Selon un sondage annuel d’Ernst & Young, les organisations se préoccuperaient des impacts d’une brèche de sécurité sur leur réputation publique. Ainsi, la moitié augmentera son budget consacré à la protection de l’information. Toutefois, certaines carences sont récurantes.
En vertu de l’édition 2008 du Sondage mondial sur la sécurité de l’information qui est réalisé chaque année par la firme de services-conseils Ernst & Young auprès de membres de la haute direction d’organisations d’une cinquantaine de pays, les impacts appréhendés d’un incident compromettant les données sont tels que le budget consacré à la sécurité de l’information sera bonifié, et ce, malgré le spectre d’un ralentissement économique ou d’une récession.
Ainsi, 50 % des 1 400 organisations interrogées compterait augmenter leur budget consacré à la sécurité de l’information. Seulement 5 % des participants à l’étude auraient affirmé qu’elles comptaient réduire leurs budgets en ces temps d’austérité économique.
Ernst & Young affirme que si l’amélioration de la sécurité était motivée auparavant par l’obligation d’une conformité à des règlements, ce sont maintenant le maintien d’une bonne réputation et la protection de la marque qui motiveraient les organisations à se préoccuper de la sécurité. Précisément, la firme fait état d’un intérêt pour la protection de l’organisation « contre le spectre d’une couverture médiatique dévastatrice issue d’une brèche de sécurité. »
Ainsi, 85 % des répondants à l’édition 2008 du sondage ont identifié l’atteinte à la marque et à la réputation comme étant l’incidence la plus importante qui était crainte dans l’éventualité d’une brèche de sécurité qui compromettrait la sécurité de l’information. 72 % ont dit qu’un incident de la sorte se traduirait par des pertes de revenus et 68 % ont mentionné les sanctions découlant de l’application d’un règlement comme étant une conséquence majeure à craindre.
« La perte de revenu est une incidence importante, alors qu’il y a un lien avec la sécurité de l’information. Mais une seule brèche peut détruire la réputation et l’image qu’une société a mis des années à construire. Ça prend un seul événement pour avoir un impact », constate Tony Ritlop, associé des Services consultatifs chez Ernst & Young.
« Lors d’une période économique incertaine comme celle que nous vivons présentement, tous regardent les budgets et les dirigeants doivent choisir les produits et les fournisseurs de façon plus minutieuse. Ainsi, les entreprises sont vraiment préoccupées par leur réputation. Ce qui nous a frappés le plus dans les résultats est qu’au début on pensait que les budgets seraient coupés en raison de la crise financière. Mais non : dans une [situation] économique de la sorte il faut bien dépenser les sous, notamment sur des éléments reliés à la sécurité de l’information. »
Parmi les autres constats majeurs de la nouvelle édition de l’étude, Ernst & Young souligne que les normes internationales de sécurité de l’information font l’objet d’une acceptation et d’une adoption croissante de la part des organisations, ce qui constitue un point positif.
Carences
Toutefois, les autres constats sont moins encourageants. La firme de services-conseils pointe du doigt les difficultés des organisations à établir une vue stratégique de la sécurité de l’information, le caractère inadéquat des mesures de protection de la vie privée en place malgré que l’enjeu soit dorénavant prioritaire et la persistance d’un lien entre la continuité d’activités et les technologies de l’information.
Également, la plupart des répondants à l’étude n’envisagent pas l’impartition des activités essentielles qui sont liées à la sécurité de l’information, alors que sans grande surprise les êtres humains représentent encore le talon d’Achille de la sécurité de l‘information au sein d’une organisation. D’autre part, peu souscrivent à une « cyberassurance » pour couvrir les risques liés à la sécurité de l’information.
« [Les organisations] ne savent pas que [une telle assurance] existe. Soyons honnêtes : en fonction de ce que l’on a vu, les coûts associés à ces types d’assurance sont assez chers, constate M. Ritlop. Si rien n’est arrivé et que les primes sont assez élevées, plusieurs de nos clients disent que ce n’est pas le temps de dépenser des sous pour cela. Ils mettront autre chose en place pour gérer les risques et éviter d’appeler l’assureur. »
Enfin, un constat de la firme fait quelque peu sourciller, à savoir que peu des organisations se préoccupent des risques émanant d’autres entités associées à une organisation, par exemple des fournisseurs de services.
« C’est quelque chose que l’on voit chez des clients et des entreprises non clientes, explique M. Ritlop. Plusieurs disent simplement ‘c’est une entreprise que l’on connaît, donc par définition ça doit marcher avec eux’. Il y a une confiance qui n’est pas basée sur des résultats factuels. Les gens sont plutôt préoccupés avec des choses à l’interne qu’ils peuvent gérer, mais les risques liés aux tiers sont toujours là et sont toujours soulevés. »
« Le sondage ne voulait pas dire que ces risques n’étaient pas considérés du tout, mais plutôt souligner que ces risques ne sont pas assez pris en compte, précise-t-il. Des clients posent des questions et il y a des attentes entre les compagnies, et des audits arrivent des fois dans des cas, mais pas dans d’autres cas. Il n’y a rien de systématique. Si on fait des affaires avec quelqu’un depuis vingt ans, de leur demander soudainement de faire un audit est parfois mal reçu. Les entreprises sont alors un peu nerveuses de poser des questions difficiles. Mais c’est le temps de poser des questions, parce que les tiers en font davantage pour les entreprises. »
M. Ritlop déplore que la sécurité de l’information, encore une fois, soit un enjeu où les entreprises sont plutôt en mode de réaction que de proaction.
Jean-François Ferland est journaliste au magazine Direction informatique.
