Protection des Systèmes d’Information en Belgique : 45% des entreprises sondées prévoient une augmentation du nombre d’incidents de sécurité

  • Share

View this page in Dutch 

Le 12 décembre 2012 - Un cri d’alarme très clair est lancé dans l’enquête « Global Information Security Survey » 2012 d’EY : 45% des organisations belges constatent une augmentation du nombre d’incidents touchant à la sécurité. Un chiffre qui dépasse de plus de 10% la moyenne mondiale. Voici 15 ans qu’EY suit de près, au travers de cette enquête annuelle, l’évolution mondiale de la sécurité des Systèmes d’Information. 1.850 CIO, CISO et autres managers concernés par la protection des Systèmes d’Information de 64 pays ont participé à la dernière édition de l’enquête. Le fait que les grandes tendances internationales se confirment parmi les 34 organisations belges interrogées n’est pas une surprise, mais l’enquête a aussi fourni plusieurs constatations marquantes pour la Belgique.

À peine 10% des organisations interrogées en Belgique estiment que les mesures de protection IT actuelles répondent aux besoins de l’organisation. « Le CIO est de plus en plus souvent pris de vitesse », explique Maxime Raymond, IT Risk and Assurance Manager chez EY. « Les changements sont de plus en plus complexes et se succèdent à un rythme toujours plus soutenu. Les marchés émergents, la volatilité économique persistante, l’offshoring, les interventions des pouvoirs publics et/ou des régulateurs, une règlementation de plus en plus stricte : la protection des informations a toujours été une matière difficile, et ces facteurs ne font que la rendre encore plus complexe. De plus, les menaces externes ne sont pas les seules à augmenter. 62% des participants belges, soit 15% de plus que la moyenne mondiale, signalent aussi un accroissement de la vulnérabilité interne. La combinaison de nouvelles technologies et de travailleurs négligents ou mal informés (voire quelquefois malveillants) est un facteur prépondérant dans cette problématique. »

La moitié de toutes les organisations belges se sont déjà converties au cloud computing (hébergement externalisé de ressources informatiques (infrastructure, application ou données) accédées via l’internet). C'est deux fois plus qu’il y a deux ans... Mais une sur quatre seulement a pris des mesures pour maîtriser les risques que cette transition implique, par exemple des mesures de cryptage renforcées, ou un contrôle plus strict des niveaux de service (service-level) fournis par les prestataires de service de cloud computing. Et, sur le plan de la protection en Belgique, le tableau est identique pour d’autres technologies prometteuses.

« 33% des entreprises sondées utilisent déjà des appareils mobiles – smartphones et autres tablettes – pour accéder en ligne à des informations de l’entreprise », poursuit Maxime Raymond. « Toutes les autres précisent vouloir s’y mettre dans l’année. Le matériel utilisé appartient indifféremment à l’entreprise ou aux travailleurs. Cette pratique donne naissance à un immense flux d’information entre l’organisation et le monde extérieur très difficile à contrôler. » Tout le monde semble d’accord pour dire que des mesures de sécurité complémentaires s’imposent, mais dans la pratique, 24% seulement des entreprises utilisent une forme de cryptage spécifique pour les appareils mobiles. Sur ce point, notre pays a un retard significatif sur la moyenne mondiale (40%).

9% à peine des organisations belges estiment que la protection des informations correspond aux besoins de l’entreprise. Avec 5% de budget supplémentaire pour la Sécurité de l’Information, 53% des entrepreneurs belges voient se dessiner un mouvement de rattrapage l’an prochain. Les principales priorités sont la formation et la sensibilisation (64%) ainsi que la sécurisation des nouvelles technologies (47%). « Il n’est pas du tout certain que cela soit suffisant », précise Maxime Raymond. « Nous constatons que 65% des entreprises ne disposent pas encore d’une architecture de protection solide. Au lieu de prendre les mesures de fond qui s’imposent, elles se contentent trop souvent de modifications au coup par coup et de solutions à court terme, notamment parce que ces responsabilités ne sont pas toujours attribuées aux bonnes personnes. »

En effet, des risques plus nombreux et plus diversifiés exigent l’adoption de mesures de protection bien coordonnées, sans failles ni chevauchements. Il ne suffit plus d’envoyer le CIO tout seul sur le terrain, comme le font pourtant 65% des organisations belges. « Avec les technologies les plus récentes, les risques dépassent souvent les frontières de l’IT classique », souligne Maxime Raymond. « C’est pourquoi il est important de confier la responsabilité finale de la protection des informations au chief security ou risk officer (CSO/CRO). C’est ce que font déjà 3% des sondés, avec le grand avantage que l’évaluation et la gestion des risques ont lieu de manière uniforme dans toute l'organisation. Résultat : une identification bien plus rapide des zones d’ombres et des risques, ainsi qu’une utilisation beaucoup plus efficace des outils informatiques en combinaison avec d’autres procédures et méthodes. »