Une enquête de Branham Group souligne les progrès réalisés par les entreprises canadiennes au chapitre de la sécurité depuis 2003, tout en dénotant une certaine inclinaison en faveur de la complaisance.
La firme-conseil spécialisée dans le secteur des technologies Branham Group a dévoilé les résultats de sa sixième enquête pancanadienne annuelle sur la sécurité informatique. Commanditée par Symantec, l’enquête vise plus spécifiquement à identifier l’attitude des décideurs à l’endroit des défis que pose la sécurité de l’information dans les entreprises et les solutions qu’ils mettent en place pour y répondre.
De cette enquête a été publié un rapport de recherche intitulé « Pulse of IT Security in Canada », qui fait un état des lieux et qui compare la situation à celle qui avait observée lors des années précédentes. 103 décideurs, oeuvrant dans des entreprises générant des revenus inférieurs à 50 M$ par année, ont été interrogés.
Il faut préciser que l’enquête a été réalisée l’été dernier et qu’elle reflète donc la situation qui prévalait avant la crise financière. La situation économique s’étant détériorée depuis le début de l’automne – l’économie canadienne est officiellement entrée en récession le 8 décembre dernier – il se peut que les priorités des entreprises canadiennes au chapitre de la sécurité aient changé depuis.
Il a ainsi été observé que bien que tous les décideurs considèrent l’importance de la sécurité informatique, seulement sept décideurs sur dix qui la rangent parmi les cinq priorités de l’entreprise. L’an dernier, cette proportion était de 82 %.
Cela étant dit, la proportion des responsables de la sécurité informatique qui se disent davantage préoccupés par la sécurité des systèmes d’information de leur entreprise a crû de six points de pourcentage en 2008 par rapport à 2007, pour atteindre 41 %. La protection des données et les risques pouvant affecter la réputation de l’entreprise à la suite d’une brèche de sécurité sont en tête de liste de leurs préoccupations, suivie du manque à gagner engendré par une indisponibilité des systèmes d’information.
Environ une entreprise sur trois a créé un poste de responsable qui est attitré spécifiquement à la protection des systèmes d’information et/ou des renseignements nominatifs en 2008, ce qui est légèrement supérieur à l’année précédente.
Au niveau du palmarès des attaques, on trouve en première position les pourriels, dont la quasi-totalité des entreprises (99 %) a été victime, suivis des virus et des vers (90 %), des logiciels espions (78 %) et des violations aux politiques de sécurité (76 %). C’est du côté du vol d’identité que la plus forte croissance a été observée en 2008 en rapport à 2007, alors que 91 % plus d’entreprises ont été victimes de ce type d’attaque. Viennent ensuite le vol d’information sensible, en hausse de 79 % par rapport à 2007, et la fraude financière (67 %).
Se sentant moins à risque en 2008 qu’en 2007, les entreprises se considèrent toutefois moins aptes à se protéger adéquatement contre une attaque.
Impacts financiers
Au niveau des impacts financiers, plus de la moitié des entreprises (53 %) estiment à moins de 5 000 $ ce qu’il en coûte pour réparer les dégâts découlant d’une attaque de virus. Les entreprises considèrent que c’est du côté de la perte de productivité des employés que se situe l’impact financier le plus important d’une attaque de virus, Cet enjeu a été mentionné par 82 % des répondants, suivi des atteintes à l’intégrité des données et de l’information (68 %) et du manque à gagner engendré par l’attaque (57 %).
En ce qui concerne la stratégie adoptée par les entreprises pour gérer le risque informatique, la majorité d’entre elles, soit 70 %, préconise une approche proactive, ce qui est la même proportion qu’en 2007. En outre, 72 % des entreprises sous-traitent certains éléments de leur stratégie de sécurité. La proportion de la stratégie qui est sous-traitée ne cesse de diminuer : étant maintenant de 20 %, elle était de 30 % en 2005.
Au niveau des prévisions d’investissement pour 2008-2009, les antivirus occupent le haut du pavé, étant soulignés par 55 % des entreprises, suivis des systèmes de détection des intrusions (39 %) et des pare-feux (38 %). La portion du budget TI qui est affectée à la sécurité informatique n’a pas changé par rapport à 2007, étant toujours de 5 % en moyenne. Dans 63 % des cas, moins de 10 % du budget TI va à la sécurité.
Et quand les entreprises sont victimes d’une attaque, elles sont davantage enclines à en parler publiquement qu’elles ne l’étaient précédemment. La proportion est passée de 41 % en 2003 à 67 % en 2008.
Les dangers de la complaisance
Les auteurs de l’étude croient que l’attitude des entreprises à l’endroit de la sécurité s’est beaucoup améliorée depuis 2003. Mais comme les pirates sont de plus en plus sophistiqués et créatifs, les entreprises ne devraient pas s’asseoir sur leurs lauriers et se laisser aller à la complaisance, ce vers quoi elles tendent actuellement, soutiennent les auteurs de l’étude. D’autant plus que les pirates se professionnalisent, cherchant à percer les systèmes d’information des entreprises pour en soutirer un avantage pécuniaire, et que les applications Web 2.0 sont de plus en plus utilisées en entreprise malgré leurs failles qui sont bien connues.
Dans un contexte de récession, plusieurs entreprises peuvent être tentées de réduire la portion de leur budget qui est allouée à la sécurité informatique, ce qui est une bien mauvaise idée, croit Art Coviello, le président de RSA, la filiale de EMC qui est spécialisée en solutions de sécurité. Ce dernier croit que les entreprises devraient plutôt réévaluer leurs investissements en sécurité de sorte à mieux les cibler. Elles devraient premièrement investir là où le risque et les retombées sont plus élevés. Elles devraient aussi mettre l’accent sur la qualité de leur équipe de sécurité, de sorte à conserver les meilleures ressources, en cas de licenciement.
En troisième lieu, elles devraient favoriser le plus possible la mise en place de processus routiniers, qui permet d’accroître l’efficience de leur équipe de sécurité. Le président de RSA recommande aussi aux entreprises de mettre en place une stratégie de coût partagé qui permet de répartir le fardeau financier de la sécurité entre plusieurs départements, Il recommande aussi de recourir le plus possible à l’automatisation et à l’impartition, mais pas à n’importe quel prix, alors que la sélection des fournisseurs est cruciale. De cette façon seulement, estime M. Coviello, l’entreprise pourra accroître l’efficacité de son investissement et mieux passer au travers de la période économique difficile qui est en cours.
Avec le service de nouvelles IDG
Alain Beaulieu est adjoint au rédacteur en chef au magazine Direction informatique.
