Chiffres clés de la sécurité des systèmes d'information

Données clés de la sécurité des systèmes d'information

Bien comprendre les enjeux de la sécurité de l’information, c’est aussi comprendre quelques données clefs.

Dépendance des entreprises vis à vis du Système d’Information & établissement d'une politique de sécurité

• 2/3 des entreprises françaises (de plus de 200 personnes) estiment avoir une dépendance forte vis à vis de leur système d’information : on peut comprendre ainsi que toute indisponibilité de celui ci la pénalisera fortement.

• alors que seulement ¼ de ces entreprises ont mis en place une politique de sécurité de l’information.

Première indication : L’adage qui dit qu’on ne protège bien que ce qui nous est important est erroné quant à la protection de l’information.

Le coût des attaques de sécurité de l’information :

Tous les chiffres des différentes enquêtes sont formels. L’analyse des coûts induits par les problèmes de sécurité n’est que peu abordée en France (sauf dans quelques grandes entreprises ayant une réelle démarche de gestion des risques).

Cette analyse chiffrée vient surtout des pays anglo-saxons (d'oùn provient la majorité des méthodes de risk management) :

• le coût moyen d’une incident de sécurité est de 40.000 €
• certaines entreprises ont déclaré des incidents de sécurité leur ayant coûté 700.000 £
• dans 20% des cas, les entreprises mettent plus d’une semaine pour revenir à une situation de fonctionnement normal.

Quelle confiance dans leur sécurité de l’information ?

Environ 85% des entreprises françaises se pensent bien protégées (très bien ou relativement bien) alors qu'elles ont près de 2/3 à ne pas avoir mis en place de système leur permettant de savoir si elles ont subi des attaques (tant interne, qu'externe).

La même enquête aux USA fait par le CISSA (organisme américain équivalent au Clusif en France, association regroupant des entreprises et des professionnels autour de la sécurité de l’Information), a montré qu’à peine 20% des entreprises américaines sont bien protégées par rapport à un référentiel minimal de bonnes pratiques (ISO 17799).

Bref, telle est la situation en France, on est confiant en la sécurité de l’information pour son entreprise alors que l’on a pas mis en oeuvre une politique de sécurité et les mécanismes de contrôle associés. Etonnant, non ?

Arrivée de méthodes de mesure/contrôle de mise en place de la sécurité de l’Information.

L’arrivée en France de normes internationales et de méthode basées sur des analyses des risques (Mehari, Ebios, ...) réels pour l'entreprise risque bien de remettre en cause notre bonne vieille culture des solutions « techno-centrique », c’est à dire de croire, qu’ayant mis un bon anti-virus, un bon pare-feu le problème de la sécurité de l’information est traité.

Mais peut être que les Directions Générales des Entreprises et Organismes ne délégueront plus la responsabilité de la Sécurité de l’Information au seul département informatique, qui, si il a des responsabilités vis à vis des solutions techniques à mettre en œuvre, n’a ni le pouvoir, ni les moyens de mettre en place une culture sécurité et de gestion des risques chez les utilisateurs.