Selon une étude réalisée
par IDC auprès de 350 entreprises européennes pour le
compte d'EDS, les entreprises en Europe seraient de
plus en plus sensibilisées au problème de la sécurité
de leurs systèmes d'information. Pourtant, toutes les
mesures ne sont pas encore prises, et selon IDC, des
déclarations des responsables informatiques interrogés
à la réalité, il y a parfois des différences.
Menée entre novembre et décembre 2001 dans six pays
(France, Allemagne, Angleterre, Italie, Espagne, et
Afrique du Sud, sic) l'étude d'IDC a porté sur quatre
axes majeurs : implication des directions générales
dans les politiques de sécurité, mise en place de plans
de continuité de service, assurance des systèmes d'information
et typologie des attaques subies en 2001.
Une volonté qui reste à traduire dans les faits
A la question posée aux responsables informatiques "Votre
direction générale a-elle l'intention de plus s'impliquer
dans la stratégie de sécurité de votre entreprise en
2002 ?",
48,1%
ont répondu oui, 9,5% ne savaient pas, et 42,4% ont
répondu par la négative. Un résultat en hausse sensible
par rapport à juin 2001, selon IDC, qui tendrait à marquer
une sensibilisation plus forte des directions aux risques
qu'encourent leurs sociétés. Toutefois, le cabinet ne
manque pas de relever certaines contractions internes
: si 59,6% des entreprises considèrent que la sécurité
est une affaire de spécialistes, 54,5% reconnaissent
cependant ne pas avoir de ressource interne dédiée à
cette tâche. La part du budget consacré à la sécurité
reste d'ailleurs marginale, avec par exemple, tout juste
1,6% du budget informatique en France.
La continuité de service sur-évaluée par les entreprises
Par ailleurs, si
78,8% des entreprises sondées estiment avoir suffisamment
sécurisé leur système (redondance des équipements, back-up,
etc.) pour assurer la continuité de service en cas de
problème, et que 66,9% déclarent avoir mis en place
un plan de continuité de service, ces chiffres pourraient
refléter imparfaitement la réalité. Le cabinet juge
en effet que, par rapport aux retours d'expérience dont
il bénéficie, ces taux sont anormalement élevés. Une
hypothèse dont la vraisemblance est confortée par le
pourcentage de responsables informatiques qui reconnaissent
ne pas savoir si leur entreprise dispose ou non d'un
tel plan (8,4%).
Un déficit d'assurance flagrant
Sur la question de
la couverture de leur SI par une assurance, 55,6% des
sociétés interrogées ont déclaré ne
pas
avoir souscrit de police d'assurance, 20,3% ne pas savoir,
et seulement 24,1% avoir souscrit. Si IDC n'explique
pas les raisons de ces résultats (coût des assurances,
intérêt des offres, etc.), il corrèle néanmoins certains
chiffres, qui tendent à prouver que les entreprises
couvertes par une assurance sont en général celles qui
accordent le plus de moyens à leur sécurité (en ressources
internes comme en plan des continuité de service).
Plus d'un tiers des entreprises attaquées en 2001
Enfin, le panorama des attaques recensées fait ressortir
que 35,2% des sociétés auraient été victimes au moins
une fois d'une attaque venue de l'extérieur. Principal
type d'attaque répertorié, les virus informatiques (78,5%),
devant les erreurs d'utilisation (64,2%) et les pannes
internes (37,5%).Viennent ensuite les erreurs de conception
(30,7%), les vols de matériels (29,8%), les accidents
physiques (25%), les catastrophes naturelles (22,6%),
et les fraudes internes (16,3%). Ce dernier facteur
pourrait être sous-estimé, selon le responsable de la
sécurité des systèmes d'information d'EDS pour qui les
attaques internes sont deux fois plus nombreuses que
les attaques externes, et tout aussi dangereuses pour
les entreprises.
|