Les données de la sécurité de l'information

Quelle confiance dans leur sécurité de l’information ?

La même enquête aux USA fait par l'ISSA (organisme américain équivalent au Clusif en France, association regroupant des entreprises et des professionnels autour de la sécurité de l’Information), a montré qu’à peine 20% des entreprises américaines sont bien protégées par rapport à un référentiel minimal de bonnes pratiques (ISO 27001).

Bref, telle est la situation en France, on est confiant en la sécurité de l’information pour son entreprise alors que l’on a pas mis en oeuvre une politique de sécurité et les mécanismes de contrôle associés. Etonnant, non ?

 


Arrivée de méthodes de mesure/contrôle de mise en place de la sécurité de l’Information.

L’arrivée en France de normes internationales et de méthode basées sur des analyses des risques (Mehari, Ebios, ...) réels pour l'entreprise risque bien de remettre en cause notre bonne vieille culture des solutions « techno-centrique », c’est à dire de croire, qu’ayant mis un bon anti-virus, un bon pare-feu le problème de la sécurité de l’information est traité.

Mais peut être que les Directions Générales des Entreprises et Organismes ne délégueront plus la responsabilité de la Sécurité de l’Information au seul département informatique, qui, si il a des responsabilités vis à vis des solutions techniques à mettre en œuvre, n’a ni le pouvoir, ni les moyens de mettre en place une culture sécurité et de risk management) :

  • le coût moyen d’une incident de sécurité est de 40.000 €
  • certaines entreprises ont déclaré des incidents de sécurité leur ayant coûté 700.000 €
  • dans 20% des cas, les entreprises mettent plus d’une semaine pour revenir à une situation de fonctionnement normal.

Quels sont les obstacles à la mise en oeuvre d'un management de la sécurité de l'information ?

Le premier obstacle est souvent économique. Mais en fait cela cache d'autres difficultés. La première est de positionner la sécurité de l'information : chantier technologique ou chantier transverse à l'entreprise.

Suivant la réponse des entreprises, les freins à la mise en oeuvre de la sécurité de l'information sont alors différents.

Les budgets de sécurité sont ils bien distribués ?

On voit dans le graphique ci-après, que la distribution des budgets est très déséquilibrée entre technologie et moyens organisationnels. Bruce Schneier, un expert de la sécurité de l'information résume pourtant bien ce dilemne dans son livre Secrets et Mensonges :
"Si vous pensez que la technologie peut résoudre vos problèmes de sécurité, alors vous n'avez rien compris à vos problèmes ni à la technologie"

Seules les grandes entreprises ont pris conscience de l'importance d'impliquer fortement les directions utilisatrices dans l'ensemble de la démarche sécurité.

Calcul du ROI de la sécurité

Moins d'une entreprise sur trois calcule le ROI des mesures de sécurité. Il est vrai que ce n'est guère plus évident pour la sécurité que pour les autres investissements des systèmes d'information.

Pourtant la mise en oeuvre de certains indicateurs permettraient de mieux justifier les investissements de sécurité. Les premiers concernant évidemment la disponibilité des application critiques pour l'entreprise.


Copyright Ysosecure © 2002 - 2018