Analyse la "gouvernance
de la sécurité des systèmes d'information".
Tel était l'objectif de l'étude menée
par l'AFAI, le CIGREF, le Clusif et le Monde Informatique
auprès de 4000 personnes (près de la moitié
des répondants sont responsables sécurité,
dans des entreprises de toutes tailles) entre le 15 juin
et le 15 juillet dernier.
Principale conclusion
à sa lecture: une certaine confiance règne
dans les entreprises, alimentée par la création
fréquente d'un poste dédié à
la supervision de la sécurité, ou par
la mise en place de procédures adaptées,
mais si l'on regarde de près, ces mesures sont
insuffisantes et parfois incomplètes.
Le
responsable sécurité à l'honneur
Si la confiance
dans le niveau de sécurité du SI est bien
là (seuls 4% des répondants jugent le
niveau de satisfaction insatisfaisant, contre 42% qui
le considèrent satisfaisant) et si, plus généralement,
le risque informatique est considéré comme
maîtrisé, dans 63% des cas, aucune métrique
ou méthode de calcul des enjeux et de la gravité
du risque n'a été mis en place.
Ce paradoxe se tempère
par l'existence d'un poste de RSSI (Responsable Sécurité
des Systèmes d'information) dans 65% des entreprises,
à en croire les répondants - une fonction
créée de surcroît depuis plus de
deux ans dans près de la moitié des cas.
Rattaché au DSI
majoritairement, et plus rarement à la direction
générale directement, le RSSI supervise
non seulement l'informatique (dans 80% des cas), mais
aussi la téléphonie (40%), les documents
papiers (29%), et la sécurité des biens
et des personnes (24%). Néanmoins, il n'est impliqué
systématiquement dans les projets informatiques
que dans 39% des cas.
La politique
de sécurité n'est pas dotée des
moyens suffisants
Le poste de RSSI
se complète par l'existence d'une politique de
sécurité dans 52% des cas.
Toutefois, cette politique n'a pas été
validée par la direction générale
ou le comité exécutif dans 36% des cas,
ce qui, conclut l'étude, en limite la portée.
Quand aucune politique n'est définie, la question
de la sécurité se décline le plus
souvent sous forme de procédures organisationnelles
(pour 64% des répondants).
A noter, enfin, que dans 77% des cas, la veille technologique
constitue un élément de la démarche
sécurité.
D'un
point de vue budgétaire, la sécurité
n'est pas encore majoritairement autonome. Seules 34%
des entreprises, selon les réponses apportées
à l'enquête, ont confié à
leur RSSI la gestion d'un budget spécifique.
Par ailleurs, plus la taille de l'entreprise est importante,
plus la probabilité d'y trouver un budget sécurité
spécifique est élevée.
L'externalisation
de la gestion de la sécurité est rare,
où, à défaut, l'est surtout au
sein d'une filiale. Au final, l'appel aux prestataires
du domaine n'est constaté que dans 12% des cas,
principalement pour les compétences. Sans surprise,
le principal frein à l'externalisation est la
perte de maîtrise sur le SI (pour 64% des répondants).
Quant aux domaines les plus fréquemment externalisables,
il s'agit des tests d'intrusion et des audits de vulnérabilité
en grande majorité.
Enfin,
l'étude révèle que 32% des entreprises
n'ont pas évalué leur niveau de sécurité
au cours des deux dernières années, et
que 62% d'entre elles ne disposent pas de tableaux de
bord dédiés. Du chemin reste encore à
faire.
|