Selon une étude réalisée par IDC auprès de 350 entreprises européennes pour le compte d'EDS, les entreprises en Europe seraient de plus en plus sensibilisées au problème de la sécurité de leurs systèmes d'information. Pourtant, toutes les mesures ne sont pas encore prises, et selon IDC, des déclarations des responsables informatiques interrogés à la réalité, il y a parfois des différences.

Menée entre novembre et décembre 2001 dans six pays (France, Allemagne, Angleterre, Italie, Espagne, et Afrique du Sud, sic) l'étude d'IDC a porté sur quatre axes majeurs : implication des directions générales dans les politiques de sécurité, mise en place de plans de continuité de service, assurance des systèmes d'information et typologie des attaques subies en 2001.

Une volonté qui reste à traduire dans les faits
A la question posée aux responsables informatiques "Votre direction générale a-elle l'intention de plus s'impliquer dans la stratégie de sécurité de votre entreprise en 2002 ?", 48,1% ont répondu oui, 9,5% ne savaient pas, et 42,4% ont répondu par la négative. Un résultat en hausse sensible par rapport à juin 2001, selon IDC, qui tendrait à marquer une sensibilisation plus forte des directions aux risques qu'encourent leurs sociétés. Toutefois, le cabinet ne manque pas de relever certaines contractions internes : si 59,6% des entreprises considèrent que la sécurité est une affaire de spécialistes, 54,5% reconnaissent cependant ne pas avoir de ressource interne dédiée à cette tâche. La part du budget consacré à la sécurité reste d'ailleurs marginale, avec par exemple, tout juste 1,6% du budget informatique en France.

La continuité de service sur-évaluée par les entreprises
Par ailleurs, si 78,8% des entreprises sondées estiment avoir suffisamment sécurisé leur système (redondance des équipements, back-up, etc.) pour assurer la continuité de service en cas de problème, et que 66,9% déclarent avoir mis en place un plan de continuité de service, ces chiffres pourraient refléter imparfaitement la réalité. Le cabinet juge en effet que, par rapport aux retours d'expérience dont il bénéficie, ces taux sont anormalement élevés. Une hypothèse dont la vraisemblance est confortée par le pourcentage de responsables informatiques qui reconnaissent ne pas savoir si leur entreprise dispose ou non d'un tel plan (8,4%).

Un déficit d'assurance flagrant
Sur la question de la couverture de leur SI par une assurance, 55,6% des sociétés interrogées ont déclaré ne pas avoir souscrit de police d'assurance, 20,3% ne pas savoir, et seulement 24,1% avoir souscrit. Si IDC n'explique pas les raisons de ces résultats (coût des assurances, intérêt des offres, etc.), il corrèle néanmoins certains chiffres, qui tendent à prouver que les entreprises couvertes par une assurance sont en général celles qui accordent le plus de moyens à leur sécurité (en ressources internes comme en plan des continuité de service).

Plus d'un tiers des entreprises attaquées en 2001
Enfin, le panorama des attaques recensées fait ressortir que 35,2% des sociétés auraient été victimes au moins une fois d'une attaque venue de l'extérieur. Principal type d'attaque répertorié, les virus informatiques (78,5%), devant les erreurs d'utilisation (64,2%) et les pannes internes (37,5%).Viennent ensuite les erreurs de conception (30,7%), les vols de matériels (29,8%), les accidents physiques (25%), les catastrophes naturelles (22,6%), et les fraudes internes (16,3%). Ce dernier facteur pourrait être sous-estimé, selon le responsable de la sécurité des systèmes d'information d'EDS pour qui les attaques internes sont deux fois plus nombreuses que les attaques externes, et tout aussi dangereuses pour les entreprises.