Les brèches de sécurité rapportées par les organisations canadiennes auraient augmenté de 29 % en 2010, affirme une étude de l’école de gestion Rotman et de Telus. Les pertes en argent seraient moindres en raison d’une meilleure capacité de détection. La proportion des budgets et le nombre d’employés affectés à la sécurité des TI auraient encore diminué.
Selon l’étude conjointe sur les pratiques canadiennes en sécurité des TI, qui a été réalisée par l’école de gestion Rotman School of Management de l’Université de Toronto et par le fournisseur de services de télécommunications Telus, il y aurait eu une faible hausse du nombre de brèches de sécurité rapportées par les entreprises privées canadiennes en 2010.
Selon un graphique contenu dans un sommaire de l’étude, les entreprises privées non présentes en bourse auraient rapporté environ 12 brèches en moyenne et que les entreprises cotées en bourse auraient fait état de moins de 10 brèches en moyenne en 2010.
Toutefois, l’étude avance que les organisations canadiennes du secteur public auraient subi une augmentation de 74 % du nombre moyen de brèches de sécurité en un an, soit 22,4 brèches en 2010 contre 13,4 brèches en 2009. Les organisations du secteur public auraient fait l’objet de deux fois plus de brèches de sécurité que les organisations du secteur privé d’année en année. Ces brèches auraient ainsi contribué à la majorité de la hausse du nombre de brèches rapportées en 2010.
Les auteurs de l’étude expliquent en partie la hausse du nombre de brèches rapportées par les gouvernements par « un investissement tardif, mais ciblé » dans des technologies de détection et de signalisation.
Yogen Appalraju, Vice-président, Solutions de sécurité chez Telus, estime que la stabilisation des brèches rapportées par le secteur privé en 2010 reflète des investissements réalisés dans des technologies de détection et de signalisation par ces organisations en 2009. M. Appalraju envisage une stabilisation du côté du secteur public à la suite de la réalisation d’investissements similaires réalisés en 2010.
Toutefois, dans le sommaire de l’étude, on note un écart « considérable » entre la définition de brèche au sein des gouvernements et des entreprises privées, en raison de divergences au niveau des régimes, des obligations et des politiques de sécurité.
Les plus importants types de brèche qui auraient affecté les organisations canadiennes au cours des douze derniers mois seraient les virus, vers, polluriels et autres maliciels, le vol d’ordinateurs portatifs ou d’appareil mobiles ainsi que l’hameçonnage ou le détournement de nom de domaine. L’accès non autorisé à l’information par les employés se situait au quatrième rang.
30 % des brèches de sécurité au sein des entités gouvernementales et 19 % des brèches au sein des entreprises privées auraient émané de l’intérieur des organisations en 2010.
Coûts à la baisse, raffinement à la hausse
D’autre part, l’étude réalisée par l’école de gestion Rotman et par Telus rapporte une baisse de 78 % en douze mois des coûts liés aux brèches de sécurité.
Le coût moyen aurait chuté de 85,1 % au niveau des entreprises privées (de 807 310 $ en 2009 à 119 685 $ en 2010) et de 49,9 % au niveau des entreprises cotées en bourse (de 675 132 $ en 2009 à 337 930 $ en 2010).
Or, au niveau des organisations gouvernementales, les pertes d’argent associées aux brèches ont chuté de 91,9 % en douze mois, soit de 1 004 799 $ en 2009 à 80 910 $ en 2010. Bien que le nombre de brèches rapportées par les organisations gouvernementales ait augmenté d’année en année, on constate que les coûts associés à ces brèches auraient été grandement réduits.
« La réduction des coûts associés aux brèches [des organisations en général] s’explique par une meilleure détection et par un effort de confinement plus efficace et plus rapide », constate Yogen Appalraju de Telus.
Toutefois, l’étude souligne que les brèches non ciblées, qui se colmatent rapidement, sont remplacées par des brèches ciblées qui entraînent souvent « des coûts différés et difficiles à quantifier. » Des attaques plus raffinées viseraient davantage les informations relatives aux citoyens et aux clients, à des fins de revente ou d’obtention d’un gain financier de la part de malfaiteurs.
En soulignant que Telus exploite un laboratoire d’analyse et collabore avec seize des vingt plus importants fournisseurs de solutions de sécurité, Yogen Appalraju déclare que 74 % du code malicieux en circulation sont conçus spécifiquement pour l’obtention de données corporatives ou personnelles.
Diminution des budgets et ressources
L’étude conjointe sur les pratiques canadiennes en sécurité des TI de l’école Rotman et de Telus note que la proportion des dépenses en TI qui est affectée à la sécurité par les organisations canadiennes a encore diminué d’année en année.
En 2010, les organisations auraient affecté un peu plus de 6,5 % de leurs budgets en TI à la sécurité, contre un peu moins de 7 % en 2009. L’année dernière, les budgets voués à la sécurité des TI avaient été réduits en moyenne de 10 % en comparaison avec les budgets pour l’année 2008, en raison de la crise économique.
Également, la quantité de personnel affecté à la sécurité au sein des organisations aurait chuté en 2010, surtout à la suite de réductions de coûts réalisées en 2009 lors du ralentissement économique. La moitié des organisations aurait d’un à cinq employés affectés à la sécurité des technologies, alors que 12 % des organisations compteraient de six à dix employés. Le recours accru à l’impartition en 2009 expliquerait en partie la diminution de personnel dédié à la sécurité.
Accès aux réseaux sociaux
L’édition 2010 de l’étude réalisée par l’école Rotman et Telus s’intéresse à l’accès aux réseaux sociaux. On y indique que le quart des organisations canadiennes bloquerait l’accès aux sites de réseaux sociaux à leur personnel pour des raisons de sécurité.
Selon Walid Hejazi, professeur d’économie à l’école de gestion Rotman, ce blocage n’améliorerait pas le niveau de sécurité, puisque les employés tenteraient d’accéder aux réseaux d’autres façons, ce qui entraînerait des vulnérabilités au niveau de la protection des données.
L’étude 2010 produite par l’école de gestion Rotman et Telus traite aussi de l’impartition des activités de sécurité, des principales préoccupations des professionnels et des salaires de ces derniers. Cette étude, qui en est à sa troisième édition, a été produite à l’aide des réponses à un sondage auquel 523 organisations canadiennes ont participé l’été dernier.
Jean-François Ferland est rédacteur en chef adjoint au magazine Direction informatique.