Pas simple de justifier
les investissements en sécurité Par Pierre Lombard (Directeur associé, Benchmark Group) Par JDNet Solutions (Benchmark Group) URL : http://www.journaldunet.com/solutions/0311/031118_chro_lombard.shtml Lancer l'impression
Bien que le nombre d'attaques ait considérablement augmenté envers les systèmes d'information, les entreprises semblent avoir levé le pied sur les investissements en dispositifs de sécurité. Ainsi, le CERT, le groupe dédié à la sécurité de l'université Carnegie Mellon, a évalué à plus de 76 000 le nombre d'incidents de sécurité informatique rencontrés au cours des six premiers mois de 2003. Un chiffre à comparer aux 82 000 incidents relevés pour l'ensemble de l'année précédente. De plus, les attaques sont devenues plus sophistiquées. On a par exemple dénombré plus de virus et de vers destinés à voler des informations. Dans le même temps et assez paradoxalement, les entreprises semblent baisser un peu leur garde. L'enquête Security Survey publiée par Information Week cet automne est révélatrice de cette tendance. Seulement 58% des professionnels interrogés considèrent la sécurité comme une priorité (ils étaient 72% en 2001) ; seulement 39% prévoient d'augmenter leurs dépenses dans ce domaine (ils étaient 49% l'an dernier). Il y a plusieurs raisons à cela. La première est sans doute que des moyens de protection sont aujourd'hui en place : s'ils sont efficaces, pourquoi les renforcer ? Seulement 45% des entreprises interrogées par Information Week ont été victimes d'attaques de vers ou de virus : elles étaient 70% en 2001. Le deuxième type d'attaques, en terme d'importance, est le déni de service : il n'a frappé que 19% des organismes. Protections efficaces donc : plus de 80% des entreprises sont équipées de pare-feu, 79% utilisent des antivirus et 71% font appel à des réseaux virtuels privés. La deuxième raison qui explique la réduction des dépenses de sécurité est tout simplement que l'ensemble des budgets informatiques a été réduit. Selon Gartner Group, bien des sociétés mettent à peine plus de 5% de leur budget informatique dans la sécurité et estiment que c'est un niveau d'investissement à ne pas dépasser. Enfin, dernière raison : les investissements en dispositifs de sécurité sont de plus en plus difficiles à justifier. Rapporteront-ils plus de chiffre d'affaires, seront-ils bénéfiques à l'image de la marque auprès de la clientèle, entraîneront-ils des réductions de coûts, augmenteront-ils la productivité ? Il est probable que la réponse à ces questions soit négative. Dans ces conditions, comment
estimer le ROI de la sécurité informatique ? Pour le cabinet américain Wilson
Secure, spécialisé dans l'analyse de risques (liés à l'usage des réseaux en particulier),
plusieurs étapes mènent à une juste estimation de ce ROI.
On pourra réaliser une matrice
évaluant la valeur (basse, moyenne ou haute) des ressources. Pour chacune d'elles,
on tentera de fixer le coût initial et le coût d'exploitation, ainsi que ce qu'elles
représentent en terme de production, de R&D ou d'apport à la valeur de l'entreprise,
de manière sensible ou intangible. Une fois que les actifs du système d'information
sont clairement identifiés, on pourra définir des indicateurs chiffrés, comme
le facteur d'exposition : l'estimation en pourcentage qu'une ressource disparaisse
si un événement survient. Si l'on combine ce facteur à la valeur monétaire de
la ressource, on obtiendra une estimation monétaire des risques informatiques
courus par l'entreprise. Ces indicateurs pourront servir à justifier certains
investissements en sécurité. Tribune publiée par Pierre Lombard le 18/11/2003 Pour tout problème de consultation, écrivez au Webmaster Copyrights et reproductions . Données personnelles Copyright 2006 Benchmark Group - 69-71 avenue Pierre Grenier 92517 Boulogne Billancourt Cedex, FRANCE |
|