Sécurité numérique : quelles priorités pour les budgets des RSSI

Priorités des budgets des RSSI La gestion des accès & identités et la capacité à superviser la sécurité IT de l'entreprise figurent parmi les principales priorités des RSSI réunis aux Assises de la Sécurité.

De notre envoyé spécial aux Assises de la Sécurité à Monaco, Nicolas Arpagian

Les centaines de Responsables de la Sécurité des Systèmes d'Information (RSSI) réunis jusqu'au 3 octobre à Monaco pour les 14ème Assises de la Sécurité en conviennent volontiers : peu de professionnels des métiers techniques peuvent compter à ce point sur l'actualité pour valoriser leur activité auprès de leurs directions générales. En effet, les annonces répétées d'attaques informatiques ayant visé ces derniers mois des groupes de la grande distribution, des télécoms, des jeux vidéos et autres administrations étatiques sont autant de plaidoyers pour doter (enfin) les organisations de stratégies opérationnelles en matière de sécurité numérique. L'évolution des sommes allouées à ces missions est un indicateur intéressant : selon le Clusif, le budget annuel moyen dédié à la sécurité des systèmes d'information (SSI) est passé de 1,6 million en 2010 à 3,3 millions d'euros en 2014.

Les dépenses de sécurité : 4,1% de la dépense IT globale des organisations

assises securite 1
Les Assises de la Sécurité ont lieu cette année du 1er au 4 octobre à Monaco. © Nicolas Arpagian / JDN

Le cabinet d'études IDC, qui a interrogé deux cents entreprises de plus de cinq cents salariés, estime fin septembre 2014 que les dépenses de sécurité représentent en moyenne 4,1% de la dépense informatique globale des organisations interrogées. Si cette proportion est plutôt à la hausse il ne faut pas encore y voir un emballement des investissements. "65% de ces dépenses restent dédiées au fonctionnement de l'existant : salaires des équipes de sécurité en interne, équipements matériels et logiciels installés", précisent les experts d'IDC.

Outre les révélations sur l'ampleur de l'espionnage étatsunien, l'affaire Snowden a marqué la communauté des RSSI : c'est un contournement des règles de contrôle d'accès aux données qui a permis au contractuel de la NSA d'extraire massivement des informations sensibles. "On reçoit des demandes croissantes formulées par une question simple de DSI : je souhaite savoir qui a le droit de faire quoi dans nos systèmes informatiques", constate Bertrand Augé, CEO de Kleverware, une société française qui travaille depuis presque dix ans sur ce marché de l'identité numérique. En clair, il ne sert à rien de vouloir bâtir une citadelle technique, si on ignore qui détient les clés de la porte d'entrée et des différentes voies de circulation interne. Et sans assurer un suivi de ce qui est fait de ce trousseau de clés. 

"La cécité en matière de sécurité est très préjudiciable", Michel Van den Berghe - Orange Cyberdéfense

Cette remise à plat des procédures va bien au-delà de la seule question sécuritaire. C'est une occasion d'optimiser les processus managériaux. Soit une contribution importante à la transformation numérique de l'organisation, qu'il s'agisse d'une entreprise ou d'une administration. Une approche qui fait encore largement défaut si on en croit l'étude "Du rattrapage à la transformation – l'aventure numérique une chance pour la France" conduite par le cabinet Roland Berger avec la collaboration de Google et du pôle de compétitivité Cap Digital. Selon cette enquête, 57% des entreprises auraient bel et bien identifié le numérique comme axe stratégique à moyen terme. Mais, elles ne seraient que 36% à avoir formalisé une stratégie adaptée. Toujours ce décalage entre l'intention affichée et la réalité des moyens mis pour la concrétiser dans un délai raisonnable.

Autre thématique porteuse d'investissement abordée lors de ces Assises : l'instauration de centres de supervision et d'administration de la sécurité (SOC). Sur 112 RSSI interrogés par la société Wallix début septembre 2014, 40% ont reconnu ne pas savoir si leur entreprise avait été victime d'une attaque avec fuite de données. "Cette cécité en matière de sécurité est très préjudiciable", prévient Michel Van den Berghe, directeur général d'Orange Cyberdéfense. "En effet, l'entreprise ignore alors son statut de victime, et ne peut donc pas adopter les mesures appropriées pour faire cesser ces intrusions".

Des orientations qui exigent des investissements supplémentaires. Certainement de quoi expliquer en partie la hausse de 8% des dépenses en matière de SSI annoncées par le cabinet Gartner pour 2014, pour un total de 71,1 milliards de dollars au niveau mondial.

RSSI