Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Rapport Symantec sur la Gestion des Risques

février 2008 par Symantec

Dans son Rapport sur la gestion des risques informatiques (IT Risk Management Report Volume II) publié aujourd’hui, Symantec Corp. révèle que les entreprises ont de plus en plus conscience de l’importance de la gestion des risques informatiques.

Néanmoins, certains malentendus en matière de gestion des risques persistent et peuvent conduire à des défaillances systèmes et ainsi impacter la continuité des services. Le rapport indique également que les problèmes de process sont à l’origine de 53 % des incidents informatiques, tandis que les départements IT sous-estiment souvent la fréquence des pertes de données. S’appuyant sur l’analyse de plus de 400 enquêtes menées auprès de professionnels IT du monde entier, ce rapport exhaustif identifie quatre idées fausses fréquemment associées aux risques informatiques :

1. La gestion des risques informatiques ne relève que de la sécurité informatique,

2. Les risques informatiques se gèrent par projets,

3. La technologie permet à elle seule de gérer les risques informatiques,

4. La gestion des risques informatiques est déjà une discipline formelle.

Idée reçue n° 1 : Les risques informatiques sont des risques de sécurité

78 % des personnes interrogées considèrent les risques de disponibilité comme « critiques » ou « graves », contre respectivement 70 %, 68 % et 63 % pour les risques de sécurité, de performance et de conformité. Seulement 15 % font encore la distinction entre des risques « élevés » et « faibles ». Ceci indique que les professionnels IT adoptent une vision des risques plus globale et moins centrée sur la sécurité.

Le rapport confirme que les risques de sécurité et de conformité sont pris très au sérieux en raison de leur visibilité et de leur impact : 63 % des personnes interrogées jugent que les pertes de données ont de graves conséquences sur leur activité. Toutefois, ils donnent une importance grandissante aux risques de disponibilité qui, d’après le rapport, peuvent avoir des incidences qui se chiffrent en millions de dollars.

Idée reçue n° 2 : La gestion des risques informatiques est un projet

La gestion des risques doit être permanente au sein des entreprises. Au sujet des incidents pouvant affecter l’entreprise, le rapport révèle que :
· 69 % s’attendent à un incident informatique mineur par mois,
· 63 % s’attendent à une défaillance informatique majeure au moins une fois par an,
· 26 % s’attendent à un incident de non-conformité aux réglementations au moins une fois par an,
· 25 % s’attendent à une perte de données au moins une fois par an.

Certaines entreprises adoptent une approche plus holistique. Cependant, beaucoup semblent ne pas mettre en place certains contrôles fondamentaux de gestion des risques informatiques, comme par exemple la classification et la gestion des actifs. Dans ce domaine, seulement 40 % des personnes interrogées estiment que leur performance est efficace à 75 % ou plus. En outre, seulement 34 % pensent avoir un inventaire à jour de leurs équipements sans fil et mobiles.

Idée reçue n° 3 : La technologie seule permet d’atténuer les risques

D’après Symantec, les problèmes de process sont à l’origine de 53 % des incidents. comparé au rapport publié l’année dernière, notons que :

· le nombre de personnes estimant que leur programme de formation et d’information est efficace à plus de 75 %, est passé de près de 50 % à 43 %
· une très faible amélioration des chiffres concernant le contrôle des actifs et de la classification des inventaires.
· le nombre de personnes jugeant que la gestion du cycle de vie des données est efficace à plus de 75% a diminué de 17% (45% aujourd’hui).
· Le nombre de personnes estimant que leur développement d’applications sécurisées est efficace à plus de 75 %.a progressé de 10 %.

Idée reçue n° 4 : La gestion des risques informatiques est déjà une discipline formelle

Le rapport indique que la gestion des risques est une discipline en constante évolution et non une science exacte, car elle repose sur l’expérience acquise par les personnes et les entreprises dans un environnement technologique et commercial en constante évolution. Cela doit englober : la gestion des risques opérationnels, les contrôles de qualité et de la gouvernance d’entreprise et des technologies d’information. De plus, les spécialistes pourraient bien en venir à considérer la gestion des risques informatiques comme une série de relations et principes fixes, applicables de manière universelle à différents marchés et différentes régions.




Voir les articles précédents

    

Voir les articles suivants