Bienvenue Prénom - Déconnexion

Mot de passe oublié ?Accès membres : merci de vous identifier

Solutions

BOURSE

 Tous nos articles
 
DSI 
Sommaire DSI
La sécurité de l'information, enjeu de la gestion des risques
Le cabinet d'audit Ernst&Young dresse un état des lieux de l'adoption des méthodes en sécurité de l'information. Plus de la moitié des entreprises souhaite procéder par étapes.  (29/11/2006)
  En savoir plus
 Analyse : Sarbanes-Oxley : informatiser pour réduire les coûts
 Guide pratique : la gouvernance informatique
Dossier Gérer ses projets informatiques
La sécurité de l'information et des systèmes informatiques demeure au rang des principales préoccupations d'un nombre toujours plus important d'entreprises, selon la dernière étude publiée par Ernst & Young, 2006 Global Information Security Survey.

Près de la moitié des entreprises interrogées (sur la base de 1 200 répondants, répartis dans 48 pays) déclare que la sécurité de l'information est même d'ores et déjà intégrée aux programmes de gestion des risques en vigueur dans l'entreprise. Dans un contexte où la sécurité de l'information tient une place aussi prépondérante, les entreprises cherchent à la pérenniser en y consacrant davantage de ressources tant humaines que financières.

"La sécurité de l'information doit autant être appréhendée d'un point vue externe qu'interne à l'organisation. Si la confiance accordée par les clients à un site Web transactionnel est fondamentale, l'entreprise doit également s'assurer d'avoir mis en œuvre tous les moyens nécessaires pour lutter en interne contre les tentatives de fraudes ", fait savoir Stephane Geyres, expert audit et sécurité des systèmes d'information chez Ernst&Young et en charge de l'étude.

D'ailleurs, ce sont plus des deux tiers des entreprises qui recourent à des reportings spécifiques dédiés à la problématique de la sécurité de l'information, tenus lors de comités de direction ou bien métier.

"La nature des reportings réalisés par les responsables de la sécurité en comité de direction et dans les comités métier est un signe de maturité en termes de sécurité de l'information. Plus les thèmes des réunions abordent les projets de construction de la sécurité, et plus l'entreprise peut être qualifiée comme mature par rapport à la conformité de sa politique de sécurité", poursuit Stéphane Geyres.

Les entreprises n'évoquent pas toutes la sécurité de l'information en comité de direction
Pourtant, peu d'entreprises en réalisent de façon régulière. Ainsi, elles sont près de 43% - par la voix de leurs responsables de la sécurité du système d'information - n'évoquent jamais (ou moins d'une fois par an) un quelconque projet en matière de sécurité de l'information en comité de direction. Mais ils sont 38% à le faire lors de la tenue des comités métier.

Près de la moitié des répondants ont par ailleurs mis en place une politique de sécurité de l'information pour améliorer et soutenir l'activité en accompagnant, notamment, le lancement d'un produit. 40% l'ont fait dans un contexte de préservation de leur propriété intellectuelle, tandis que moins d'un quart déclarent l'avoir activé dans le cas d'opérations de fusions et d'acquisitions.

"Si la sécurité de l'information est désormais inscrite à l'agenda des dirigeants, l'un des freins à son intégration en tant que composante de la gestion des risques de l'entreprise est moins liée au secteur dans lequel évolue l'entreprise qu'à sa complexité organisationnelle, au manque de volonté politique et aux éventuelles guerres de chapelles entre ses directions opérationnelles", fait remarquer Stéphane Geyres.

Par ailleurs, les éléments qui influencent - ou vont influencer d'ici un an - le choix des méthodes à adopter en termes de sécurité de l'information dans les entreprises sont variés. Ils peuvent dépendre de la mise en conformité avec les réglementations internationales pour 56% des entreprises (50% en 2005), de la protection des données privées et personnelles (47% contre 42%), ou par l'atteinte d'objectifs métier(38% contre 41%).

"Chaque entreprise dispose d'une maturité différente en termes de sécurité de l'information" - Stéphane Geyres (Ernst&Young)
Plus de la moitié des entreprises font également état de leur besoin d'agir par étapes afin d' intégrer la sécurité de l'information dans leur approche globale de gestion des risques.

"Chaque entreprise, en fonction de son historique, de sa culture mais aussi de celle du pays dont elle est issue, dispose d'un niveau de maturité différent par rapport à la gestion de la sécurité de l'information", analyse Stéphane Geyres.

Et l'expert de poursuivre : "souvent, une entreprise anglo-saxonne, adoptant une approche plus dirigiste en termes de gestion des risques, sera plus encline à adopter plus rapidement des dispositifs visibles en termes de sécurité de l'information", analyse Stéphane Geyres.

Les entreprises ont aussi d'autres préoccupations directement liées à la sécurité de l'information. Parmi elles, citons notamment le suivi de l'adoption des réglementations internationales et le suivi des risques opérationnels (Sarbanes-Oxley, BâleII…), la protection des données personnelles et privées ainsi que la réalisation de benchmarks pour situer leur degré de maturité par rapport à leurs pairs.

La protection des données personnelles et privées constitue donc une préoccupation de premier plan pour les entreprises. Ainsi, 52% des entreprises exercent la protection des données personnelles et privées en recourant à des procédures formelles, tandis que près d'un tiers déclarent utiliser des procédures informelles. Moins de 10% utilisant des procédures formelles validées par un tiers.

  En bref sur le sujet
    Contrat de 350 millions d'euros pour Atos Origin  (16/11/2010)
    Steria : contrat de 70 millions d'euros avec la Défense britannique  (15/11/2010)
    Violation de brevets Java : Google se défile  (12/11/2010)
    Novell / Identity Manager 4 : une gestion sophistiquée des rôles  (08/11/2010)
    Atos Origin propose à ses clients la BI SAP en mode SaaS  (03/11/2010)
67% des entreprises déclarent également que les fournisseurs et partenaires sont en mesure de supporter leurs propres procédures et standards en matière de sécurité de l'information. Seulement 14% des entreprises interrogées demandent toutefois à ce que leurs fournisseurs ou partenaires fassent appel à des méthodes de sécurité de l'information validées par un tiers.

Les entreprises mettent également en place plusieurs leviers afin d'effectuer un état des lieux en matière de la sécurité de l'information, par la réalisation d'audits internes (71%), ou externes (62%).

"Les entreprises se positionnent aujourd'hui plus dans une logique de construction de leur politique de sécurité de l'information que de réaction. Même si il reste encore du chemin à parcourir pour voir converger les problématiques de sécurité de l'information avec celles de la gestion des risques, la tendance observée est globalement positive", conclut Stéphane Geyres.
 
 
Dominique FILIPPONE, JDN Solutions Sommaire DSI
 
 
Accueil | Haut de page
 
 

  Nouvelles offres d'emploi   sur Emploi Center
Auralog - Tellmemore | Publicis Modem | L'Internaute / Journal du Net / Copainsdavant | Isobar | MEDIASTAY

A VOIR EGALEMENT
Voir un exemple

Voir un exemple

Voir un exemple

Voir un exemple

Voir un exemple

Toutes nos newsletters