Dans l’étude “Global State of Information Security 2011” 61 % des entreprises françaises avoue au moins un incident informatique majeur. Une progression de 22 % en un an ! Explications.
Tous les spécialistes en sécurité en conviennent, les systèmes d’information des entreprises subissent désormais des attaques très différentes de ce qu’elles connaissaient, par leur nature, leur origine, leur fréquence, leur ampleur… et leur impact (voir nos articles, ici, là ou encore là).
Un constat également évident à la lecture de la quatorzième édition de l’étude mondiale “Global State of Information Security 2011” (PwC/ClO Magazine/CSO Magazine), menée par PwC auprès de PDG, directeurs financiers, DSI, RSSI et responsables IT et sécurité dans 138 pays, rassemblant plus de 9 600 réponses dont 563 pour la France.
Des incidents numériques qui coûtent très cher
 |
Des dommages clairement perceptibles |
Premier constat : 61 % des entreprises françaises déclarent avoir subi un incident en 2011, contre 39 % en 2010. Une progression de 22 points, ou un tabou de communication qui saute ?…
L’étude précise même les différents impacts ayant entraîné des dommages puisque suite à ces incidents de sécurité 20 % des entreprises ont subi des pertes financières (contre 8 % en 2008), 17 % citent des vols de propriété intellectuelle (6 % en 2008), et 13 % reconnaissent enregistrer des atteintes à leur image (6 % en 2008). Des chiffres comparables aux résultats mondiaux (voir illustration ci-contre).
« Pour la plupart, les entreprises ont adopté une approche par les risques se concentrant sur les données (plus de 80 % des répondants). Mais elles sont beaucoup moins nombreuses à avoir mis en place l’ébauche d’une approche permettant d’apporter une confiance sur le long terme sur la capacité de l’entreprise à protéger ses données,» constate Philippe Trouchaud, associé PwC en charge de l’offre “Sécurité de l’Information”.
Comme toujours, on attend que le feu se déclare pour penser aux risques d’incendie. Les politiques de prévention restent encore peu répandues dans les entreprises n’ayant subi aucun ou que peu de dommages. Espérons que la multiplication des incidents joue enfin un rôle positif en la matière.
Quatre mesures à minima
Après analyse des entreprises leaders en matière de sécurité, PwC a défini quatre mesures pour maitriser les risques de sécurité et revenir les incidents :
v Définir une véritable stratégie de sécurité de l’information qui porte sur la protection de l’information, et sur la façon d’utiliser les nouvelles technologies et le cyberespace, tout en se protégeant ;
v Communiquer avec les dirigeants via un canal approprié pour expliquer et définir une stratégie de sécurité, et rendre compte globalement (reporting) ;
v Une revue au moins annuelle de l’efficacité du dispositif de sécurité, pour s’assurer que les risques sont couverts ;
v Un processus d’identification des incidents de sécurité, de leurs causes et de leurs conséquences, pour adapter le dispositif et nourrir le reporting.
v « Les entreprises qui les appliquent toutes subissent deux fois moins d’incidents de sécurité que les autres entreprises,» assure-t-on chez PwC. « Elles ne sont pourtant que 13 % à appliquer l’ensemble de ces mesures au niveau mondial et 11 % en France.»
Aucun commentaire:
Enregistrer un commentaire