De la théorie à la pratique, il y a un souvent un fossé. C'est le cas en matière de sécurité informatique des entreprises, selon le rapport 2010 présenté ce jeudi par le Clusif (Club français de la sécurité de l'information). « Si, depuis 2004, les sociétés françaises ont fait des progrès au niveau de la formalisation de politiques de sécurité informatique, ces politiques ne débouchent toujours pas sur des applications concrètes. En tout cas, pas suffisamment en regard des enjeux », s'étonne Lionel Mourer, directeur d'ESR Consulting, la branche conseil de la SSII ESR, et coauteur de l'étude du Clusif, réalisée auprès de 350 entreprises françaises de plus de 200 salariés.Curieux paradoxe, en effet, que ces sociétés qui sont 80 % à reconnaître qu'une indisponibilité de moins de vingt-quatre heures de leur système informatique engendre des conséquences graves sur leur activité, mais qui, parallèlement, ne sécurisent pas ce même système. Ainsi, à peine la moitié (49 %) des entreprises sondées ont créé un poste de responsable de la sécurité des systèmes d'information. Et quand celui-ci existe, il ne dispose généralement que d'une toute petite équipe, d'une à deux personnes. Et d'un budget restreint : dans près de la moitié (48 %) des sociétés interrogées, la part du budget informatique dévolue à la sécurité a stagné depuis 2008, date du précédent rapport du Clusif, et cette part a même diminué dans 10 % des cas. Cerise sur le gâteau, à l'heure du nomadisme, 77 % des entreprises autorisent les ordinateurs portables de leurs collaborateurs à accéder assez facilement à leur système d'information. Le PC portable doit posséder un simple anti-virus, peu d'entreprises exigent qu'il soit doté d'un pare-feu. Pourtant, dans le même intervalle, le nombre d'attaques informatiques a explosé. À tel point que les trois quarts environ (74 %) des entreprises reconnaissent avoir subi au moins un problème de sécurité informatique au cours des douze derniers mois. Soit un bond de 19 points en deux ans. Et si les intrusions dans les systèmes d'information ne représentent encore que 8 % des actes de malveillance informatique, le nombre de ces piratages sévères n'en a pas moins quadruplé en l'espace de deux ans. Plan de continuitéDes piratages qui peuvent coûter très cher. Dans une étude publiée au premier trimestre 2010, l'éditeur de logiciels de sécurité Symantec avait estimé à 2,4 millions d'euros la perte moyenne subie en 2009 par les grandes entreprises françaises en raison d'attaques informatiques. Des entreprises qui sont encore une minorité (41 %) à évaluer l'impact financier de leurs problèmes de sécurité informatique, selon le Clusif. Dans la même veine, un tiers seulement des sociétés interrogées ont mis en place un plan de continuité de leur activité, en cas d'attaque grave de leur système d'information.Certes, la crise économique de ces deux dernières années a contraint les entreprises à geler, voire à réduire, leurs investissements informatiques. Mais, comme le souligne Lionel Mourer, les sociétés devraient se concentrer sur un nombre restreint de problématiques de sécurité. Au lieu d'adopter une politique « parapluie » destinée à leur donner bonne conscience. Christine Lejoux

latribune.fr

18 Juin 2010, 15:56

Partager :