Business

Etude mondiale CIO/PWC : la sécurité trop souvent vue comme un simple problème technique

Menée au niveau mondial par PWC en partenariat avec CIO, l'étude « The Global State of Information Security » fait le point sur la conception de la sécurité informatique dans les organisations à travers le monde.

Publicité« Les dirigeants d'entreprises et d'administrations se préoccupent de plus en plus de la sécurité des SI mais la réponse qu'ils attendent est trop souvent technique -on met une sauvegarde, un firewall ou un anti-virus- sans réfléchir à ce qu'il faut protéger, de quoi et pourquoi » dénonce Philippe Trouchaud, associé du cabinet PWC en charge de la sécurité. Selon lui, il n'existe que rarement une véritable cartographie des risques ou de relevé des incidents, a fortiori d'incidents avec analyse de leurs causes. Ainsi, l'enseignement principal de l'étude « The Global State of Information Security » mené au niveau mondial (voir fiche technique ci-dessous) est que les organisations ont, d'une manière générale, une très mauvaise gestion de leur sinistralité. Mais si « les incidents de sécurité ne sont pas monitorés », il reste un moyen relativement simple de convaincre un directeur général de débloquer un budget, selon Philippe Trouchaud : « quand on vérifie, on trouve toujours des incidents et il suffit donc de chercher les tentatives d'accès illégitimes et d'en fournir le relevé ». Les tentatives de piratage du SI ont, au fil du temps, beaucoup changé de nature. Auparavant, les attaques étaient souvent des « hacks », c'est à dire des exploits réalisés pour la beauté du geste par des bidouilleurs cherchant à faire le malin. Aujourd'hui, il s'agit le plus souvent de criminalité organisée ou d'intelligence économique. Par ailleurs, les entreprises se sont fragilisées sans s'en rendre compte. En effet, le premier danger reste du côté des employés (corrompus par des concurrents ou voulant se venger) et l'évolution technique leur a donné des moyens de plus en plus importants pour être potentiellement malfaisants : des clés USB pour emporter des données, des accès Wi-Fi pirates,... Le phénomène est d'autant plus grave que la technologie et ses joujoux sont devenus un signe de reconnaissance : un commercial d'un certain statut ne peut pas se rendre en clientèle sans son Blackberry ou un PDA bourré d'informations confidentielles. Sofian-Maxime Khadir, directeur chez PWC, rappelle : « à New-York, les PDA et PC portables oubliés dans les taxis, avec toutes les données confidentielles, se comptent en dizaines de milliers chaque mois. Et on ne parle même pas des clés USB, qui ne valent au plus qu'une dizaine d'euros (quand elles ne sont pas des cadeaux promotionnels) et auxquelles on ne fait pas du tout attention, mais qui peuvent contenir pour des millions de dollars de données ! » Le lien entre un effet (perte d'un contrat commercial, contrefaçon d'un modèle...) et un incident (une intrusion dans le SI, la perte d'un PC ou d'un PDA...) n'est pas toujours simple à réaliser car il peut y avoir une différence de plusieurs mois voire de plusieurs années entre les deux. Pour Sofian-Maxime Khadir, « un exemple banal de mauvaise prise en compte de la sécurité est un non-changement du code d'accès à la messagerie vocale d'un portable. Dès lors, il suffit de connaître l'opérateur et le numéro de téléphone de la victime visée puis de composer le code 0000 pour accéder à son répondeur à partir de n'importe quel téléphone ! Une entreprise peut ainsi dépenser des millions d'euros en firewalls et autres moyens techniques mais disposer de vulnérabilités non-couvertes comme les poubelles, les téléphones portables ou les accès physiques aux locaux. » Mais, globalement, la situation s'améliore... Ainsi, il y a 10% en plus des ordinateurs portables qui ont un disque dur crypté entre 2007 et 2008 mais... le chiffre passe de 40% à 50%, ce qui fait qu'encore un portable sur deux n'est pas protégé. Au niveau mondial, le budget sécurité progresse de 7% entre 2007 et 2008 mais ce chiffre cache de grandes disparités : l'Amérique du Nord, où la situation est globalement mature, ne progresse que de 5% contre 6% en Europe (ce qui demeure très insuffisant) et 10% en Asie et en Amérique du Sud (où la situation de départ était très mauvaise). Il reste cependant que la communication autour des incidents est très différente selon les pays, ce qui ne permet pas vraiment de comparaison. Si on se limite aux incidents connus publiquement, les Etats-Unis connaîtraient une sinistralité bien plus importante que la France alors que ses investissements en sécurité sont bien supérieurs. « En Europe en général et en France en particulier, la communication sur les incidents de sécurité est infime tandis qu'aux Etats-Unis, on révèle quand on a perdu des données » relève Sofian-Maxime Khadir. Côté organisation de la sécurité, les différences sont également très importante selon les secteurs ou les pays. Il semble que l'unité des prérogatives de sécurité (SI ; IE, sécurité physique...) soit un phénomène rare dans les organisations à travers le monde. Selon Sofian-Maxime Khadir, « le CSO en titre, quand il existe, est en charge généralement de la seule sécurité informatique au sens de la protection contre les intrusions. Le plan de continuité d'activité demeure le plus souvent en dehors de ses attributions. » Mais l'existence d'un CSO ne concerne que 43% des entreprises de production ou de distribution contre 83% dans les établissements financiers. L'existence d'une stratégie de sécurité formalisée concerne respectivement 52% et 75% des cas. Une des grandes faiblesses de la politique de sécurité est l'absence d'une politique de gestion d'identité. « Quand nous réalisons un audit, nous trouvons le plus souvent des comptes donnant des droits d'accès au SI ou aux locaux alors que les personnes concernées ont soit changé d'entreprise, soit obtenu d'autres fonctions, le tout, bien entendu, sans traçabilité des actes réalisé grâce à ces comptes... » s'émeut Sofian-Maxime Khadir. L'étude peut être consultée sur le site de notre partenaire PriceWaterHouseCoopers.