Technologies de l’information : tenir compte des risques dans un monde sans frontières

  • Share

AGEFI Luxembourg
January 2012

Dans le contexte actuel de sécurité de l’information au Luxembourg, bon nombre d’entités se doivent de réfléchir sur l’évolution technologique de leur entreprise, tout en considérant l’accroissement des risques quelle qu’en soit leur origine (interne, externe, nationale, globale) et leurs conséquences (impact financier et stratégique, réputation, conformité).

L’édition 2011 du Global Information Security Survey (GISS) d’EY a été conduite entre juin et août 2011. Elle permet d’appréhender cette problématique d’accroissement des risques. Environ 1.700 organisations, réparties dans 52 pays, issues des principales industries y ont pris part. Au Luxembourg, 37 entités ont eu l’opportunité d’y répondre, donnant une bonne représentation de la situation de la sécurité de l’information au Grand Duché en comparaison à la situation globale. D’ailleurs, EY Luxembourg a organisé un événement destiné aux 37 entités ayant participé, cette année, à l’étude GISS. Cet événement a eu lieu le 15 novembre et a traité des tendances internationales ainsi que des spécificités locales de l’étude. Les sujets y évoqués se sont articulés autour du cloud computing, des media sociaux ainsi que des tablettes.

Selon l’étude GISS 2011, les organisations internationales, dans leur empressement à « numériser » leurs affaires par le biais des nouvelles technologies et à accéder au monde sans frontières sans cesse croissant du cloud computing et des media sociaux, laissent se développer un fossé grandissant entre les besoins identifiés dans le cadre de la conduite de leurs affaires et la capacité à appréhender les menaces, inédites et complexes, liées à la sécurité.

L’empressement montré par 80% des organisations utilisant déjà ou envisageant d’utiliser des tablettes, alors que 61% d’entre eux utilisent déjà ou envisagent de recourir à des services de cloud computing au cours de l’année à venir, est révélateur du peu de prise en considération de la menace que constituent les infractions à la sécurité.

De plus en plus de secteurs économiques et d’industries de premier plan intègrent l’utilisation systématique de logiciels ainsi que la mise à disposition de services en ligne. Les données sont partout. Les sociétés, confrontées à l’atténuation des frontières, aux services de cloud computing et aux stratégies d’entreprises relatives à ces derniers, s’interrogent sur la meilleure manière de réagir aux risques émergeants et de revoir leurs besoins stratégiques. A l’échelle mondiale, 72% des participants à cette étude, constatent un niveau de risque accru du à des menaces externes en augmentation.

Cette mise au point doit évoluer d’une résolution de problématiques à court terme vers une approche plus globale, intégrée dans les objectifs stratégiques à plus longue portée des entreprises.


Financement

Il est encourageant de noter que 59% des participants à l’étude à l’échelle mondiale et 53% au Luxembourg ont l’intention d’augmenter leur budget lié à la sécurité de l’information au cours de l’année à venir. Toutefois, 51% seulement des participants à l’étude au niveau mondial et 52% au Luxembourg ont confirmé disposer d’une stratégie de sécurité de l’information dûment documentée.

Les sondés ont identifié le cloud computing comme étant leur priorité de financement en matière de sécurité de l’information pour les 12 mois à venir. De manière générale et pour la deuxième année consécutive, les participants ont mentionné la continuité des affaires comme étant leur priorité de financement.


Tablettes

A l’échelle mondiale, l’adoption de tablettes et de smartphones est perçue comme étant le deuxième défi technologique le plus important, la moitié des sondés le classant parmi les défis difficiles ou très difficiles. Les ajustements de procédures et les campagnes d’information sont les deux mesures principales utilisées afin de répondre aux risques posés par cette nouvelle technologie mobile. L’adoption de techniques et de logiciels de sécurité demeure néanmoins très faible. Par exemple, les techniques de cryptage sont utilisées par moins de la moitié (47%) des organisations

Familiarisation avec les techniques de cloud computing


En dépit de récits convaincants en faveur de l’adoption du cloud computing, beaucoup d’organisations sont encore dans le doute quant aux implications du cloud computing et intensifient leurs efforts afin de mieux appréhender les conséquences et les risques. En 2011, 48% des participants à l’échelle mondiale ainsi que 42% au Luxembourg ont classé la mise en œuvre du cloud computing comme étant un défi difficile ou très difficile à relever et plus de la moitié n’ont pas encore mis de contrôles en place afin de juguler les risques liés au cloud computing. Mondialement, la mesure la plus fréquemment adoptée est une supervision accrue du processus de gestion des contrats avec des prestataires de cloud computing, mais cette mesure est appliquée par seulement 20% des sondés à l’échelle mondiale, ce qui indique un niveau de confiance élevé et éventuellement tronqué. Le marché luxembourgeois se distingue car la mesure y étant la plus fréquemment prise est le cryptage des données (15% des sondés).

En l’absence de lignes de conduite claires, de nombreuses organisations semblent prendre des décisions sans avoir tous les éléments nécessaires, qu’il s’agisse d’une transition prématurée vers le cloud computing, donc sans avoir au préalable pris en considération les risques associés, ou bien qu’il s’agisse d’éviter cette transition. Même si de nombreuses organisations sont passées au cloud computing, beaucoup l’ont fait avec réticence.

Près de 90% des sondés à l’échelle mondiale et de 67% basés au Luxembourg se prononcent en faveur d’une certification externe. Près de la moitié des sondés à l’échelle mondiale (45%) affirment que cette certification devrait se baser exclusivement sur un modèle convenu.

Alors qu’il existe différentes manières de contribuer à cet objectif, il ne suffit plus de se reposer sur des entités externes afin de traiter les risques associés au cloud computing. Ces risques peuvent induire des changements significatifs dans la manière dont une organisation opère et doivent faire l’objet de procédures dûment formalisées de gestion d’entreprise et de gestion des risques informatiques.


Media sociaux

La plupart des participants à l’étude (72%) ont identifié les attaques malveillantes externes comme étant le risque principal auquel ils étaient confrontés. Ces attaques peuvent être alimentées par des informations obtenues par l’utilisation de media sociaux utilisés afin d’envoyer des messages ciblés de type phishing à des individus ciblés eux-aussi.

Afin de traiter les risques potentiels posés par les media sociaux, les organisations semblent opter pour une réponse ferme. Plus de la moitié des sondés ont répondu en bloquant l’accès aux sites plutôt que de prendre en compte les changements et d’adopter des mesures à l’échelle des entreprises. Le marché luxembourgeois se conforme à ces tendances.


Priorité de premier ordre

L’étude montre que 12% seulement des sondés présentent les sujets liés à la sécurité de l’information lors de chaque réunion du conseil d’administration, et moins de la moitié des sondés ont affirmé l’adéquation de leur fonction de sécurité de l’information aux exigences de l’organisation. Il en va de même pour tous les sondés au Luxembourg.

Une réponse pragmatique et pro-active au lieu d’une réponse réactive est requise. La sécurité de l’information doit être plus visible dans la salle du conseil avec une stratégie clairement définie au service des affaires dans la sphère du cloud computing et partout ailleurs. La plupart des sociétés ont encore beaucoup de progrès à effectuer afin de concrétiser cet objectif.

Selon les résultats de l’étude, les entreprises au Luxembourg semblent démontrer une plus grande réticence aux risques liés aux nouvelles technologies. Il est nécessaire de réfléchir à cette problématique et à son impact probable sur la compétitivité du Luxembourg à moyen et long terme.

En vue de gérer les risques informatiques de manière efficace, les organisations doivent avoir à leur disposition une vision élargie et globale du panorama lié aux risques informatiques dans son ensemble. Cette perspective globale doit constituer pour les sociétés un point de départ à l’identification et la gestion des risques et défis informatiques actuels ainsi qu’à ceux susceptibles d’évoluer dans le temps.


Christophe Wintgens
Financial Services Advisory Leader, EY Luxembourg
christophe.wintgens@lu.ey.com

Maxime Brière
Manager, IT Risk Advisory, EY Luxembourg

Posted on 16 February 2012