07/11/2000
Sécurité
: bonnes résolutions des entreprises françaises
Suite
aux attaques de DOS et aux virus qui ont mobilisé l'opinion
et les médias en ce début d'année, le
cas de l'Hexagone est apparu préoccupant concernant
l'état de la sécurité des systèmes
d'information dans les entreprises. Partant de ce constat,
de nombreux cabinets de conseil et fournisseurs spécialisés
se sont alors lancés dans une croisade à travers
forums locaux et conférences internationales afin d'agir
sur la prise de conscience globale.
Tel est le cas
d'Arthur
Andersen, qui présente aujourd'hui un bilan des
actions menées en direction des sociétés
du secteur privé en France, à travers les évolutions
des budgets internes consacrés aux dépenses
de sécurité. Cet aspect représente le
troisième volet de la première partie de son
enquête "la sécurité des systèmes
d'information en l'an 2000" publiée en juin (consulter
les volets 1 sur
le Single Sign On et 2 sur
les PKI). Sur la base de réponses obtenues auprès
de 60 à 80 directeurs (DSI) et responsables
(RSSI) de la sécurité des systèmes d'information,
Arthur Andersen constate le retard français mais note
dans le même temps une réelle progression positive
des mentalités. La sécurité devient une
préoccupation pour 55 % des personnes interrogées,
et 25 % la considèrent même comme l'une
des priorités.
Ainsi, l'évolution du budget de sécurité
des systèmes d'information se traduit par une hausse
de plus de 10 % en l'an 2000 des dépenses de la
part de 54 % des répondants. 16 % enregistrent
une progression de 0 à 10 %, et 28 %
un maintien du poste en l'état. Par ailleurs, près
de 48 % des personnes interrogées déclarent
consacrer moins de 3 % de leur budget informatique global
à la sécurité, et 22 % de 3 à
5 %. Selon Arthur Andersen, ce seuil de 3 % correspond
en général à la moyenne des entreprises
et constitue un indicateur pour permettre aux RSSI de se positionner.
En attendant, le cabinet de conseil note que, le plus souvent,
ces derniers ne tiennent pas les cordons de la bourse. Ce
sont en général les DSI qui contrôlent
le budget, au détriment de la nécessaire indépendance
des RSSI en rapport avec les besoins réels.
Mais la progression des mentalités apparaît encore
plus nettement dans l'évolution des processus de décision
liés à la politique de sécurité.
A présent, la sécurité des systèmes
d'information est vécue comme une problématique
globale de l'entreprise, et non uniquement comme celle des
techniciens en charge de l'installation des pare-feux. Ainsi,
61 % des responsables informatiques en charge de la sécurité
rendent compte auprès de la direction générale
afin d'obtenir la validation des budgets préconisés.
La DSI possèderait le dernier mot uniquement dans 33 %
des cas. L'élaboration d'une politique globale apparaît
également de plus en plus courante, puisque 49 %
des personnes interrogées évaluent les dépenses
en terme de sécurité à la fois logique,
physique et organisationnelle.
Sans surprise de la part du cabinet de conseil, ce sont bien
les actions de sensibilisation entreprises à l'issue
des récents événements qui auraient le
plus fait progresser, pour 35 % des répondants,
le budget de sécurité des SI. L'ouverture du
système d'information à Internet arrive en seconde
position (29 %), suivie par son évolution proprement
dite (25 %). Seules 8 % des entreprises avouent
avoir pris conscience du fait d'attaques qu'elles ont subies,
et 2 % du fait d'attaques subies par d'autres. Mais que
l'on ne s'y trompe pas : beaucoup de ces décideurs
en matière de sécurité informatique,
qui ont été sondés lors d'une action
de sensibilisation, ne souhaitent pas communiquer sur leurs
déboires. [François
Morel, JDNet]
|