Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

RSA et Datamonitor : La gestion du risque demeure une priorité, mais...

octobre 2007 par RSA, la division sécurtié d’EMC et Datamonitor

RSA, la Division sécurité d’EMC, a dévoilé les résultats d’une enquête sur la gestion des risques informationnels menée par Datamonitor auprès d’établissements européens de services financiers révélant que les banques sont conscientes de la nécessité de gérer les informations à un niveau stratégique – 75 % des sondés comprenant les avantages d’administrer l’intégralité du cycle de vie des informations. Cependant, en pratique, il existe toujours une certaine confusion sur la meilleure façon de gérer les informations et de minimiser les risques auxquels elles sont exposées.

L’échantillon interrogé était composé de décideurs informatiques seniors, de responsables de la gestion des risques ou de la conformité ainsi que de CEO, COO et CIO de sociétés de services financiers implantées au Royaume-Uni, en Espagne, en Italie, en France, en Allemagne et au Benelux. L’objectif de cette étude était d’obtenir une vision détaillée de la façon dont les établissements bancaires gèrent les risques pesant sur les informations dans un contexte où, chaque semaine, de nouvelles atteintes à leur intégrité sont révélées – et où les standards de sécurité conditionnent grandement la fidélisation de la clientèle et la réputation des établissements. Cette étude révèle que la gestion des risques informationnels occupe une position élevée dans les priorités des décideurs qui, pour 67 % d’entre eux, doit faire l’objet d’une approche globale d’entreprise. Néanmoins, les résultats démontrent également que les progrès réalisés sont plutôt lents – puisque seulement 32 % des sondés ont déjà mené à bien la première phase consistant à supprimer les « silos » informationnels pour adopter une approche globale de la sécurité.

Une approche globale est impérative

Pour les répondants, les barrières organisationnelles internes restent l’obstacle majeur pour gérer les risques pesant sur les informations – qui ne sont généralement pas considérés dans le cadre d’une stratégie globale et cohérente (la moitié des répondants reconnaissant que la conformité avec les exigences réglementaires est traitée au cas par cas et non dans le cadre d’une approche stratégique).

Cette approche fragmentaire va de pair avec une vision plutôt étroite de la sécurité des informations – et de la façon dont elle peut être obtenue. Seulement 19 % des décideurs interrogés reconnaissent que la sécurisation du périmètre n’est pas suffisamment efficace pour protéger les informations bancaires. Alors que presque la moitié des répondants (47 %) se focalise sur la sécurisation des informations plutôt que du périmètre, seulement 43 % comprennent la nécessité d’étendre la sécurisation au-delà des frontières de leurs propres systèmes (par exemple au niveau des partenaires, consultants ou sous-traitants) révélant une nette distorsion entre la réalité et la vision stratégique.

Andrew Moloney, Directeur des services financiers pour la région EMEA de RSA, ajoute : « Les établissements interrogés sont en règle générale persuadés qu’ils savent parfaitement de quelles informations ils disposent ; où elles se trouvent ; comment elles sont stockées et de quelle façon on y accède. Cependant, leur approche par silos ne leur permet pas de comprendre pleinement les risques auxquels elles sont exposées tout au long de leur cycle de vie. Les informations sont en effet de plus en plus mobiles et "polymorphes" (e-mails, pièces jointes, bases de données, etc.) de sorte qu’une approche basée sur la notion de périmètre de sécurité n’est plus adaptée pour contrôler les risques associés. Plus spécifiquement, pour les établissements financiers dont les activités dépendent de la sécurisation de flux électroniques, l’administration et la sécurité ne peuvent plus être de la seule responsabilité du département informatique – et doivent également devenir des enjeux métier à part entière. Les établissements financiers ne doivent plus considérer isolément les risques informationnels mais commencer à les gérer dans le cadre d’une approche globale et consolidée au niveau de toute l’entreprise. Les informations – et la façon dont elles sont administrées – ont en effet la potentialité de devenir un vecteur clé de différentiation pour les établissements financiers. »

Martha Bennett, Directrice de recherche pour les services financiers de Datamonitor, ajoute : « La sécurité des informations obéit aux mêmes principes que la sécurité physique : quel que soit le niveau de sophistication des alarmes, un voleur suffisamment "motivé" trouvera toujours un moyen de les contourner… Une approche fédératrice de la sécurité des informations constitue une robuste ligne de défense mais les résultats de cette étude suggèrent que les établissements bancaires font toujours preuve d’un optimisme excessif dans ce domaine. En effet, il est aujourd’hui crucial qu’ils s’attaquent aux processus et autres silos organisationnels qui les empêchent encore de maîtriser les risques de sécurité pesant sur les informations et qu’ils adoptent une approche vraiment globale, de niveau entreprise. »

Andrew Moloney poursuit : « Les établissements financiers doivent adopter une approche stratégique de la gestion des risques informationnels pour faire de leurs bases de données une source de création de valeur et non un "passif potentiel". En effet, les risques de perte, de vol ou d’utilisation frauduleuse des informations bancaires mettent en péril la réputation et l’image de marque des établissements qui les détiennent. Seule l’adoption d’une approche globale de la sécurité et des risques informationnels permet de réaliser les objectifs de marché stratégiques, de maintenir la focalisation sur les clients et le développement commercial et de construire un climat de confiance favorable au développement des affaires. »

Pour consulter l’intégralité de cette étude :

http://www.rp-net.com/online/filelink/104/Datamonitor-RSA%20white%20paper_Final.pdf


À propos de l’étude sur la gestion des risques informationnels de RSA

Cette étude commanditée par RSA a été menée en octobre 2007 par le cabinet Datamonitor auprès de Directeurs informatiques (CIO), de Responsables de la sécurité des systèmes d’information, de décideurs informatiques seniors et de COO au Royaume-Uni, en Espagne, en Italie, en Allemagne, en France et au Benelux. Parmi les établissements sondés figurent ceux dont les actifs sont situés entre 10 et plus de 250 milliards de dollars.

À propos de Datamonitor

Datamonitor est une société de fourniture de services d’information spécialisée dans l’analyse des tendances industrielles. Elle assiste plus de 5 000 entreprises leaders dans le monde à résoudre leurs enjeux stratégiques essentiels. À travers ses bases de données propriétaires et son expertise exclusive, Datamonitor fournit à ses clients des analyses avancées et objectives et des prévisions approfondies sur six secteurs industriels : Automobile, Grande consommation, Énergie, Services financiers, Santé et Hautes technologies. Le siège social de Datamonitor est situé à Londres avec des implantations à New York, Francfort, Hong Kong, Shanghai, Sydney et Tokyo.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants