Le cabinet Deloitte a présenté récemment les résultats d'une étude réalisée au niveau mondial sur la maturité des pratiques des entreprises en matière de gestion des risques et de la sécurité de l'information.
Cette étude, la quatrième du nom, est déclinée par secteur. Nous avons eu l'occasion de participer à la présentation des résultats pour le secteur des Technologies, Media et Télécommunications (150 entreprises interrogées). Cet article présente les principaux enseignements de cette étude.
1 - Le rebond
Après une année 2009 qui a vu les budgets dédiés à la sécurité de l'information se contracter, il semble que les budgets soient à nouveau à la hausse. 46% des personnes interrogées annoncent un accroissement de leurs dépenses en matière de sécurité contre 23% en décroissance.
Cette hausse des budgets est à rapprocher d'un sentiment de retard au regard des dispositifs nécessaires à la protection de l'information. 57% des personnes interrogées considèrent être en deçà du niveau requis (60% en 2009), alors qu'elles n'étaient que 47% à avoir ce sentiment en 2008. Il est vrai comme le précise Olivier Mauduit, associé chez Deloitte, que l’ « étude porte sur la perception des personnes interrogées, ce qui signifie que cette dégradation comparée à la situation de 2008 représente probablement plus une prise de conscience supérieure du sujet, qu’une situation qui se serait dégradée ».
Si les budgets augmentent, la visibilité sur la pertinence de ces dépenses devient une nécessité. 38% des personnes interrogées ont annoncé avoir mis en place des outils de mesure de l'efficacité du dispositif de sécurité, et 24% annoncent travailler sur le sujet. Ceci permet à Olivier Mauduit de conclure que «au delà de l’identification des attaques en déni de services, et au delà du suivi des tentatives d’intrusion, l’efficacité des dispositifs reste encore insuffisamment mesurée »
48% des personnes interrogées considèrent que les limites budgétaires sont le principal obstacle à la mise en oeuvre des dispositifs nécessaires pour lever ce sentiment d'insécurité. Une dispositif de mesure plus efficace devrait permettre de justifier des budgets appropriés.
2 - Confiance générale dans un contexte de monté en puissance du "Cloud"
63% des entreprises, tous secteurs confondus, sont confiantes dans leur capacité à faire face aux menaces extérieures en matière de sécurité. Ce chiffre peut d’ailleurs être considéré comme paradoxale si on le rapproche des 57% considérant avoir à rattraper un retard en matière de gestion de la sécurité.
La monté en puissance des systèmes hébergés et opérés par des tiers révèle un second paradoxe sur la confiance des personnes interrogées en matière de sécurité de l'information. En effet, seules 22% des entreprises testent régulièrement l'efficacité du dispositif de leurs partenaires, qui au travers de la montée du "Cloud" gèrent de plus en plus d'informations hier localisées au sein de l'entreprise. Même si, en complément de ces 22%, 42% des personnes interrogées disent avoir pris connaissance des dispositifs mis en place par leurs partenaires. Ceci permet à Ariane Bucaille, associée chez Deloitte en charge du secteur des TMT, d’affirmer que «la montée en puissance de dispositifs de contrôle tels que ceux de la norme SAS70 est une nécessité ».
Cette confiance doit pouvoir être le fruit d'une organisation, de processus structurés et d’un système de gouvernance en matière de gestion de la sécurité. Hors seulement 51% des entreprises du secteur TMT affirment disposer d'un responsable dédié au « privacy management ». Comme le mentionne Olivier Mauduit, « les entreprises ont mis en place des responsables sécurité, elles sont encore trop peu nombreuses à avoir mis en place des " privacy manager ", hors le sujet peut être par certain aspects rapproché de la distinction nécessaire des rôles entre maîtrise d’ouvrage et maîtrise d’œuvre dans les projets informatiques ».
3 - Cyber criminalité
La cyber criminalité a changé de visage ces dernières années. Hier cantonnée à certains individus isolés, les "Geeks", elle s'organise aujourd'hui au sein d'une filière structurée qui se professionnalise en se répartissant les rôles (développeurs, revendeurs, diffuseurs,…). Cette réalité est bien prise en compte par les Etats avec la mise en place d'organismes dédiés ayant pour objectif de faire face à la cyber criminalité.
Cette prise de conscience semble également réelle parmi les personnes interrogées puisqu'au delà des préoccupations budgétaires évoquées, 37% des acteurs interrogés dans les secteur des TMT considèrent que la complexité croissante des attaques est leur problème principal. Cette proportion est de 7 points supérieure à la moyenne du panel interrogé (30% des personnes ayant positionné la sophistication des menaces comme préoccupation principale). Ceci s'explique probablement par le fait que le secteur des technologies et des communications est le vecteur principal d’exécution de ces menaces.
4 - Maintenir la confiance sur le web
La progression constante depuis des années du contenu et des données accessibles en ligne attire nécessairement des acteurs souhaitant s'emparer de la valeur de ces informations. Ceci concerne l’accès à des informations sensées être protégées et pouvant être revendues ou exploitées (information commerciales, bases de données clients, etc…). Ceci concerne également l'usurpation d'identités pour les transactions financières ou pour l'exploitation automatisée de comportements sensés être réservés à des personnes physiques (jeux en ligne par exemple).
Tous secteurs confondus, les résultats des audits menés par les entreprises interrogées révèlent que les déficiences recensées concernent principalement :
- la gestion des droits (35% des personnes interrogées),
- les règles insuffisantes en matière de séparation des tâches (33%),
- une traçabilité des informations et des accès insuffisante (28%).
Pour que la confiance « Online » se maintienne et se renforce, il est de plus en plus crucial de maîtriser les identités et les droits des acteurs connectés dans un univers où l’ « entreprise étendue » devient une réalité.
5 - Vulnérabilité interne / vulnérabilité externe
En matière de sécurité, le concept du maillon le plus faible est connu de tous. Hors dans bien des cas, le risque majeur se situe à l'intérieur de l'entreprise, en relation avec des comportements intentionnels ou non intentionnels qui représentent un risque en matière de protection de l'information et d'intégrité de l'information. Cette réalité est renforcée par deux phénomènes récents :
1 - La montée en puissance de la mobilité qui, comme le rappelle François Vergez, Manager chez Deloitte, n'a finalement que quelques années en matière d'ouverture des réseaux des entreprises.
2 - La montée en puissance des réseaux sociaux et du web 2.0 qui permet à tout acteur de l'entreprise de rendre accessible des informations d'une manière simple et rapide.
Dans ce contexte, seules 34% des personnes interrogées considèrent être véritablement confiantes en matière de protection contre les attaques internes.
Les principales failles en matière de sécurité sont d'abord associées à des comportements non intentionnels (18% des entreprises interrogées reconnaissent avoir été exposées à des failles liées à des comportements non intentionnels de leurs employés). Pour faire face à ce risque, le premier moyen à déployer est la sensibilisation. A ce titre, 60% des entreprises des TMT interrogées déclarent avoir mis en place des formations dédiées à la gestion de la sécurité (contre 54% tous secteurs confondus). Ce chiffre reste à pondérer par le fait que seulement 35% des cadres dirigeants ont suivi ce type de formation dans le secteur des TMT (30% tous secteurs confondus).
Cette sensibilisation n’est cependant efficace que si elle est associée aux technologies de protection des données et des accès (chiffrage,…). Ceci semble avoir été compris par le pannel de l’étude (tous secteurs confondus) puisque les 3 premières initiatives en matière de sécurité concernent :
1 – La gestion des identités et des accès (39%)
2 – L’amélioration des infrastructures en matière de sécurité (38%)
3 – Sensibilisation et formation en matière de gestion de la sécurité de l’information (35%)
6 - Gestion du maillon faible
Les 3 premières préoccupations en matière de management de la continuité d'activité sont :
- Garantir la résilience et la continuité opérationnelle (60%)
- Répondre aux exigences clients (33%)
- Protéger l'image et la réputation (27%)
Au regard de ces 3 priorités, nombre d'exemples démontrent que la vulnérabilité d'une organisation repose également sur la vulnérabilité de ses partenaires (Total, Nike,…). Dans ce contexte, le fait de contrôler les pratiques des partenaires en matière de sécurité devrait être une priorité.
Les dispositifs mis en oeuvre semblent encore en deçà de ce qui devrait être fait. Les 3 premières méthodes constatées par l’étude pour renforcer la sécurité avec des tiers sont en effet :
- Signature des accords de confidentialité et de non divulgation (69%) ;
- Adresser le sujet de la sécurité dans les contrats ;
- Contrôler les accès des tiers au système d'information de l'entreprise.
Comme évoqué précédemment, seul 22% des entreprises mettent en place des dispositifs pour contrôler et tester l'efficacité du dispositif de leurs partenaires.
7 – Sécurité dans les contextes de fusion et d’acquisition
Deloitte constate que le volet « sécurité » dans les dispositifs de fusion, d’acquisition et de cession devra se renforcer dans les années à venir. L’information devient un actif clef de l’entreprise à tous les niveaux : gestion des brevets, gestion des processus et des pratiques, gestion des compétences, gestion des plans stratégiques, des portefeuilles commerciaux,… La prise en compte de cet actif, son niveau de sécurisation et le coût d’intégration devient un élément clef dans les processus de fusion et d’acquisition. Ceci est à rapprocher des résultats de l’étude où 35% des personnes interrogées considèrent la gestion des accès, donc des risques de dispersion de l’actif de l’entreprise, comme insuffisamment maîtrisée.
8 - La gestion de la sécurité, une préoccupation au delà de l'IT
Si 24% des responsables de la sécurité de l'information reportent encore au CIO, 18% reportent désormais au CEO et cette proportion est en croissance. Les décisions en matière de sécurité sont de plus en plus partagées entre les responsables métiers et les responsables IT. Seul 8% des personnes interrogées déclarent que la stratégie et les besoins en matière de sécurité de l'information sont définis uniquement par des acteurs de l'IT.
Cet optimisme semble cependant devoir être pondéré par la réalité du terrain. Comme l’évoque Olivier Mauduit, « la maturité des systèmes de gouvernance en matière de gestion des risques doit encore progresser significativement. Les responsabilités sont souvent dispersées et insuffisamment coordonnées alors que ce sujet est par essence transverse à l’organisation et ne concerne pas uniquement la DSI ».
Conclusions
Au delà de cette étude, et en conclusion, 3 éléments nous semblent caractériser la période actuelle :
- le premier, c'est qu'un certain nombre d'acteurs s'attendent à ce que les menaces en matière d'attaques sur les systèmes d'information s'accroissent selon un rythme exponentiels dans les années à venir avec une transformation des origines de ces attaques.
- le second est lié à la conjoncture. L'année 2009 a probablement représenté une parenthèse conjoncturelle dans la montée en puissance des dispositifs de maîtrise des risques. La gestion de la crise, et de ses risques, ayant capté toutes les attentions, et les ressources
- la prise de conscience en matière de gestion des risques doit être accompagnée d’une évolution en terme d’organisation et d’instance de gouvernance des risques et des dispositifs de contrôle. C’est le seul moyen de s’assurer de la correcte adéquation entre le niveau de risque réel auquel est exposé l’entreprise et le dispositif réel mis en œuvre et opéré sur le terrain.
L'information est un actif de l'entreprise qu'elle se doit de protéger. La sécurité est à ce titre un enjeu à dominante culturelle autant que technique.