A lire sur: http://www.atelier.net/trends/articles/une-vision-partielle-risques-informatiques-decideurs_425030
L'analyse des considérations des
dirigeants des grandes entreprises en termes de sécurisation
informatique met en lumière l'hétérogénéité des attentes concernant de
gestion des risques.
La sécurité informatique a beau être
au centre des préoccupations des décideurs, elle semble manquer encore
d'efficacité. Le tort n'en est pas tant à un manque d'investissement
qu'à une dispersion des priorités selon les entreprises, et à
l'intérieur même de celles-ci, selon les services et les niveaux
hiérarchiques. C'est du moins ce qu'avance l'étude publiée par IBM intitulée A new standard for security leaders.
Cette étude correspond en réalité à un ensemble d'interviews et de
questionnaires réalisés auprès des Directeurs de la Sécurité
Informatique de grandes entreprises. Si la sécurité informatique est
bien devenue un enjeu fort et prend de plus en plus de visibilité auprès
des sphères dirigeantes des entreprises, l'évolution constante des
risques et des moyens de s'en prémunir créent des problématiques
importantes auprès des professionnels de la sécurité informatique. Ces
problématiques ne sont plus cantonnées à la protection des données mais
intègrent l'ensemble des aspects de la production.
Des visions trop autocentrées
Au fil des interviews effectuées auprès des dirigeants de
service, l'étude à mis en lumière la différenciation des attentes pour
ce qui est de la sécurité informatique. Ainsi les PDG vont se concentrer
sur les risques d'impact sur la réputation à 49% d'entre eux, quand les
directeurs financiers se concentrent sur les pertes financières et les
directeurs opérationnels sur la perte de productivité. S'il ne semble
pas illogique que les préoccupations touchent au secteur d'activité,
c'est aussi ce manque d'homogénéité dans les attentes qui ne permet pas
l'implémentation d'une culture solide et structurée. De même de l'autre
côté du plateau, les Directeurs de la Sécurité Informatique ne
traduisent pas assez, semble-t-il, leurs données en informations
utilisables par les autres dirigeants. 63% d'entre eux admettent de
cette façon ne pas quantifier l'impact financier des mesures de
sécurité, de même plus de la moitié d'entre eux conviennent ne pas
intégrer les métriques de sécurité au sein des mesures d'analyse de
risque business.
La sécurité mobile
La prolifération des équipements mobiles élargit le champs
de ces risques informatiques, comme l'exprime un DSI appartenant à une
entreprise de services financiers, "Le Bring-Your-Own-Device commence à
recouvrir à peu près tout, les responsables de sécurité se doivent
d'être flexibles, penser comme un utilisateur, penser à ce que les
utilisateurs font." C'est ains l’équipement en appareils mobiles qui se
retrouve en tête des mesures mises en place dans 78% des entreprises
interrogées quand la mise en place d'un guide sur la sécurité mobile
pour les employés n'atteint que 51% et la stratégie entrepreunariale
pour le BYOD à peine 30%. Et effectivement, au sein des entreprises
interrogées par IBM, la sécurité mobile apparaît comme la priorité
première. Cependant, si les mesures sont là, l'approche problème par
problème ne semble pas la plus efficace. L'étude préconise ainsi plutôt
la mise en place d'une structure forte, intégrée au sein de tous les
secteurs de travail, combinée avec une stratégie holistique de la
gestion des risques qui permettrait de quantifier pratiquement l'impact
économique des mesures de sécurisation informatique.
Aucun commentaire:
Enregistrer un commentaire