Le nombre d'incidents de sécurité explose en France
L'ouverture du système d'information, à des tiers ou aux smartphones a porté un coup dur à sa sécurité. Le manque de budget n'est pas le premier obstacle cité par les RSSI pour améliorer cette situation.
Six entreprises françaises sur dix déclarent aujourd'hui avoir subi au moins un incident de sécurité au cours des douze derniers mois. Elles étaient moins de quatre sur dix l'année dernière. "Et les conséquences sont lourdes en termes métiers", alerte le cabinet PwC dans la 14e édition de son étude mondiale sur la sécurité de l'information, la protection des données et leur alignement avec les besoins métiers.
Perte financière, vols de propriété intellectuelle ou atteintes à l'image, ces trois types d'incidents de sécurité sont en hausse significative dans l'Hexagone. Une entreprise sur cinq déclare désormais avoir subi des pertes financières à cause d'un incident de sécurité alors qu'elles étaient 15% l'année dernière et 8% il y a 3 ans. Progression similaire enregistrée pour les vols de propriété intellectuelle, dont se disent victime 17% des entreprises aujourd'hui contre 6% en 2008. Idem pour les atteintes à l'image : 13% aujourd'hui, contre 6% en 2008
Prise de conscience
L'étude montre également que ces hausses révèlent "une tendance à l'amélioration de la connaissance par les sociétés des incidents qui les frappent, de leurs caractéristiques et de leurs causes, qui se poursuit de manière spectaculaire".
En 2009, plus d'une société française interrogée sur deux ne connaissaient pas le nombre d'incidents survenus, contre moins d'une sur dix aujourd'hui. Il y a trois ans, la moitié des sociétés disaient ne pas connaître les sources des incidents, contre une sur cinq aujourd'hui.
L'ouverture du système d'information en cause
En quelques années, le nombre d'incidents liés à des partenaires, fournisseurs ou clients, a triplé en France en trois ans. En effet, à la question "quelle est la cause présumée des incidents", les sociétés françaises répondaient, il y a trois ans, "les clients " à 6% contre 17% aujourd'hui, ou "les partenaires ou fournisseurs" à 5 % contre 17% également aujourd'hui.
L'étude fait aussi remarquer, que paradoxalement, "si les incidents causés par des tiers augmentent depuis 3 ans, les moyens affectés à la gestion de ces types de risques (inventaire des tiers manipulant des données personnelles, exigence qu'ils respectent la politique de sécurité, et vérification du respect de la politique de sécurité) se dégradent également depuis 3 ans."
Manque de stratégie de sécurité pour les smartphones et et réseaux sociaux
Si l'étude PwC met en évidence une zone de risque croissante, les incidents causés par des tiers, qu'ils soient clients ou partenaires, elle révèle également que les entreprises éprouvent des difficultés à gérer les risques liés aux terminaux mobiles, à la mobilité, ou aux réseaux sociaux. Moins d'une entreprise sur trois possède une stratégie de sécurité spécifique à l'utilisation des terminaux personnels (contre 43% dans le monde). A peine une entreprise française sur quatre déclare également avoir une stratégie de sécurité pour les terminaux mobiles (contre 37% dans le monde) ou les réseaux sociaux (contre 24% dans le monde).
Cependant, si cette prise de conscience est peut être un signe encourageant, cette croissance du nombre d'incidents de sécurité a logiquement aussi entrainé une chute de la confiance des entreprises envers leur niveau de sécurité. En France, la proportion de répondants jugeant être "confiants" ou "plutôt confiants" quant à l'efficacité des mesures de sécurité adoptés est passée de 87% à 55% en trois ans.
Obstacles majeurs
Quels sont les obstacles majeurs à l'efficacité de la sécurité du SI ? Les responsables de la sécurité de l'information citent d'abord le manque de compréhension et de vision (37%) et la complexité des SI (30%) comme les principaux obstacles à leur démarche de sécurité, devant le manque de budget (29%). Les dirigeants eux, citent d'abord le manque d'investissement (27%) puis... leur manque de leadership (25%).