Sécurité : les entreprises coincées entre marteau et enclume

A consulter l’édition 2010 du rapport de Symantec sur la sécurité informatique des entreprises, on comprendrait que les responsables sécurité du SI (TSSI) aient le moral au plus bas. De fait, pour 84 % des sondés, cette question est essentielle ou, à tout le moins, très importante. Pour 42 % des personnes interrogées, elle vient même avant les activités criminelles conventionnelles, les problèmes d’atteinte à l’image de marque, les catastrophes naturelles, ou encore le terrorisme. Basée sur l’interrogation de 2100 directeurs des systèmes d’information et responsables de la sécurité informatique d’entreprises du monde entier de 500 à plus de 5000 employés – dont 700 entreprises pour la région EMEA, parmi lesquelles 75 pour la France –, courant janvier, l’étude de Symantec souligne toute la complexité du métier de responsable de la sécurité des systèmes d’information.

La menace informatique, une réalité couteuse

Il y a tout d’abord le constat d’une réalité : 78 % des sondés reconnaissent avoir subi une attaque informatique au cours des 12 derniers mois ; 32 % estiment que le nombre des attaques a même progressé sur la période. Le tout se soldant par des pertes avec, dans le top 3 : le vol de données personnelles identifiables de clients ; le vol de données personnelles d’employés ; et le vol de données financières de clients. Le tout pour un coût de l’ordre de 1,6 M$ en moyenne par entreprise concernée, réparti entre perte de productivité, pénalisation de l’image de marque, et perte de confiance de la part des clients.

Une lutte à armes inégales

Là, les RSSI et DSI interrogés estiment manquer de moyens. A commencer par les moyens humains : 45 % des sondés jugent disposer de personnels en effectifs quelque peu voire très insuffisants pour la sécurité réseau, mais aussi pour la prévention des pertes de données ou encore pour la sécurité des systèmes. Des moyens insuffisants, donc, auxquels viennent s’ajouter l’évolution rapide et la complexité croissante des environnements à exploiter. En particulier, et dans l’ordre, la sécurisation semble particulièrement difficile pour les environnements de type Infrastructure-as-a-Service (32 %), Platform-as-a-Service (31 %), virtualisation de serveurs (28 %), Software-as-a-Service (32 %), et enfin virtualisation des postes de travail (29 %). Enfin, comme pour répondre en écho à une récente étude de Webroot, selon laquelle les réseaux sociaux constitueraient la principale menace pour les PME en 2010, Symantec relève que 26 % des sondés considèrent que les sites Web de réseau social représentent une menace quelque importante, voire très importante, pour leur entreprise. Mais la messagerie d’entreprise reste en tête des menaces pour 41 % des sondés.

Enfin, Symantec s’alarme de la problématique de conformité réglementaire, soulignant que, en moyenne, une entreprise cherche à se conformer à rien moins de 19 standards ou référentiels, avec 8 effectivement mis en œuvre. Dans l’ordre : ISO, CIS, la directive européenne sur la protection des données privées, HIPAA, ITIL, et enfin CobIT.