Editorial (suite)

L’exposition aux risques des systèmes d'information

Les entreprises ne sont évidemment pas égales dans leur exposition aux risques dans le domaine de l’information.

Le domaine d’activité est le premier critère. Si vous êtes dans les domaines bancaires, de l’électronique, de la distribution, du pharmaceutique, du conseil aux entreprises, et évidemment du militaire et du spatial, votre risque est maximal.

En revanche, vous êtes moins exposé si vous êtes dans les domaines des Travaux Publics, de l’agroalimentaire. Cette exposition aux risques est à pondérer suivant votre degré d’informatisation de vos processus métiers.

De multiples autres critères interviennent , par exemple :
Les facteurs humains. L’entreprise vit elle des périodes difficiles ? Y a t’il une utilisation récurrente d’intérimaires qualifiés ?
La dispersion géographique de l’entreprise, ses liens avec d’autres sociétés (exemple : être fournisseur d’une société qui fait partie des domaines à risques),
l’intelligence économique : L’entreprise est elle dans un domaine concurrentiel international ?

Le coût de la sécurité de l’information

Il est illusoire de vouloir organiser une politique de sécurité de l’information sans une politique budgétaire cohérente. Des rapports de benchmarking donnent des ratios de 2 à 8% du budget informatique alloué à la sécurité (5 à 7% pour les grands groupes européens).

Mais si l’on considère que la sécurité de l’information n’est pas uniquement un sujet technologique, ne serait-il pas plus pertinent de l’intégrer dans d’autres budgets que l’informatique ?

Faut il absolument justifier le poste budgétaire de la sécurité de l'information ?

Non, si l’on considère la croissance énorme des investissements autour des systèmes d’informations sur la décennie pour atteindre aujourd’hui 35% des investissements productifs en France (et presque 50% aux États Unis)   alors la sécurisation de ces investissements semble indispensable et devrait être intégré dans les budgets initiaux des projets de système d'information.

Oui car le problème est plus d’organiser cette montée en puissance de la sécurisation de l’information et d’arbitrer les priorités, en partant d'une situation où la sécurité de l'information a été négligée.

Pour ce faire, il est évidemment indispensable de classer l’information, sa sensibilité, sa vulnérabilité. Différentes méthodes existent, néanmoins elles sont toutes basées sur les critères de probabilité, d’acceptabilité et de détectabilité.

La mise en place de ces techniques de « Risk Management » pour le patrimoine de l’information est utilisée systématiquement par les grandes entreprises, mais beaucoup plus rarement par les PME/PMI.

Les assurances spécifiques à la fraude informatique

Les assureurs ont eu trop de secousses violentes durant les deux dernières années, pour avoir une politique audacieuse sur la couverture des risques liées aux technologies de l’information.

Certes ils assurent facilement les risques de destruction de matériel informatique, le vol et éventuellement les frais de reconstitution des données. Mais de là à assurer le patrimoine de l’information de l’entreprise vis à vis des autres risques (Virus, dénis de service, pannes, falsifications des pages des serveurs) ...

Il existe certaines grandes sociétés américaines (Marsh, ACE Europe, AIG …) qui disposent de leur propre méthodologie d’analyse de risques et qui proposent de les couvrir.

Ces contrats assurent avant tout la perte d'exploitation dû à un déni de service par exemple, pour la perte d'information, ainsi que pour la responsabilité civile, que ce soit vis à vis d'un client ou d'un fournisseur.

Il semble assez évident que ce type de risque doit être couvert dans les années à venir.