Sécurité de l'information

Toujours plus de données sous forme numérique

Plus que jamais, l'exposition des entreprises aux menaces liées à la sécurité de leurs informations se révèle élevée. En effet, rares sont les informations qui ne sont pas stockées, traitées, utilisées ou communiquées sous une forme numérique. Et de nombreuses données sont sensibles et confidentielles. Quelques exemples :

• les données personnelles de clients,
  
• les informations liées à la stratégie de l'entreprise, sa R&D ou sa création,
  
• les informations bancaires, comptables ou financières.

Une multiplication des données sur des supports nomades

Ces informations sensibles sont stockées non seulement dans les applications métiers (ERP, comptabilité…) mais de plus en plus sur des supports sous la responsabilité des collaborateurs : les disques durs des postes de travail, les messageries électroniques et les supports informatiques nomades (ordinateurs portables, smartphones, assistants numériques, clefs USB, etc) .

Et les risques sont encore plus élevés pour les données utilisées par les collaborateurs en voyage à travers le monde qui échangent en permanence avec des clients, partenaires ou fournisseurs.

Enfin, la distinction entre l'informatique professionnelle et l'informatique personnelle devient de plus en plus floue. Par exemple, l'ordinateur portable professionnel est souvent utilisé comme ordinateur personnel, l'assistant numérique gère aussi bien les rendez-vous professionnels que privés, les collaborateurs utilisent les réseaux sociaux (types Facebook ou Twitter) depuis leur ordinateur professionnel, souvent à l'insu du département informatique, parfois en contournant les mesures restrictives déployées…

Un contexte de crise propice aux comportements malveillants de collaborateurs

Les tensions sociales, les frustrations professionnelles et le stress, etc. augmentent les tentations malveillantes de collaborateurs. Ils sont parfois tentés d'emporter des données commerciales ou technologiques sensibles et les vendre à un concurrent ou les offrir à un employeur potentiel. L'affaire de l'informaticien d'une grande banque internationale qui a livré au fisc français la liste de 3000 « évadés fiscaux » en Suisse en est l'exemple le plus illustratif.

Une menace pèse donc sur la confidentialité et l'intégrité des données critiques des entreprises.

Notre enquête montre que le nombre d'incidents identifiés par les entreprises augmente, et qu'ils concernent de plus en plus l'exploitation des données.

Ces piratages ou intrusions ne sont quasiment plus aujourd'hui réalisées par des adolescents en mal de reconnaissance. Ils sont le fait de groupes organisés, motivés par la volonté de procéder à des fraudes ou de piller les secrets industriels des entreprises. De telles attaques peuvent avoir des impacts graves, comme des pertes financières significatives, des atteintes durables à la réputation de l'entreprise ou encore des baisses des cours de bourse, voire des condamnations judiciaires.

En témoignent quelques exemples rendus publics récemment :

• En 2008 et 2009, des hackers sont parvenus à pénétrer depuis Internet dans les systèmes d'information de chaines de supermarchés et d'opérateurs de traitement de paiement par cartes. Ils ont dérobé des millions de numéros de cartes de paiement. Ces données ont été utilisées par la suite pour retirer plus de 9 M$ de dollars en une seule journée dans plusieurs dizaines de villes dans le monde, lors d'une opération concertée. Outre la perte financière considérable, l'un de ces opérateurs vient d'écoper d'une amende de plusieurs dizaines de millions de dollars pour n'avoir pas assuré la protection des données de ses clients.
  
• Plus récemment encore, une trentaine de sociétés dans les secteurs technologies, média et défense ont été visées par des attaques ciblées : il s'agissait d'introduire au sein des systèmes d'information des programmes malveillants permettant de piller des informations sensibles relevant de la propriété intellectuelle ou industrielle.

Malgré les efforts déjà réalisés, le niveau sécurité se révèle peu rassurant…

Les entreprises n'ont pas attendu cette actualité récente pour dégager des budgets afin de sécuriser leurs systèmes d'information. La preuve : dans de nombreuses entreprises, des outils comme des firewall ou des anti-virus ont été mis en place, des politiques de sécurité ont été déployées, des Responsables de la Sécurité des Systèmes d'Information (RSSI) ont été nommés, des audits ou tests d'intrusion ont été diligentés.

Cependant, si des progrès ont été réalisés, il reste encore du chemin à faire. Certains chiffres sont éloquents et très peu rassurants :

• un tiers des entreprises déclarent ne pas savoir si des incidents de sécurité sont survenus au sein de leur système d'information !
  
• sur les deux tiers qui ont une visibilité sur le nombre d'incidents intervenus, 39% ne sont pas à même d'identifier les canaux exploités (ex : faille du système, faille humaine…) pour créer ces incidents ;
  
• 6 entreprises sur 10 ne disposent pas d'inventaire des emplacements où sont stockées les données sur le personnel et les clients.

Une fonction Sécurité de l'Information insuffisamment intégrée avec les métiers…

Force est de constater que les fonctions Sécurité de l'Information suivent encore trop souvent une approche technique, consistant principalement à empiler outils et mécanismes de sécurité, sans réellement analyser les risques et les besoins de sécurité d'un point de vue métier.
Ainsi, afin de repérer des attaques de hackers, des entreprises mettent en place des outils sophistiqués de détection d'intrusion sans même s'apercevoir qu'il est tout simplement possible d'accéder à une application sensible avec un mot de passe par défaut connu de tous.

En outre, les fonctions Sécurité de l'Information interagissent parfois uniquement avec les Directions des Systèmes d'Information au lieu de rencontrer régulièrement les opérationnels afin de discuter de leurs problèmes, de leurs risques et des besoins de sécurité pour leurs informations.

…et trop peu d'évaluation de son efficacité

Les entreprises évaluent rarement l'efficacité des efforts consentis et des mesures déployées pour sécuriser les informations. Mais cette étape supplémentaire sur le chemin à parcourir est, crise oblige, en train d'être abordée.

Un maintien, voire une augmentation des budgets…

Notre enquête a révélé que les dirigeants, malgré la crise ont globalement maintenu les budgets destinés à protéger les données et à maitriser les risques de sécurité informatique : plus de 63% des entreprises ont préservé, voire augmenté les budgets dédiés à la sécurité des systèmes d'information !
En outre, les entreprises qui diffèrent des projets ou réduisent leurs budgets « sécurité » adoptent pour la plupart une attitude mesurée : des reports de projets « sécurité » inférieurs à six mois et des réductions de budgets inférieures à 10%.

…en contrepartie d'un suivi plus précis des résultats obtenus

Toutefois, les efforts budgétaires consentis ne sont pas un chèque en blanc à la fonction Sécurité de l'Information.

Les décideurs veulent aujourd'hui une stratégie de sécurité de l'information alignée sur les risques métiers prioritaires. Dans cette approche, les investissements sont d'abord consacrés aux menaces les plus graves qui peuvent frapper l'entreprise, non pas à un niveau uniquement informatique, mais à un niveau global.

Les décideurs ont également la volonté de soumettre la fonction Sécurité de l'Information à un pilotage économique visant à s'assurer que les investissements contribuent de manière efficace à la réduction des risques. Il ne s'agit pas d'obtenir des évaluations quantitatives du retour sur investissement en matière de sécurité ; c'est une notion que les experts essayent de définir depuis des années sans beaucoup de succès. Cependant, une revue régulière des processus et projets relatifs à la sécurité des systèmes d'information, sous l'angle de leur efficacité et de leur contribution à la réduction des risques métiers, est légitime et souhaitable. Par exemple, la manière dont l'entreprise gère la protection contre les virus informatiques est-elle efficace ? La fréquence des incidents dus à des virus est-elle maintenue à des niveaux très faibles ? En outre, les coûts liés à cette protection ne pourraient-ils pas être diminués, par exemple en automatisant encore plus le processus ?

Des progrès restent à faire

Notre enquête révèle que les entreprises françaises sont en retrait par rapport aux entreprises étrangères, notamment en ce qui concerne :

• la prise de conscience des risques : par exemple, 60% des répondants français ne savent pas dire s'ils ont subi des incidents de sécurité (contre 39% dans le monde) !
  
• les budgets alloués : les sociétés françaises ont été plus que majoritaires à couper dans les budgets Sécurité de l'Information à l'occasion de la crise, au contraire de leurs homologues dans d'autres pays (36% seulement). Cette situation est sans doute due à une approche de la sécurité des systèmes d'information plus technique que dans d'autres pays. Il est logique qu'une fonction Sécurité de l'Information qui ne fait pas le lien avec les risques métiers ait plus de difficultés à obtenir des budgets.
  
• l'inventaire des données sensibles : quasiment 80% des répondants français ne disposent pas d'inventaire des emplacements où sont stockées les données sensibles (contre 60% pour l'ensemble des répondants de l'étude).

Certes la France n'a pas (encore) subi d'incidents de sécurité majeurs et rendus publics, comme les Etats-Unis ont pu en connaitre par exemple. Mais dans un monde de plus en plus globalisé, il serait étonnant que les entreprises françaises échappent à des menaces qui ont déjà frappé d'autres entreprises dans le monde.

La prise de conscience des risques liés à la sécurité des informations, notamment chez les décideurs, est donc appelée à se renforcer, et le sujet de la sécurité des systèmes d'information est destiné à se retrouver de plus en plus sur la table des dirigeants français.

En pleine crise, la gestion du risque et le pilotage de la sécurité de l'information sont des éléments clés à renforcer et à intégrer dans la stratégie de gestion de l'ensemble des risques de l'entreprise.
Passer d'une approche technologique à une stratégie de protection des informations fondée sur l'analyse des risques métiers

Au-delà de la prise de conscience de plus en plus prégnante des dirigeants, il est nécessaire que ceux-ci se saisissent du sujet de la protection des données, et ne laissent pas la Direction Informatique gérer seule les risques liés à la sécurité des informations. Pour cela, il convient de s'assurer qu'une approche basée sur les risques est suivie.

Dans une telle approche, la stratégie, les actions, les investissements découlent d'une analyse des risques métiers et de leur déclinaison sous langle de la sécurité des systèmes d'information. Un plan de traitement des risques est ensuite défini, et validé in fine par le management.
Ce plan peut définir :  

• la mise en œuvre d'actions permettant de réduire les risques (par exemple mettre en œuvre un programme de sensibilisation des employés à la sécurité de l'information) ;     
• le transfert des risques sur des tiers, via des polices d'assurance (par exemple en ce qui concerne les risques d'interruption des services informatiques à cause de virus) ;
  
• ou l'acceptation des risques considérés comme peu probables ou avec un impact faible.

Coordonner la fonction de Sécurité de l'Information de manière transversale avec les fonctions Risques, Audit interne, Contrôle interne et les métiers

La fonction de Sécurité de l'Information doit travailler en bonne intelligence avec les fonctions Risques, Audit interne, Contrôle interne, Conformité, et avec les métiers. C'est en travaillant avec ces entités que les responsables de la sécurité du système d'information pourront avancer de la façon la plus efficace, en s'assurant que la protection des informations :

• est prise en compte dans la gestion des risques et est alignée sur les risques de l'entreprise,
  
• est couverte dans les audits internes,
  
• est incluse dans les dispositifs mis en place par le contrôle interne,
• permet de respecter les lois et réglementations,
  
• et est in fine en ligne avec la stratégie, les risques et les besoins des métiers.

Mettre des priorités aux risques à couvrir et aligner les budgets

Enfin, il convient de dégager les budgets nécessaires à la maitrise des risques qui auront été identifiés et validés comme étant prioritaires. Il est également nécessaire de mettre en place, un pilotage de ces budgets afin de s'assurer que la fonction Sécurité de l'Information est :

• alignée sur le métier et les risques métiers,
  
• adaptée aux menaces,
  
• efficace, c'est-à-dire permettant de couvrir les risques identifiés,
  
• efficiente, c'est-à-dire avec une efficacité obtenue pour un coût optimisé.

Les résultats de notre étude "Global State of Information Security 2010" sont disponibles sur note site internet : http://www.pwc.fr/it-security-survey.html

• Envoyer
• Imprimer