Dépendance aux systèmes d'information
La dernière enquête du Clusif montre que malgré une bonne perception de la dépendance des entreprises à l'égard des systèmes d'information, il reste des points de progrès.
PublicitéOù en sont les entreprises françaises en matière de politiques de sécurité des systèmes d'information ? L'enquête menée par le Club de la sécurité de l'information français auprès de 400 entreprises de plus de 200 salariés, publiée fin juin dernier, traduit une nouvelle fois la dépendance des entreprises à l'égard des systèmes d'information. Elle est même forte pour les trois quarts d'entre elles, c'est-à-dire qu'une indisponibilité de moins de vingt-quatre heures a de graves conséquences sur l'activité. Il y a seulement trois ans, le ratio s'élevait à 55 %. Il est également intéressant d'observer que se font de plus en plus rares les entreprises qui estiment que leur dépendance à l'égard des systèmes d'information est faible (2 % contre 10 % en 2002). On pourrait penser que, face à cette prise de conscience des vulnérabilités potentielles, les dirigeants d'entreprise sont de plus en plus attentifs à la cohérence de leur politique de sécurité. D'énormes progrès ont été réalisés mais, force est de constater que la sécurité des systèmes d'information doit encore gagner en cohérence. Côté progrès, on notera qu'un quart des entreprises consacrent plus de 6 % de leur budget informatique à la sécurité et une sur cinq entre 3 % et 6 %. Ce n'est pas négligeable. Cela dit, il est toujours difficile d'insuffler une vraie culture sécurité. Pour les entreprises de plus de 200 salariés, les freins à la conduite des missions de sécurité relèvent du manque de ressources budgétaires (37 %), du manque de personnel qualifié (25 %), et de contraintes organisationnelles (20 %). Il est manifeste que dans l'entreprise, aujourd'hui confrontée constamment à des objectifs de rentabilité, les projets sécurité n'apportent généralement pas le retour sur investissement requis pour être mis en oeuvre, ni même pour être suffisamment défendus par les responsables informatiques. Jusqu'au jour où la survenance d'un sinistre démontre le coût d'un arrêt du système d'information... En observant les résultats cumulés du sondage sur la proportion des entreprises qui se sont dotées d'une politique de sécurité informatique (56 %), du soutien accordé par leur direction générale (71 %), ainsi que la faible utilisation de normes reconnues (32 %), nous pouvons en déduire qu'il y a encore de la place à l'amélioration, mais que le travail des RSSI ainsi que des associations en SI commence à porter ses fruits. L'un des points noirs concerne la continuité d'activité. Alors que la quasi-totalité des entreprises, tous secteurs d'activité confondus, et quel que soit le nombre de personnes, déclarent une dépendance forte vis-à-vis de l'informatique, plus de 40 % n'ont toujours pas mis en place un processus de gestion de la continuité d'activité. Une explication de l'absence de processus peut être une surestimation de la complexité et du coût de mise en oeuvre d'un plan de continuité. Par ailleurs, si les processus de continuité d'activité mis en place intègrent majoritairement l'aspect informatique (sauvegarde des données, secours informatique), les processus de gestion de crise et de continuité d'activité métier restent à développer dans de très nombreux cas. La mise en oeuvre d'une politique de sécurité informatique constitue une étape importante dans l'application des règles de gouvernance des systèmes d'information. Les analyses de risques réalisées dans les entreprises démontrent que l'application d'une politique de sécurité et le soutien de la direction générale dans sa mise en oeuvre révèlent bien la volonté de se doter d'une culture organisationnelle de système d'information. Heureusement, les effets négatifs des scandales liés à la mauvaise gestion de certaines entreprises et à la divulgation d'informations confidentielles vont pousser les entreprises à mettre en place des règles de gouvernance plus strictes. Reste aux RSSI à bien se positionner pour faire valoir la valeur ajoutée de la sécurité des systèmes d'information en entreprise.
Article rédigé par
Pascal Lointier, Président du Clusif
Président du Clusif (Club de la sécurité des systèmes d'information français). Diplômé de criminalistique, spécialiste de la traçabilité des malveillances informatiques, il est ingénieur sécurité chez ACE Europe et auteur de plusieurs ouvrages sur la sécurité et la guerre de l'information.
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire