Les bonnes résolutions ne devraient pas suffire à parer les risques

1.600 milliards de dollars: voilà ce qu'auraient coûté, depuis un an en temps perdu, les attaques de sécurité aux entreprises dans le monde, selon le sondage annuel réalisé par InformationWeek Research en coopération avec le cabinet de conseil PriceWaterhouseCoopers. Au total, les entreprises auraient ainsi gaspillé près de 3,3 % de leur temps entre le chômage technique et la réparation des systèmes impactés. D'après la firme Reality Research and Consulting qui a apporté son assistance dans la réalisation de l'enquête, les sociétés du seul continent nord-américain auraient globalement retranché de leur productivité 6.822 personnes pendant 365 jours. Alors qu'en 1998, la moitié des entreprises avaient été touchées, le taux serait aujourd'hui passé à près de 74 %.

Derrière ces chiffres énigmatiques et conçus pour secouer l'opinion se profile une réalité sournoise. Ainsi, sur 4.900 décideurs généraux et informatiques responsables de la sécurité interrogés autour de la planète, près de 70 % considéreraient la sécurité de l'information comme une priorité haute (60 % en 1999). D'un autre côté, les budgets consacrés restent à un niveau très bas, en dessous de 50.000 dollars pour la moitié des personnes interrogées, incluant le matériel, les logiciels, le conseil en amont et les salariés. Pire: en l'an 2000, les décideurs considèrent que leurs politiques de sécurité sont moins en accord avec leurs objectifs business qu'en 1999. Cela peut traduire d'une part l'ouverture des systèmes d'informations vers Internet par l'intermédiaire notamment de plates-formes B to B. Mais d'un autre côté, cela traduit également la non-compréhension des principaux enjeux, tels par exemple la perte de clients en raison d'un déni de service, ou la désaffection à l'égard d'une politique globale assurant la cohérence en matière de sécurité.

En attendant, l'enquête revient sur les systèmes d'authentification et anti-intrusions déjà installés dans les entreprises. Trois catégories sont en baisse depuis 1999 : les logins et mots de passe multiples (de 65 % à 47 %), les logiciels de contrôle d'accès sur PC (de 62 % à 42 %) et sur les systèmes centraux (de 50 % à 34 %). Ce sont les mots de passe utilisateurs simples qui arrivent aujourd'hui en tête des réponses, réunissant 64 % des personnes interrogées (46 % en 1999). Les mots de passe uniques, les outils de Single Sign On (SSO) et les systèmes de vérification matérielle, qui représentent l'avenir, connaissent une progression conséquente mais dépassent à peine la barre des 30 % des répondants. Interrogés sur leurs priorités clés, ces derniers comptent d'abord investir dans la sécurité des réseaux à près de 85 %, puis dans le blocage des accès non autorisés à 72 %, et dans l'information sur les procédures de sécurité à l'intention des utilisateurs autour de 63 %. Sachant qu'une partie conséquente des pertes sont dues à un manque de vigilance et de méthodes de la part du personnel, ce dernier investissement devrait plus sûrement porter ses fruits. [François Morel, JDNet]