EY Global Information Security Survey 2012 : principaux résultats

  • Share

Agefi Luxembourg
January 2013

Force est de constater, ces dernières années, que les nouveaux modèles économiques poussent très fortement à leurs limites les concepts existants et les réglementations en matière de sécurité de l’information. Les nouvelles technologies, le Cloud Computing y compris, décentralisent et répartissent les données dans différents environnements parfois virtuels et parfois physiques. Tout ceci résulte en une complexification de l’application de concepts traditionnels de protection et de partage de données.

Ce constat a été explicitement souligné dans l’enquête annuelle « Global Information Security Survey » (GISS), réalisée par EY dans plus de 64 pays.

Selon l’édition 2012 de cette enquête, qui vient de paraître, la sécurité de l'information et des systèmes informatiques demeure au rang des principales préoccupations d’un nombre toujours plus important d'entreprises au Luxembourg. En effet, près de la moitié des entreprises interrogées y soulignent la nécessité d’opérer un changement fondamental dans leur approche de sécurité de l’information afin de faire face aux menaces que présentent les technologies existantes et émergentes.

Depuis 15 ans déjà, ce rapport constitue l’une des études les plus complètes dans ce domaine, et se base sur les réponses de 1850 DSI (CIO), RSSI (CISO) et autres responsables de services de sécurité de l’information. La participation à cette enquête de 50 entreprises du Grand Duché, témoigne de l’attention croissante portée à la sécurité par les responsables de gestion de l’information.

Deux aspects principaux ressortent de cette étude :

  • l’accroissement des menaces et
  • la sécurité comme enjeu de la gestion des risques.

Ils sont présentés brièvement ci-après, et seront largement repris et analysés dans le cadre d’un événement organisé par EY le 21 janvier prochain dans ses locaux de Munsbach.

Accroissement continu des menaces

Selon le GISS, les entreprises assistent à une mutation de l’environnement des risques, alors que la fréquence et la nature des menaces liées à la sécurité de l’information, tout comme le nombre d’incidents liés à la sécurité augmentent.

A titre d’illustration, au cours des deux dernières années, plus des trois quarts des sondés (soit 77%) s’accordent sur le fait qu’il existe un risque croissant d’attaques externes (ou cyber-attaques). Ces attaques deviennent de plus en plus complexes et utilisent comme vecteurs, des logiciels malveillants qui permettent aux pirates de s’introduire dans les systèmes informatiques pour dérober des informations sensibles soit par copie de fichiers, soit par l’activation de périphérique informatique (microphone, webcam, …) des machines infectées, comme par exemple en France sur le site internet de l’Elysée en mai 2012.

Ces typologies d’attaques ont surpris l’industrie de la sécurité par leur niveau de sophistication et leur organisation conçue en véritable projet structuré. Les experts sécurité s’attendent à l’arrivée, en 2013, de logiciels malveillants de plus en plus sophistiqués, qui pourraient aussi mener à des opérations d’espionnage informatique.

Presque la totalité des participants ont déclaré que les réactions face aux évolutions des menaces ne sont pas assez rapides. Cela s’explique au sein des entreprises, par les changements toujours plus complexes s’opérant à un rythme effréné. De plus, les entités sont déjà bien trop occupées à gérer leurs environnements informatiques pour tenir compte des marchés émergents, de l’instabilité économique toujours présente, de l’offshoring ainsi que des exigences réglementaires accrues. Tous ces facteurs s’ajoutent à la croissante complexité de la sécurité des environnements de l’information.

Dans ce contexte, les questions suivantes apparaissent naturellement :

  • Allons-nous dans la bonne direction ?
  • Pourquoi les attaques ont-elles augmenté ?
  • Que faudrait-il changer ?

Une réponse possible serait d’intégrer la sécurité de l’information aux programmes globaux de gestion des risques, s’agissant d’activités d’identification, d’analyse, d’évaluation et d’anticipation des risques, ainsi que de mises en place de systèmes de surveillance et de collecte systématique d’indicateurs pour déclencher les alertes appropriées.

Sécurité de l’information : enjeu de la gestion des risques

Dans un contexte où la sécurité de l'information tient une place aussi prépondérante, il faut donc chercher à la pérenniser en y consacrant suffisamment de ressources tant humaines que financières pour anticiper les nouveaux défis à venir. En effet, la prolifération des menaces et l’accélération du fossé entre la vulnérabilité et le contrôle de la sécurité, nécessitent de multiples sources d’évaluations telles que l’audit interne, des auto-évaluations internes ainsi que des évaluations par des tiers. Ces évaluations permettraient d’intégrer la sécurité à différents niveaux dans l’entreprise et offriraient une approche de gestion des risques IT plus transversale, allant bien au-delà de la sphère informatique traditionnelle.

La sécurité de l'information doit autant être appréhendée d'un point vue externe à l'organisation qu'interne. En effet, « si la confiance accordée par les clients à un site web transactionnel est fondamentale, l'entreprise doit également s'assurer d'avoir mis en œuvre tous les moyens nécessaires pour lutter contre les tentatives de fraudes en interne .

Chaque entreprise, en fonction de son historique, de sa culture mais aussi de celle du pays dont elle est issue, dispose d'un niveau de maturité différent par rapport à la gestion de la sécurité de l'information. Les éléments qui influencent - ou vont influencer d'ici un an - le choix des méthodes à adopter sont variés et peuvent dépendre de la mise en conformité avec les réglementations internationales, de la protection des données privées et personnelles ou de l'atteinte d'objectifs métier.

Au Luxembourg, deux tendances ont été révélés :

  • alors qu’exactement 5% des responsables en charge de la gestion des risques sont également responsables de la sécurité de l’information, de nombreuses entreprises ne disposent pas de mécanisme d’évaluation des risques en bonne et due forme. Cela a pour conséquence l’absence de tout programme de renseignements sur les menaces dans 60% des entreprises. Encore peu de personnes considèrent la sécurité de l’information dans la gestion globale des risques de l’entreprise et ne prennent pas en compte les aspects  liés à la sélection d’outils, de processus et méthodes, de contrôles adéquats pour la gestion des risques. Ces aspects s’avèrent désormais indispensables, tout comme l’évaluation des performances, l’identification des domaines non couverts et une remise en cause des responsabilités ;
  • l’enquête témoigne qu’il existe tout de même une tendance positive d’évolution du positionnement de la sécurité dans les entreprises. En effet, plus des deux tiers des entreprises recourent à des reportings spécifiques lors de Comités de Direction ou de Comités Métier, dédiés à la problématique de la sécurité de l'information. La nature des reportings, réalisés par les responsables de la sécurité lors de ces comités, est un signe de maturité en termes de sécurité de l'information. Plus les thèmes des réunions abordent, voire développent, « la construction de la sécurité », et plus l'entreprise peut être considérée comme mature. Cela se traduit de plus en plus par des évolutions des politiques de sécurité internes et de leurs mises en application.

Les entreprises se positionnent aujourd'hui plus dans une logique de construction de leur politique de sécurité de l'information que de réaction vis-à-vis des menaces. Certaines entreprises prennent encore des décisions en matière de sécurité qui répondent à des besoins à court terme et qui dépendent plus de leurs ressources et de leur budget que d’une réelle stratégie visant à réduire leur vulnérabilité.

En termes de perspectives d’avenir même s’il reste encore du chemin à parcourir pour voir converger les problématiques de sécurité de l'information avec celles de la gestion des risques, la tendance observée est globalement positive.

EY vous propose de venir à la restitution de son enquête sur la sécurité de l’information, Lundi 21 Janvier 2013, pour échanger et approfondir les thématiques d’ores et déjà abordées. Pour toute inscription à cet événement, veuillez envoyer un e-mail à eyevents@lu.ey.com.

Cristina Spinelli, Manager Sécurité des Systèmes d'Information chez EY Luxembourg et en charge du GISS, EY, Luxembourg