Please note…

You are now on the ey.com Luxembourg site. To return to the ey.com United States site or other country site, click on the Luxembourg (English) link on the upper right of this page, and select your preferred country site.

x
Skip to main navigation

Les anciens employés mécontents, un risque croissant pour la sécurité des systèmes d’information - Ernst & Young - Luxembourg

  • Share

Les anciens employés mécontents, un risque croissant pour la sécurité des systèmes d’information

By Dominique Georges, Ernst & Young Luxembourg  
Magasine du Trésorier 
Avril 2010

Les actes de malveillance de la part d’employés ayant récemment quitté l’entreprise ainsi que des budgets et des ressources de sécurité inadéquats deviennent des préoccupations majeures pour les responsables des Systèmes d’Information (« SI »), selon la 12e édition de l’enquête annuelle d’Ernst & Young sur la sécurité des systèmes d’information (pdf, 863.8kb) .

L'enquête, qui a recueilli l’avis de près de 1 900 cadres dirigeants dans plus de 60 pays, a révélé que 75 % d’entre eux sont préoccupés par d'éventuels actes de malveillance de la part d'employés ayant récemment quitté leur entreprise. En outre, 42 % des personnes interrogées tentent d’évaluer les risques potentiels liés à ce problème et 26 % ont déjà pris des mesures pour les réduire.

Dominique Georges, Executive Director chez Ernst & Young, commente: « L'économie étant encore en récession, les employés qui ont été licenciés peuvent éprouver un ressentiment envers leur ancien employeur qui pourrait se matérialiser de diverses manières susceptibles d’affecter le bon fonctionnement d'une entreprise. Il est de plus en plus courant de viser le système d’information de l’employeur et le vol de données est également répandu. Il est donc primordial que les entreprises procèdent à un exercice spécifique d'évaluation des risques pour déterminer leur exposition potentielle et mettre en place des réponses appropriées aux risques. »

Le management des risques au cœur des problématiques de sécurité des systèmes d’information

Améliorer le management des risques en matière de sécurité de systèmes d’information reste le principal défi pour 89% des répondants à l’enquête. 50% d’entre eux disent avoir prévu un accroissement des investissements dans ce domaine. Le Luxembourg n’est pas en reste avec plus de 56% des répondants qui envisagent également de consacrer un budget supérieur à ce sujet.

Comme le souligne Dominique Georges, les entreprises doivent avoir une démarche globale de management des risques et des enjeux liés à l’information de l’entreprise. Seule une analyse et une compréhension précise de l’utilisation faite de l’information au sein des processus critiques de l’entreprise permettra de qualifier les besoins réels en matière de sécurité des systèmes d’information.

Trouver des budgets adéquats reste un défi de taille en temps de crise
Allouer un budget suffisant à la sécurité des systèmes d’information continue à être un défi en 2009 ; 50% des personnes interrogées considèrent cette question comme un challenge « important » ou « significatif », soit une hausse notable de 17 points par rapport à 2008. Ceci étant, 40 % des personnes interrogées ont indiqué qu'elles prévoient d'augmenter la part de l’investissement annuel en sécurité des systèmes d’information dans les dépenses totales et 52 % prévoient de maintenir cette part au même niveau qu’en 2008.

Dominique Georges précise : « Aujourd'hui, la sécurité des systèmes d’information exige beaucoup plus d'investissements que par le passé, les entreprises tentant de rattraper leur retard et de s’adapter à un environnement de plus en plus menaçant. Toutefois, la sécurité des systèmes d’information n'échappe pas aux contraintes économiques externes et il est souvent difficile de démontrer le retour sur investissement de ce type de dépenses au regard des enjeux et des risques métiers.» 

Le respect des réglementations reste une priorité malgré la crise
L'enquête a révélé que la conformité réglementaire est également une priorité absolue pour les responsables de la sécurité des systèmes d’information et continue à être un moteur important des améliorations en la matière.
55 % des répondants ont indiqué que les coûts liés aux travaux de mise en conformité avaient provoqué une augmentation assez significative de leurs coûts globaux de sécurité des systèmes d’information. Pour autant, seules 6 % des personnes interrogées prévoient une baisse de leurs dépenses en matière de conformité réglementaire au cours des 12 prochains mois. Au Luxembourg, aucun des répondants ne prévoit cette année, de réduire ses dépenses de sécurité des systèmes d’information en relation avec sa mise en conformité réglementaire.
Dominique Georges rajoute: « Les réglementations gouvernementales et sectorielles ont clairement abouti à l'adoption d'une approche plus structurée de la sécurité des systèmes d’information par les entreprises. Il est positif de constater que la mise en conformité permet d’améliorer les procédures et politiques de sécurité notamment au travers de l’application de la norme ISO 27001.

Relever le challenge de la technologie
L’augmentation du nombre de cas d’atteinte à la sécurité des données a placé leur protection au premier rang des préoccupations de nombreux responsables de la sécurité des systèmes d’information. La mise en œuvre ou l’amélioration des techniques de prévention des fuites de données (DLP - Data Leakage Prevention) est la seconde priorité en matière de sécurité dans les 12 mois à venir. La prévention des fuites de données nécessite la combinaison d'outils et de processus d'identification, de surveillance et de protection des données confidentielles ou autres informations sensibles.

L'un des constats les plus surprenants de l’étude est que peu d’entreprises utilisent le chiffrement des disques durs de leurs ordinateurs portables. Seules 41 % des répondants déclarent « chiffrer le disque dur » de leur ordinateur et 17 % projettent de le faire l’année prochaine. Or un nombre important de violations de la sécurité des données confidentielles de tout ordre ont eu lieu en raison de la perte ou du vol d'ordinateurs portables. La technologie à mettre en œuvre pour « chiffrer » un ordinateur étant aujourd’hui facilement disponible et abordable, l'impact pour les utilisateurs lors du déploiement d’un tel outil de protection est relativement faible et ne devrait plus être un obstacle.

Dominique Georges conclut : « L’enquête montre que le niveau des risques internes et externes continue à augmenter. La gestion des risques en matière de sécurité des SI exige une approche souple et axée sur ce qui importe le plus pour l'entreprise, à savoir : la protection des informations critiques. De même, le déploiement d’une démarche structurée de Management de la Sécurité de l’Information de type ISO 27001 permet d’aborder ce type de sujet de façon cohérente et en ligne avec la stratégie de l’entreprise. »


A propos de l’enquête
L’enquête Ernst & Young sur la sécurité de l’information 2009 (pdf, 863.8kb)  a été élaborée avec l’aide des clients d’Ernst & Young dans plus de 60 pays. Le travail de terrain a été réalisé entre juin et août 2009. Les résultats ont été principalement recueillis au cours d'entretiens avec des dirigeants d'environ 1 900 entreprises provenant de tous les grands secteurs.

*Dominique Georges is Executive Director, IT Risk & Assurance, Ernst & Young Luxembourg

Posted on 19 April 2010

Ernst & Young Press articles
Back to top