité pressentaient que cet axe de développement constitue l’avenir ».