Des pirates informatiques promis à un avenir radieux ?

La crise semble avoir du bon pour le piratage informatique. Selon le cabinet Deloitte Touche Tomhmatsu, qui a sondé plus de 200 organisations des médias et des NTIC (TMT) au cours des 12 derniers mois, il y a « un recul significatif de l’investissement dans la sécurité » informatique. Un recul d’autant plus « préjudiciable » aux entreprises concernées qu’il survient dans un contexte de « programmes massifs de numérisation de la propriété intellectuelle à travers le bon. » Bref, le numérique étend son empreinte sur l’activité des entreprises mais sans les mesures de protection adaptées.

Au cours des douze derniers mois, 32 % des sondés au laissé reculer leur budget sécurité du SI ; 25 % l’ont augmenté de moins de 5%. Désormais, selon le cabinet,  « plus de 55 % des organisations TMT allouent moins de 6 % de leur budget IT à la sécurité de l’information. C’est sans surprise que 60 % des sondés assurent qu’ils prennent du retard ou tout juste le rattrapent par rapport aux menaces – un pourcentage significativement plus élevé que celui de 49 % obtenu dans la précédente édition de ce sondage. »

Dépenser moins pour faire mieux ?

Reste que certains éléments de cette étude peuvent sembler positifs. Ainsi, plus de 41 % des sondés ont établi des indicateurs pour mesurer l’efficacité de leurs dispositifs de sécurité, contre 19 % l’an passé. Pour Deloitte, il n’y a pas de doute, cette donnée indique que les entreprises dépensent « plus intelligemment » dans la sécurité. Une logique qui, associée à un recul de la dépense, conduit tout naturellement à recul de l’adoption rapide des solutions de sécurité les plus récentes : « seulement 53 % des sondés se considèrent comme des prescripteurs, contre 67 % il y a un an ». Selon le cabinet, les entreprises se concentrent les technologies éprouvées ou leurs investissements passés pour en améliorer l’efficacité.

Des menaces internes toujours plus marquées

Selon Deloitte, les principales menaces pour la sécurité de l’information viennent de l’intérieur. Ou en appui avec l’intérieur de l’entreprise. De moins est-ce la perception des sondés : ils placent l’exploitation des vulnérabilités des technologies Web 2.0 et l’ingénierie sociale en tête des menaces présumées, avec la crainte de voir des collaborateurs laisser sortir involontairement des données sensibles sans en mesurer les conséquences. Mais certains salariés n’hésiteraient pas à utiliser volontairement Internet et les réseaux sociaux pour des activités illicites, quitte à engager la responsabilité de l’entreprise. Du coup, seuls 28 % des sondés se sentent confiants vis-à-vis des menaces internes, contre 51 % en 2008. Un recul que certains ne manqueraient d’être tentés d’attribuer à la baisse possible de la loyauté des salariés vis-à-vis de leur entreprise en période de crise. Mais Deloitte se garde de formuler une telle interprétation.

L’externalisation, point noir de la sécurité

Peut-on outsourcer une partie de son SI sans risque ? Pas sûr. Au cours des 12 mois, 56 % des sondés dans le cadre de l’étude Deloitte ont été confrontés à des incidents de sécurité répétés issus de partenaires qualifiés de « sûrs. » La confiance en prend très logiquement un coup : à 49 %, les sondés expliquent qu’ils ne sont pas très confiants ou, au mieux, « à peu près confiants »… Bref, l’ouverture du SI à des partenaires, ce n’est pas parfait. Pour autant, les mesures de protection semblent encore limitées : seulement 20 % des sondés testent effectivement la sécurité de l’infrastructure de leurs sous-traitants ; les autres s’appuient sur des accords contractuels ou encore du simple contrôle d’accès.