State of Information Security Survey

Selon l’édition 2007 de la Global State of Information Security Survey, la cinquième enquête mondiale réalisée par PwC, CIO magazine et CSO magazine, les entreprises de par le monde investissent dans l’infrastructure mais sont à la traîne en termes de mise en œuvre, de mesure et d’évaluation des stratégies de sécurité et de confidentialité.

Cette enquête, la plus vaste de ce type, représente les réponses de 7.200 responsables actifs dans les domaines informatique, sécurité et commercial dans plus de 119 pays (dont la Belgique) et dans tous les secteurs d’activité.

Les principales constatations de l’enquête sont les suivantes :

• Les entreprises sont plus performantes sur les plans de l’infrastructure et des outils de protection et moins en matière d’exécution et de contrôle.
• De nouveaux investissements en informatique devraient permettre un meilleur alignement de la sécurité IT sur les objectifs de l’entreprise.
• Les employés, qui constituent la cause la plus probable d’incidents de sécurité, n’ont pas suffisamment conscience de la situation.
• La confiance à l’égard de mesures de sécurité des tierces parties est toujours faible.

La présente publication, qui se concentre sur la Belgique, fournit des détails plus précis et souligne les principales différences par rapport aux résultats mondiaux et à ceux de l’année dernière.

Comme l’explique Daniel Evrard, Partner chez PwC et responsable du conseil en IT au sein de la division « PwC Advisory » : « La qualité de la sécurité de l’information dépend de son maillon le plus faible : les entreprises belges devraient conscientiser davantage les utilisateurs et déployer des mesures de contrôle afin de mieux maîtriser leurs risques et d’être assurées de bénéficier pleinement de leurs investissements en technologie. L’analyse de l’efficacité de la sécurité sur la base de tests factuels accroîtra la confiance de la direction de l’entreprise vis-à-vis des résultats obtenus tout en attirant son attention sur les mesures qui restent à prendre. »

• Marge d’amélioration en matière de sécurité IT et des activités de l’entreprise.

Selon l’enquête, la nécessité d’une gestion adéquate de la sécurité de l’information augmente en Europe et en Belgique. La gestion de la sécurité gagne en maturité. En Europe, depuis 2006, le nombre d’entreprises disposant d’un responsable de Sécurité de l’Information (Chief Information Security officer ou CISO) a augmenté considérablement. En Belgique, plus de la moitié des répondants avaient nommé un CISO, soit nettement plus qu’en Europe et qu’aux États-Unis.  Toutefois, seul un tiers des répondants affirment que les problématiques de sécurité ont été étudiées simultanément par les décideurs IT et les décideurs gestionnaires de l’entreprise.

• Les entreprises sont performantes sur les plans de l’infrastructure et des outils de protection et le sont moins en matière de surveillance et d’application.

À l’instar de leurs homologues américaines et européennes, la majorité des entreprises belges ont également consenti des investissements considérables en protections technologiques, comme les pare-feux réseau, la sauvegarde des données, les mots de passe utilisateur et les systèmes anti-logiciels espions.
Toutefois, l’investissement dans des matières moins tangibles, comme la surveillance et l’audit de la conformité réglementaire, la conscientisation, la normalisation des processus et le mécanisme d’application des normes, reste faible.  Par exemple, 70% des répondants belges déclarent ne pas effectuer de tests de conformité. En outre, moins de 50% des entreprises ont mesuré et analysé l’efficacité de leurs stratégies et procédures de sécurité au cours de l’année écoulée.

• Lacunes dans l’alignement des dépenses de sécurité sur les objectifs commerciaux.

Il existe actuellement des lacunes dans l’alignement des dépenses de sécurité sur les objectifs commerciaux. Selon l’enquête, seul un tiers des répondants belges déclarent que les stratégies de sécurité de l’information de leur entreprise sont totalement alignées sur les objectifs commerciaux ; ils sont encore moins nombreux à penser que leurs dépenses de sécurité sont alignées. 

Bien que 56% des répondants affirment que la conformité aux réglementations a considérablement accru les dépenses de sécurité, 70% déclarent qu’ils ne lient pas la sécurité (que ce soit par la structure ou une stratégie de l’entreprise) aux impératifs de confidentialité et/ou de conformité aux réglementations.

Comme dans le reste du monde, les dépenses en sécurité de l’information en Belgique concernent principalement la continuité des affaires/la reprise après sinistre et la conformité aux réglementations. Toutefois, en Belgique, la réputation de l’entreprise et les tendances de convergence numérique (VoIP, etc.) tendent à influer davantage sur les dépenses en sécurité que dans le reste du monde.

Marc Sel, Director chez PwC et spécialiste en matière de sécurité informatique, ajoute qu’en Belgique, on commence également à voir des projets profitant des investissements importants de la part du gouvernement dans la carte EID, la carte d’identité électronique.

• Les employés, qui constituent la cause la plus probable d’incidents de sécurité, n’ont pas suffisamment conscience de la situation.

Pour la première fois, les employés occupent la première place du classement des sources les plus probables de problèmes de sécurité. Pas moins de 60% des répondants belges citent les employés comme la source la plus probable d’attaques, davantage que les pirates. Ce taux est nettement supérieur aux résultats pour 2006 et aux résultats européens, américains et mondiaux. 

Selon l’enquête, plus de 50% des répondants estiment que moins de 75% de leurs effectifs agissent conformément à leurs stratégies de sécurité de l’information (aux États-Unis, ils sont moins de 27%).  En outre, les entreprises belges semblent mettre en œuvre moins de sécurités en matière de formation et de conscientisation de leurs employés aux stratégies de confidentialité.

• Besoin d’amélioration de la sécurité des tierces parties.

L’enquête montre également que les entreprises continuent à éprouver des difficultés à étendre la sécurité aux tierces parties. Les entreprises peinent à dresser l’inventaire de tous les tiers qui emploient des données clients et oublient d’exiger de ces tierces parties (y compris les fournisseurs de services externalisés) qu’elles se conforment à leurs stratégies de confidentialité. Une grande majorité des entreprises ne font que quelque peu confiance, voire pas du tout, à la sécurité de l’information chez leurs partenaires. Cette confiance à l’égard de la sécurité des partenaires a subi une chute spectaculaire.

La conclusion de Daniel Evrard est la suivante : « À une époque où les entreprises adoptent une orientation toujours plus internationale, voire mondiale, et où l’externalisation est de plus en plus répandue, les entreprises belges feraient bien d’accorder une attention toute particulière à l’aspect ‘sécurité’ dans leurs interactions électroniques avec des tierces parties ».

xxx

Note aux rédacteurs  : Veuillez citer l’enquête sous la forme suivante : « The State of Information Security 2007, une enquête par CIO, CSO et PwC ».  La ligne source doit mentionner CIO, CSO et PwC.

- Les résultats mondiaux de l’enquête sont disponibles à l’adresse www.pwc.com/security.
- Les journalistes belges peuvent en obtenir un exemplaire auprès de Luna
(insérer les coordonnées).

Méthodologie
L’enquête mondiale « The Global State of Information Security 2007 », organisée par CIO magazine, CSO magazine et PwC, a été réalisée en ligne du 6 mars 2007 au 4 mai 2007.  Dans le monde entier, les lecteurs de CIO magazineet CSO magazine, ainsi que les clients de PwC, ont reçu un courrier électronique les invitant à prendre part à l’enquête.  Les résultats mentionnés dans ce rapport sont basés sur les réponses de 7200 CEO, CFO, CIO, CSO, VP et directeurs de départements IT et IS ainsi que d’experts en sécurité et en informatique actifs dans plus de 100 pays.  L’Amérique du Nord rassemblait 36% des répondants, suivie de l’Europe (28%), de l’Asie (23%), de l’Amérique du Sud (12%) et enfin du Proche Orient et de l’Afrique du Sud (2%).  La marge d’erreur pour cette enquête est de ± 1,0%.

À propos de PwC
PwC (www.pwc.com) fournit des services spécialisés d’assurance, de fiscalité et de conseil dans l’optique d’instaurer la confiance du public et d’optimiser la valorisation de ses clients et autres parties prenantes. Plus de 140 000 personnes réparties dans 149 pays partagent leurs idées, leur expérience et leurs solutions dans un souci de dégager des perspectives nouvelles et de prodiguer des conseils pratiques.

« PwC » désigne le réseau des sociétés membres de PwC International Limited, chacune d’entre elles formant une entité distincte et indépendante sur le plan juridique

À propos de CIO magazine et de CSO magazine

CIO magazine et CSO magazine sont édités par CXO Media Inc., éditeur de premier plan dans le domaine des publications médias et des programmes destinés aux cadres. Lancé en 1987, CIO magazine aborde les enjeux indispensables à la réussite des CIO (chief information officer) de par le monde. Le portefeuille de CIO comprend un site partenaire (www.CIO.com), des programmes destinés aux cadres CIO, une série de conférences ainsi que le « CIO Executive Council », une organisation professionnelle de CIO créée afin de faire évoluer durablement des groupes essentiels de l’industrie, de l’enseignement, des médias et des pouvoirs publics.

Lancé en 2002, CSO magazine, son site partenaire (www.CSOonline.com) et le congrès CSO Perspectives™ procurent aux CSO (chief security officer) une analyse et la connaissance des tendances en matière de sécurité. CXO Media est une filiale d’International Data Group (IDG).