28/03/01
L'assurance
outre-Manche n'assure pas la sécurité de ses
systèmes
Malgré
les nombreux avertissements répercutés l'an dernier
par la presse en général, la sécurité
ne semble toujours pas préoccuper à sa juste valeur
les professionnels de l'assurance outre-Manche. D'après
la société de services britannique CMG
Admiral, qui a effectué un sondage auprès
d'un panel représentatif de directeurs des systèmes
d'information travaillant dans ce segment, près de 50 %
d'entre eux ne parieraient pas une livre sur la fiabilité
de leurs systèmes de sécurité. Et pourtant,
la Grande-Bretagne s'est montrée jusque-là la
mieux placée en Europe concernant l'implémentation
de nouvelles technologies en général, devant la
France. De plus, le secteur de la banque-assurance - même
si cela concerne d'abord en particulier les banques - est considéré
traditionnellement comme étant celui se préoccupant
le plus de la sécurisation de ses données critiques.
Ainsi, pour 67 % des responsables interrogés, au
moins les deux-tiers de leurs systèmes d'informations
renferment des informations sensibles. L'enquête publiée
par CMG dresse ainsi le tableau d'une situation plutôt
sombre, qui ne laisse a priori rien présager de bon de
notre côté de la Manche.
Les
assureurs peu préoccupés par la sécurité
du SI
Dans le même temps, il paraît
justifié de se demander à quel niveau les professionnels
interrogés s'estiment capables d'accorder leur confiance
aux systèmes en place. De fait, les 10 à
20 % de leur budget attribués par 20 % des
directeurs informatiques de sociétés d'assurance
en Grande-Bretagne ne les satisfont pas en apparence. En France,
le premier volet de l'étude d'Arthur Andersen publié
en juillet 2000 (voir
article) dévoilait que 70 % des entreprises,
tous secteurs confondus, dépensaient moins de 5 %
de leur budget à la sécurité. Et pourtant,
une progression notable avait été remarquée.
En revanche, si l'on considère les résultats des
deux études comparables même à plus de six
mois d'écart, les assureurs britanniques ne paraîssent
pas se préoccuper tant que cela de la sécurité
de leurs SI. En effet, leur notation de la première priorité
pour l'année 2001 met en avant l'amélioration
de l'efficacité des systèmes e-commerce pour 52 %
des répondants, l'accroîssement du pôle de
gestion de la relation client pour 11 %, et la sécurité
des systèmes pour seulement 5 %. En France, 25 %
des DSI et RSSI interrogés tous secteurs confondus jugeaient
tout de même en juillet 2000 la sécurité
comme l'une de leurs principales priorités budgétaires.
L'hétérogénéité
du parc est le principal frein
Ainsi, lorsqu'il leur est demandé
pour quelles raisons ils rechignent à mettre en place
des systèmes plus sécurisés, les DSI anglais
du monde de l'assurance avancent à 50 % la multiplicité
des terminaux et des plates-formes devant être prises
en compte au sein de parcs très hétérogènes.
En parallèle, 33 % y voient des raisons de coûts
trop élevés. Enfin, aucun ne paraît considérer
que l'implémentation des outils de sécurité
est très complexe. De fait, il apparaît que le
frein n'est pas technique au premier abord, sauf en matière
de difficultés à sécuriser de façon
standard des systèmes souvent propriétaires accollés
les uns aux autres. D'où la notion de coût qui
en découle inévitablement.
Enfin, 62 % des répondants croient que la plus importante
menace pour leurs systèmes vient de l'extérieur.
En cela, leur opinion s'oppose à la plupart des études
sérieuses publiées jusqu'à ce jour. En
effet, s'il paraît évident qu'il faut protéger
son système des aggressions du dehors - où se
trouvent notamment les concurrents - la majorité des
risques se trouvent à l'intérieur même de
l'entreprise, où peuvent entre autres traîner les
mots de passe des utilisateurs. En interne, les actions à
mener sont aussi, le plus souvent, moins complexes pour pénétrer
un système. Cette année 2001, il conviendra donc
de ne pas relâcher ses efforts en matière de sensibilisation.
[François
Morel, JDNet]
|