Une vision encore partielle des risques informatiques par les décideurs

Par 05 novembre 2013
sécurité des données

L'analyse des considérations des dirigeants des grandes entreprises en termes de sécurisation informatique met en lumière l'hétérogénéité des attentes concernant de gestion des risques.

La sécurité informatique a beau être au centre des préoccupations des décideurs, elle semble manquer encore d'efficacité. Le tort n'en est pas tant à un manque d'investissement qu'à une dispersion des priorités selon les entreprises, et à l'intérieur même de celles-ci, selon les services et les niveaux hiérarchiques. C'est du moins ce qu'avance l'étude publiée par IBM intitulée A new standard for security leaders. Cette étude correspond en réalité à un ensemble d'interviews et de questionnaires réalisés auprès des Directeurs de la Sécurité Informatique de grandes entreprises. Si la sécurité informatique est bien devenue un enjeu fort et prend de plus en plus de visibilité auprès des sphères dirigeantes des entreprises, l'évolution constante des risques et des moyens de s'en prémunir créent des problématiques importantes auprès des professionnels de la sécurité informatique. Ces problématiques ne sont plus cantonnées à la protection des données mais intègrent l'ensemble des aspects de la production.

Des visions trop autocentrées

Au fil des interviews effectuées auprès des dirigeants de service, l'étude à mis en lumière la différenciation des attentes pour ce qui est de la sécurité informatique. Ainsi les PDG vont se concentrer sur les risques d'impact sur la réputation à 49% d'entre eux, quand les directeurs financiers se concentrent sur les pertes financières et les directeurs opérationnels sur la perte de productivité. S'il ne semble pas illogique que les préoccupations touchent au secteur d'activité, c'est aussi ce manque d'homogénéité dans les attentes qui ne permet pas l'implémentation d'une culture solide et structurée. De même de l'autre côté du plateau, les Directeurs de la Sécurité Informatique ne traduisent pas assez, semble-t-il, leurs données en informations utilisables par les autres dirigeants. 63% d'entre eux admettent de cette façon ne pas quantifier l'impact financier des mesures de sécurité, de même plus de la moitié d'entre eux conviennent ne pas intégrer les métriques de sécurité au sein des mesures d'analyse de risque business.

La sécurité mobile

La prolifération des équipements mobiles élargit le champs de ces risques informatiques, comme l'exprime un DSI appartenant à une entreprise de services financiers, "Le Bring-Your-Own-Device commence à recouvrir à peu près tout, les responsables de sécurité se doivent d'être flexibles, penser comme un utilisateur, penser à ce que les utilisateurs font." C'est ains l’équipement en appareils mobiles qui se retrouve en tête des mesures mises en place dans 78% des entreprises interrogées quand la mise en place d'un guide sur la sécurité mobile pour les employés n'atteint que 51% et la stratégie entrepreunariale pour le BYOD à peine 30%. Et effectivement, au sein des entreprises interrogées par IBM, la sécurité mobile apparaît comme la priorité première. Cependant, si les mesures sont là, l'approche problème par problème ne semble pas la plus efficace. L'étude préconise ainsi plutôt la mise en place d'une structure forte, intégrée au sein de tous les secteurs de travail, combinée avec une stratégie holistique de la gestion des risques qui permettrait de quantifier pratiquement l'impact économique des mesures de sécurisation informatique.

Mentions légales © L’Atelier BNP Paribas