|
|
|
|
SECURITE |
Les menaces internes seraient largement sous-estimées |
Une étude Ernst & Young fait le point sur les pratiques des entreprises en matière de sécurité. De la protection des échanges BtoB à la sensibilisation du personnel, les lacunes demeurent nombreuses.
(28/09/2004) |
|
Avec l'ouverture de plus en plus grande du SI sur son écosystème (fournisseurs, partenaires, etc.), on aurait pu imaginer que les responsables informatiques porteraient une attention croissante à la question de la sécurité des environnements d'échange BtoB.
Une étude publiée vendredi dernier par Ernst & Young tend à prouver le contraire. Dans le cadre de ce type de projet, "les DSI semblent préférer la confiance plutôt que la prudence", note le cabinet de conseil dans son document.
Le constat est alarmant. Près de 80% des
1230 organisations interrogées par Ernst & Young n'auraient conduit aucun contrôle régulier de la conformité des sous-traitants avec leurs contraintes réglementaires en matière de sécurité informatique...
Autre enseignement à tirer de cette étude : le manque de données transmises aux organes de direction concernant ces problématiques. Une caractéristique qui, selon Ernst & Young, contribuerait à faire passer la sécurité informatique au second plan dans beaucoup de société. Ainsi seulement 20% des acteurs contactés par l'institut considèrent ce sujet comme un élément à gérer au niveau des directions générales, environ 30% de ces dernières ayant la possibilité de recevoir des rapports sur le suivi de cette activité.
Top 10 des incidents les plus cités (pour 2003)
|
Incident
|
Classement
|
Origine interne
|
Origine externe
|
Origine inconnue
|
Plantage machine
|
1 (72%)
|
87%
|
9%
|
4%
|
Virus, cheval de Troie, ver
|
2 (68%)
|
21%
|
76%
|
3%
|
Plantage réseau
|
3 (64%)
|
26%
|
72%
|
2%
|
Plantage logiciel
|
4 (57%)
|
78%
|
16%
|
6%
|
Plantage d'un tiers/prestataire
|
5 (47%)
|
9%
|
87%
|
4%
|
Problème de capacité système
|
6 (46%)
|
91%
|
6%
|
3%
|
Erreur opérationnelle/de paramétrage
|
7 (42%)
|
91%
|
6%
|
3%
|
Infrastructure impactée (coupure d'électricité,..)
|
8 (42%)
|
49%
|
49%
|
2%
|
Mauvais comportement d'un employé
|
9 (24%)
|
84%
|
12%
|
4%
|
Attaque par déni de services
|
10 (23%)
|
10%
|
85%
|
5%
|
Source Ernst & Young (2004 Information Security Survey)
Les menaces internes encore sous estimées |
L'étude d'Ernst & Young met également en exergue la montée en puissance des menaces internes à l'entreprise. Le comportement d'employés susceptibles d'impacter le SI arrive ainsi en deuxième position au sein de son classement des enjeux de sécurité les plus préoccupants (voir le graphique ci-dessous).
Malgré tout, il semble que les directions d'entreprise préfèrent encore centrer leurs investissements sur les technologies de protection des systèmes (telles que les pare feu et autres dispositifs de protection) plutôt que d'axer leur priorité sur la sensibilisation du personnel aux bonnes pratiques et comportements sur le terrain de la sécurité...
Et pour preuve : moins de 30% des sociétés participant à l'étude qualifient "la sensibilisation et la formation des salariés aux questions de sécurité" comme l'un de leurs enjeux principaux (ici pour 2003).
Principaux enjeux de sécurité des entreprises
|
En
France (en millions d'euros)
|
Virus, chevaux de Troie et vers. |
|
Comportement d'employés impactant le SI |
|
Spam |
|
Perte de données client privées/confidentielles |
|
Attaque par déni de service |
|
Fraude fiscale impliquant le SI |
|
Tiers mal-intentionnés accédant au SI |
|
Sécurité physique |
|
Mauvaise qualité logicielle |
|
Vol de données propriétaires |
|
Source Ernst & Young (2004 Information Security Survey)
|
|
|
|
|
|
|