|
Bien que le nombre d'attaques
ait considérablement augmenté envers les systèmes d'information, les entreprises
semblent avoir levé le pied sur les investissements en dispositifs de sécurité.
Ainsi, le CERT, le groupe dédié à la sécurité de l'université Carnegie Mellon,
a évalué à plus de 76 000 le nombre d'incidents de sécurité informatique
rencontrés au cours des six premiers mois de 2003. Un chiffre à comparer aux 82 000
incidents relevés pour l'ensemble de l'année précédente. De plus, les attaques
sont devenues plus sophistiquées. On a par exemple dénombré plus de virus et de
vers destinés à voler des informations. Dans le même temps et assez paradoxalement,
les entreprises semblent baisser un peu leur garde. L'enquête Security Survey
publiée par Information Week cet automne est révélatrice de cette tendance.
Seulement 58% des professionnels interrogés considèrent la sécurité comme une
priorité (ils étaient 72% en 2001) ; seulement 39% prévoient d'augmenter leurs
dépenses dans ce domaine (ils étaient 49% l'an dernier).
Il y a plusieurs raisons
à cela. La première est sans doute que des moyens de protection sont aujourd'hui
en place : s'ils sont efficaces, pourquoi les renforcer ? Seulement 45% des entreprises
interrogées par Information Week ont été victimes d'attaques de vers ou
de virus : elles étaient 70% en 2001. Le deuxième type d'attaques, en terme d'importance,
est le déni de service : il n'a frappé que 19% des organismes. Protections efficaces
donc : plus de 80% des entreprises sont équipées de pare-feu, 79% utilisent des
antivirus et 71% font appel à des réseaux virtuels privés. La deuxième raison
qui explique la réduction des dépenses de sécurité est tout simplement que l'ensemble
des budgets informatiques a été réduit. Selon Gartner Group, bien des sociétés
mettent à peine plus de 5% de leur budget informatique dans la sécurité et estiment
que c'est un niveau d'investissement à ne pas dépasser. Enfin, dernière raison
: les investissements en dispositifs de sécurité sont de plus en plus difficiles
à justifier. Rapporteront-ils plus de chiffre d'affaires, seront-ils bénéfiques
à l'image de la marque auprès de la clientèle, entraîneront-ils des réductions
de coûts, augmenteront-ils la productivité ? Il est probable que la réponse à
ces questions soit négative.
Dans ces conditions, comment
estimer le ROI de la sécurité informatique ? Pour le cabinet américain Wilson
Secure, spécialisé dans l'analyse de risques (liés à l'usage des réseaux en particulier),
plusieurs étapes mènent à une juste estimation de ce ROI.
Identification
du capital information. Ce capital comprend aussi bien les ressources matérielles
que logicielles, les fichiers, données confidentielles, etc. Il faut pouvoir estimer
la valeur de chacune d'elles et plus important la perte occasionnée si l'une d'elles
venait à manquer.
Identification
des vulnérabilités. Tout ce qui arrive de manière non désirée constitue une menace
: un tremblement de terre mais aussi un procès. Il faut savoir identifier ces
risques.
Evaluation
des actifs. Une fois identifiés ces capitaux et les menaces qui pèsent sur eux,
il faut procéder à une évaluation plus précise. Il sera par exemple inutile de
protéger à grands frais une ressource qui n'a que peu de valeur pour l'activité
de l'entreprise.
On pourra réaliser une matrice
évaluant la valeur (basse, moyenne ou haute) des ressources. Pour chacune d'elles,
on tentera de fixer le coût initial et le coût d'exploitation, ainsi que ce qu'elles
représentent en terme de production, de R&D ou d'apport à la valeur de l'entreprise,
de manière sensible ou intangible. Une fois que les actifs du système d'information
sont clairement identifiés, on pourra définir des indicateurs chiffrés, comme
le facteur d'exposition : l'estimation en pourcentage qu'une ressource disparaisse
si un événement survient. Si l'on combine ce facteur à la valeur monétaire de
la ressource, on obtiendra une estimation monétaire des risques informatiques
courus par l'entreprise. Ces indicateurs pourront servir à justifier certains
investissements en sécurité.
|