Sécurité : bonnes résolutions des entreprises françaises

Suite aux attaques de DOS et aux virus qui ont mobilisé l'opinion et les médias en ce début d'année, le cas de l'Hexagone est apparu préoccupant concernant l'état de la sécurité des systèmes d'information dans les entreprises. Partant de ce constat, de nombreux cabinets de conseil et fournisseurs spécialisés se sont alors lancés dans une croisade à travers forums locaux et conférences internationales afin d'agir sur la prise de conscience globale.

Tel est le cas d'Arthur Andersen, qui présente aujourd'hui un bilan des actions menées en direction des sociétés du secteur privé en France, à travers les évolutions des budgets internes consacrés aux dépenses de sécurité. Cet aspect représente le troisième volet de la première partie de son enquête "la sécurité des systèmes d'information en l'an 2000" publiée en juin (consulter les volets 1 sur le Single Sign On et 2 sur les PKI). Sur la base de réponses obtenues auprès de 60 à 80 directeurs (DSI) et responsables (RSSI) de la sécurité des systèmes d'information, Arthur Andersen constate le retard français mais note dans le même temps une réelle progression positive des mentalités. La sécurité devient une préoccupation pour 55 % des personnes interrogées, et 25 % la considèrent même comme l'une des priorités.

Ainsi, l'évolution du budget de sécurité des systèmes d'information se traduit par une hausse de plus de 10 % en l'an 2000 des dépenses de la part de 54 % des répondants. 16 % enregistrent une progression de 0 à 10 %, et 28 % un maintien du poste en l'état. Par ailleurs, près de 48 % des personnes interrogées déclarent consacrer moins de 3 % de leur budget informatique global à la sécurité, et 22 % de 3 à 5 %. Selon Arthur Andersen, ce seuil de 3 % correspond en général à la moyenne des entreprises et constitue un indicateur pour permettre aux RSSI de se positionner. En attendant, le cabinet de conseil note que, le plus souvent, ces derniers ne tiennent pas les cordons de la bourse. Ce sont en général les DSI qui contrôlent le budget, au détriment de la nécessaire indépendance des RSSI en rapport avec les besoins réels.

Mais la progression des mentalités apparaît encore plus nettement dans l'évolution des processus de décision liés à la politique de sécurité. A présent, la sécurité des systèmes d'information est vécue comme une problématique globale de l'entreprise, et non uniquement comme celle des techniciens en charge de l'installation des pare-feux. Ainsi, 61 % des responsables informatiques en charge de la sécurité rendent compte auprès de la direction générale afin d'obtenir la validation des budgets préconisés. La DSI possèderait le dernier mot uniquement dans 33 % des cas. L'élaboration d'une politique globale apparaît également de plus en plus courante, puisque 49 % des personnes interrogées évaluent les dépenses en terme de sécurité à la fois logique, physique et organisationnelle.

Sans surprise de la part du cabinet de conseil, ce sont bien les actions de sensibilisation entreprises à l'issue des récents événements qui auraient le plus fait progresser, pour 35 % des répondants, le budget de sécurité des SI. L'ouverture du système d'information à Internet arrive en seconde position (29 %), suivie par son évolution proprement dite (25 %). Seules 8 % des entreprises avouent avoir pris conscience du fait d'attaques qu'elles ont subies, et 2 % du fait d'attaques subies par d'autres. Mais que l'on ne s'y trompe pas : beaucoup de ces décideurs en matière de sécurité informatique, qui ont été sondés lors d'une action de sensibilisation, ne souhaitent pas communiquer sur leurs déboires. [François Morel, JDNet]