Les anciens employés mécontents, un risque croissant pour la sécurité des systèmes d’information
PARIS, le 9 novembre 2009 – les actes de malveillance de la part d’employés ayant récemment quitté l’entreprise ainsi que des budgets et des ressources de sécurité inadéquats deviennent des préoccupations majeures pour les responsables des Systèmes d’Information (SI), selon la 12e édition de l’enquête annuelle d’Ernst & Young sur la sécurité des systèmes d’information.
L'enquête, qui a recueilli l’avis de près de 1 900 cadres dirigeants dans plus de 60 pays, a révélé que 75 % d’entre eux sont préoccupés par d'éventuels actes de malveillance de la part d'employés ayant récemment quitté leur entreprise. En outre, 42 % des personnes interrogées tentent d’évaluer les risques potentiels liés à ce problème et 26 % ont déjà pris des mesures pour les réduire.
Pascal Antonini, associé Ernst & Young, commente : « L'économie étant encore en récession, les employés qui ont été licenciés peuvent éprouver un ressentiment envers leur ancien employeur qui pourrait se matérialiser de diverses manières susceptibles d’affecter le bon fonctionnement d'une entreprise. Il est de plus en plus courant de viser le système d’information de l’employeur et le vol de données est également répandu. Il est donc primordial que les entreprises procèdent à un exercice spécifique d'évaluation des risques pour déterminer leur exposition potentielle et mettre en place des réponses appropriées aux risques. »
Trouver des budgets adéquats reste un défi de taille en temps de crise
Allouer un budget suffisant à la sécurité des systèmes d’information continue à être un défi en 2009 ; 50% des personnes interrogées considèrent cette question comme un challenge « important » ou « significatif », soit une hausse notable de 17 points par rapport à 2008. Ceci étant, 40 % des personnes interrogées ont indiqué qu'elles prévoient d'augmenter la part de l’investissement annuel en sécurité des systèmes d’information dans les dépenses totales et 52 % prévoient de maintenir cette part au même niveau qu’en 2008.
Marc Ayadi, Directeur chez Ernst & Young souligne: « Aujourd'hui, la sécurité des SI exige déjà beaucoup plus d'investissements que par le passé, les entreprises tentant de rattraper leur retard et à s’adapter à un environnement de plus en plus menaçant. Toutefois, la sécurité des SI n'échappe pas aux contraintes économiques externes et les responsables des systèmes d’information devront améliorer la performance et l'efficacité tout en maintenant les dépenses au minimum. »
Le respect des réglementations reste une priorité malgré la crise
L'enquête a révélé que la conformité réglementaire est également une priorité absolue pour les responsables de la sécurité des SI et continue à être un moteur important des améliorations en la matière.
A la question sur le montant dépensé par leur entreprise pour assurer la conformité aux réglementations, 55 % des personnes interrogées ont indiqué que ces coûts avaient provoqué des augmentations allant de modérées à significatives de leurs coûts globaux de sécurité des SI. Seules 6 % des personnes interrogées prévoient une baisse de leurs dépenses en matière de conformité réglementaire au cours des 12 prochains mois.
Pascal Antonini, explique : « Les réglementations gouvernementales et sectorielles ont clairement abouti à l'adoption d'une approche plus structurée de la sécurité des SI par les entreprises. Il est positif de constater que la mise en conformité permet d’améliorer les procédures et politiques de sécurité. Cependant, il convient de garder à l’esprit que le facteur principal d’amélioration de la sécurité doit plutôt consister en la protection des activités de l’entreprise.»
Relever le challenge de la technologie
L’augmentation du nombre de cas d’atteinte à la sécurité des données a placé leur protection au premier rang des préoccupations de nombreux responsables de la sécurité des SI. La mise en œuvre ou l’amélioration des techniques de prévention des fuites de données (DLP - Data Leakage Prevention) est la seconde priorité en matière de sécurité dans les 12 mois à venir. La prévention des fuites de données est la combinaison d'outils et de processus d'identification, de surveillance et de protection des données ou informations sensibles.
L'un des constats les plus surprenants de l’étude est que peu d’entreprises utilisent le chiffrement des disques durs de leurs ordinateurs portables. Seules 41 % des personnes interrogées déclarent « chiffrer le disque dur» de leur ordinateur et 17 % projettent de le faire l’année prochaine. « Or », rappelle Marc Ayadi « un nombre important de violations de la sécurité des données ont eu lieu en raison de la perte ou du vol d'ordinateurs portables, la technologie à mettre en œuvre pour « chiffrer » un ordinateur est facilement disponible et abordable, et enfin, l'impact sur les utilisateurs lors du déploiement d’un tel outil de protection est relativement faible et ne devrait plus être un obstacle ».
Pascal Antonini conclut : « L’enquête montre que le niveau des risques internes et externes continue à augmenter. La gestion des risques en matière de sécurité des SI exige une approche souple et axée sur ce qui importe le plus pour l'entreprise, à savoir : la protection des informations critiques. Ce n'est qu'en comprenant l'utilisation des informations dans les processus métier critiques qu’une entreprise, et en particulier sa fonction de sécurité des SI, commence vraiment à gérer ses besoins de sécurité. »
* * * * *
A propos de l’enquête
L’enquête Ernst & Young sur la sécurité de l’information 2009 a été élaborée avec l’aide des clients audit et conseil d’Ernst & Young dans plus de 60 pays. Le travail de terrain a été réalisé entre juin et août 2009. Les résultats ont été principalement recueillis au cours d'entretiens avec des dirigeants d'environ 1 900 entreprises provenant de tous les grands secteurs. Le rapport complet est disponible sur demande ou sur www.ey.com
À propos d'Ernst & Young
Ernst & Young est le leader mondial en audit, fiscalité, transactions et conseil. Dans le monde entier, nos 144.000 employés sont unis par nos valeurs partagées et un engagement indéfectible envers la qualité. Nous faisons la différence en aidant nos équipes, nos clients et nos collectivités à réaliser leur potentiel.
Pour de plus amples informations, rendez-vous sur www.ey.com.
