Please note…

You are now on the ey.com Luxembourg site. To return to the ey.com United States site or other country site, click on the Luxembourg (English) link on the upper right of this page, and select your preferred country site.

x
Skip to main navigation

Les anciens employés mécontents, un risque croissant pour la sécurité des systèmes d’information - Ernst & Young - Luxembourg

  • Share

Les anciens employés mécontents, un risque croissant pour la sécurité des systèmes d’information


Par Jean-Claude Venin et Aboubacar Diawara
Agefi Luxembourg
Février 2010

Les actes de malveillance de la part d’employés ayant récemment quitté l’entreprise ainsi que des budgets et des ressources de sécurité inadéquats deviennent des préoccupations majeures pour les responsables des Systèmes d’Information (SI), selon la 12e édition de l’enquête annuelle d’Ernst & Young sur la sécurité des systèmes d’information (pdf, 863.8kb) .

L'enquête, qui a recueilli l’avis de près de 1 900 cadres dirigeants dans plus de 60 pays, a révélé que 75 % d’entre eux sont préoccupés par d'éventuels actes de malveillance de la part d'employés ayant récemment quitté leur entreprise. En outre, 42 % des personnes interrogées tentent d’évaluer les risques potentiels liés à ce problème et 26 % ont déjà pris des mesures pour les réduire.

Jean-Claude Venin, Executive Director chez Ernst & Young, commente: « L'économie étant encore en récession, les employés qui ont été licenciés peuvent éprouver un ressentiment envers leur ancien employeur qui pourrait se matérialiser de diverses manières susceptibles d’affecter le bon fonctionnement d'une entreprise. Il est de plus en plus courant de viser le système d’information de l’employeur et le vol de données est également répandu. Il est donc primordial que les entreprises procèdent à un exercice spécifique d'évaluation des risques pour déterminer leur exposition potentielle et mettre en place des réponses appropriées aux risques. »

Le management des risques au cœur des problématiques de sécurité des systèmes d’information

Améliorer le management des risques en matière de sécurité de systèmes d’information reste le principal défi pour 89% des répondants à l’enquête. 50% d’entre eux disent avoir prévu un accroissement des investissements dans ce domaine. Le Luxembourg n’est pas en reste avec plus de 56% des répondants qui envisagent également de consacrer un budget supérieur à ce sujet.

Comme le souligne, Jean-Claude Venin, les entreprises doivent avoir une démarche globale de management des risques et des enjeux liés à l’information de l’entreprise. Seule une analyse et une compréhension précise de l’utilisation faite de l’information au sein des processus critiques de l’entreprise permettra de qualifier les besoins réels en matière de sécurité des systèmes d’information.

Trouver des budgets adéquats reste un défi de taille en temps de crise

Allouer un budget suffisant à la sécurité des systèmes d’information continue à être un défi en 2009 ; 50% des personnes interrogées considèrent cette question comme un challenge « important » ou « significatif », soit une hausse notable de 17 points par rapport à 2008. Ceci étant, 40 % des personnes interrogées ont indiqué qu'elles prévoient d'augmenter la part de l’investissement annuel en sécurité des systèmes d’information dans les dépenses totales et 52 % prévoient de maintenir cette part au même niveau qu’en 2008.

Jean-Claude Venin précise : « Aujourd'hui, la sécurité des systèmes d’information exige beaucoup plus d'investissements que par le passé, les entreprises tentant de rattraper leur retard et de s’adapter à un environnement de plus en plus menaçant. Toutefois, la sécurité des systèmes d’information n'échappe pas aux contraintes économiques externes et il est souvent difficile de démontrer le retour sur investissement de ce type de dépense au regard des enjeux et des risques métiers.»  

Le respect des réglementations reste une priorité malgré la crise

L'enquête a révélé que la conformité réglementaire est également une priorité absolue pour les responsables de la sécurité des systèmes d’information et continue à être un moteur important des améliorations en la matière.
55 % des répondants ont indiqué que les coûts liés aux travaux de mise en conformité avaient provoqué une augmentation assez significative de leurs coûts globaux de sécurité des systèmes d’information. Pour autant, seules 6 % des personnes interrogées prévoient une baisse de leurs dépenses en matière de conformité réglementaire au cours des 12 prochains mois. Au Luxembourg, aucun des répondants ne prévoit cette année, de réduire ses dépenses de sécurité des systèmes d’information en relation avec sa mise en conformité réglementaire.
Aboubacar Diawara, Senior Manager chez Ernst & Young, ajoute: « Les réglementations gouvernementales et sectorielles ont clairement abouti à l'adoption d'une approche plus structurée de la sécurité des systèmes d’information par les entreprises. Il est positif de constater que la mise en conformité permet d’améliorer les procédures et politiques de sécurité. Au Luxembourg, les nombreuses initiatives de la CSSF en matière de Sécurité favorisent l’amélioration de la sécurité des Systèmes d’Information des établissements financiers de la place, notamment les groupes de travail autour de la norme ISO 27001.

Relever le challenge de la technologie

L’augmentation du nombre de cas d’atteinte à la sécurité des données a placé leur protection au premier rang des préoccupations de nombreux responsables de la sécurité des systèmes d’information. La mise en œuvre ou l’amélioration des techniques de prévention des fuites de données (DLP - Data Leakage Prevention) est la seconde priorité en matière de sécurité dans les 12 mois à venir. La prévention des fuites de données nécessite la combinaison d'outils et de processus d'identification, de surveillance et de protection des données ou informations sensibles.

L'un des constats les plus surprenants de l’étude est que peu d’entreprises utilisent le chiffrement des disques durs de leurs ordinateurs portables. Seules 41 % des répondants déclarent « chiffrer le disque dur » de leur ordinateur et 17 % projettent de le faire l’année prochaine. « Or », rappelle Aboubacar Diawara « un nombre important de violations de la sécurité des données ont eu lieu en raison de la perte ou du vol d'ordinateurs portables, la technologie à mettre en œuvre pour « chiffrer » un ordinateur est facilement disponible et abordable, et enfin, l'impact sur les utilisateurs lors du déploiement d’un tel outil de protection est relativement faible et ne devrait plus être un obstacle ».

Jean-Claude Venin conclut : « L’enquête montre que le niveau des risques internes et externes continue à augmenter. La gestion des risques en matière de sécurité des SI exige une approche souple et axée sur ce qui importe le plus pour l'entreprise, à savoir : la protection des informations critiques. De même, le déploiement d’une démarche structurée de Management de la Sécurité de l’Information de type ISO 27001 permet d’aborder ce type de sujet de façon cohérente et en ligne avec la stratégie de l’entreprise. »

A propos de l’enquête

L’enquête Ernst & Young sur la sécurité de l’information 2009 a été élaborée avec l’aide des clients d’Ernst & Young dans plus de 60 pays. Le travail de terrain a été réalisé entre juin et août 2009. Les résultats ont été principalement recueillis au cours d'entretiens avec des dirigeants d'environ 1 900 entreprises provenant de tous les grands secteurs.

 
Par Jean-Claude Venin
Executive Director, Ernst & Young, Luxembourg

Et Aboubacar Diawara
Senior Manager, Ernst & Young, Luxembourg

Posted on 11 February 2010

Ernst & Young Press articles
Back to top