La
sécurité manque de moyens et de considération, surtout en
France
Une étude mondiale menée par Ernst & Young montre que le responsable de la sécurité des systèmes d'information rencontre encore trop de difficultés à appliquer une politique efficace. (Jeudi
16 octobre 2003)
Selon une étude menée par Ernst &
Young auprès de 1400 personnes réparties dans 66 pays et suite à
une série d'entretiens avec 53 responsables de la sécurité
des systèmes d'information (RSSI) de janvier à mars 2003, de surprenantes
tendances se dégagent quant à la place de cette fonction clé
dans l'entreprise et aux priorités et moyens donnés à la
politique sécurité.
Formation, sensibilisation, contrôle de cohérence avec les métiers
et réflexion organisationnelle et stratégique sont encore à
renforcer.
Les
contraintes budgétaires : premier obstacle à la sécurité Les limites et contraintes budgétaires
sont désignées comme le premier obstacle à une sécurité
efficace par 60% des répondants (réponses multiples), suivies par
l'absence de priorité dans l'allocation des ressources (38%) et l'indisponibilité
d'un personnel compétent (31%). L'insuffisance de l'engagement (29%) et
de la sensibilisation (25%) de la direction arrivent en quatrième et cinquième
places, montrant qu'il reste du chemin à parcourir pour emporter l'adhésion,
et donc le soutien, des directions générales dans les politiques
de sécurité.
Et pourtant, 90% des répondants considèrent que l'atteinte des objectifs
globaux de l'entreprise est directement liée à la sécurité
de ses systèmes d'information. Les moyens ne sont donc pas au niveau des
ambitions affichées. Qui plus est, près de 70% des répondants
s'assurent de la cohérence de la sécurité avec les processus
métiers au mieux tous les ans.
La France en décalage Pourtant, la fréquence des rencontres
entre RSSI et responsables métiers se fait, pour plus de 75% des entreprises
interrogées, plus d'une fois par an, témoignant de la volonté
des différentes parties de faire progresser la compréhension mutuelle
des enjeux de chacun. Mais peut-être le déroulement de ces réunions
est-il à améliorer.
En France, les entreprises utilisent très peu
les moyens de sensibilisation directs, tels que la ratification par l'employé
d'un document spécifique (34%) tel qu'un règlement intérieur
ou des programmes réguliers de formation (15%). La communication générale
de la politique de sécurité est privilégiée à
hauteur de 57% ainsi que les chartes des droits et devoirs du salarié (58%).
Ces résultats nationaux sont corroborés par la part de la formation
(nulle) et de la sensibilisation aux procédures (28%) dans le budget global
de la sécurité. Ces résultats sont respectivement de 13 et
48% pour le reste des répondants.