Difficile pour les entreprises de trouver un compromis entre les risques qui pèsent sur elles chaque jour en matière de protection des données, et la réalité des budgets informatiques.
Alors que selon le cabinet Gartner, l’entreprise moyenne alloue seulement 5 % de son budget informatique annuel à la sécurité, il se pourrait que prochainement l’attitude des directions informatiques sur ce sujet évolue.

En effet, selon l’enquête « Indice de confiance de la sécurité des données DSCI 2015 (Data Security Confidence Index) » réalisée par Vanson Bourne en mai dernier, les DSI sont de plus en plus nombreux à douter de la fiabilité de leur système d’information, et à prévoir de nouvelles mesures dans ce domaine.

Dans cet article, nous allons tâcher de comprendre ces nouvelles problématiques des DSI, et observer les bonnes pratiques leur permettant d’améliorer la sécurité informatique de leurs entreprises.

Risques informatiques et prise de conscience

Ces dernières années, les incidents informatiques de grande ampleur et fortement médiatisés se sont multipliés. C’est ainsi le cas du piratage de l’entreprise Sony Pictures, qui subit en novembre 2014 l’un des piratages de données les plus importants jamais enregistrés aux États-Unis.

Ce sont peut-être ces incidents qui ont été de nature à sensibiliser davantage les DSI à la sécurité informatique. Toujours est-il que l’enquête de Vanson Bourne montre une prise de conscience de la part des directeurs informatiques à ce sujet.

• 30 % d’entre eux constatent que leur entreprise a été déjà victime d’une faille de sécurité,
• 33 % sont convaincus qu’il est possible pour des hackers de s’introduire sur leur réseau,
• 34 % n’ont pas confiance dans le dispositif de sécurité informatique mise en place dans leur entreprise.

Des entreprises encore insuffisamment protégées

Si l’heure est à la prise de conscience, les entreprises ne sont pas encore protégées. Selon une autre enquête, réalisée par le cabinet Gartner, en 2018, seulement 40 % des grandes organisations disposeront de plan de sécurité pour se prémunir des attaques informatiques les plus agressives. Et encore, ceci reste optimiste puisque aujourd’hui pratiquement aucune organisation n’aurait mis en place de tels dispositifs.

Mais les entreprises sont bien obligées de s’intéresser à ces problématiques, car aujourd’hui, les organisations victimes d’incidents informatiques subissent des dommages très importants. Les serveurs peuvent être arrêtés à distance, les données peuvent être effacées et les interruptions d’activité peuvent perturber gravement les services métier.

Parce que les coûts sont importants, on observe des mouvements sur le plan de la réglementation, avec des mesures plus ou moins importantes en fonction des pays. Ainsi, aux États-Unis, des règles relatives à la protection des données commencent à naître avec de nouvelles dispositions législatives. Ailleurs dans le monde, Singapour, Hong Kong ou l’Australie, de nouvelles lois sont élaborées. L’objectif futur sera probablement de protéger la propriété intellectuelle, et de pallier au risque d’interruption d’activité, un type de sinistre de plus en plus coûteux pour les entreprises.

Sécurité informatique : des bonnes pratiques à mettre en place

La prise de conscience des entreprises concernant la sécurité informatique devra ainsi idéalement s’accompagner, au delà du déploiement de composants d’infrastructures, de la mise en place de bonnes pratiques permettant de diminuer les risques.

Il est ainsi possible d’identifier les bonnes pratiques suivantes :

Sensibiliser les utilisateurs

La sensibilisation semble être l’une des questions principales en matière de sécurité. D’après une étude réalisée par PWC, les entreprises qui développent une culture de sécurité en entreprise diminuent de 72 % le coût des incidents.
Car le maillon faible de la sécurité informatique, c’est bien l’humain. L’utilisateur final, celui qui fait appel à de plus en plus de canaux (Smartphone, tablette, ordinateur portable…). C’est l’interconnectivité de ces appareils, allié au phénomène de l’internet des objets et du BYOD qui engendrent davantage de risques.

Souscrire à une assurance

Le recours à une assurance n’est pas un moyen de se protéger, mais de limiter les impacts d’un risque avéré. Mais aujourd’hui, les assurances n’offrent pas une couverture la plus étendue possible, concernant notamment la prise en charge de l’interruption d’activité.

Crypter les données

Toujours selon l’étude Vanson Bourne, le retour à des procédures de cryptage des données serait nécessaire. En effet, selon les résultats de l’étude, seulement 8 % des données attaquées seraient protégées par une solution de chiffrement.

Ainsi, la prise de conscience des DSI concernant les nouvelles menaces et les façons de protéger efficacement les entreprises signerait la relance des investissements en sécurité informatique. Selon l’étude Vanson Bourne, ce sont 12 % des décideurs qui déclareraient avoir augmenté leur investissement sécurité au cours des cinq dernières années, et 71 % déclareraient avoir ajusté leur stratégie de sécurité suite aux récentes failles de grande ampleur médiatisée.

Parce que investir dans la sécurité informatique n’est pas un achat traditionnel (il est notamment très difficile de mesurer le retour sur investissement), les DSI doivent travailler à l’analyse des risques et des bénéfices, augmenter les bonnes pratiques, et mettre en place une responsabilité partagée avec le reste de l’entreprise.

Consultez dès à présent les prestations liées à la sécurité informatique proposées par Déessi : audits de sécurité et antivirus professionnel.