Selon l’étude mondiale 2010 sur la sécurité de l’information de la firme Ernst & Young, les organisations s’inquiètent des risques liés aux nouvelles technologies, mais n’adaptent pas leurs pratiques de façon proactive.
Selon la firme de services-conseils Ernst & Young, 60 % des participants de l’édition 2010 de l’étude mondiale sur la sécurité de l’information croiraient que l’accroissement du recours aux nouvelles technologies et aux prestataires externes entraîne une augmentation des risques au sein de leurs organisations.
Toutefois, selon l’étude de Ernst & Young, seulement le tiers des entreprises à l’échelle mondiale auraient un programme de gestion des risques des TI qui inclurait des mesures d’atténuation des risques relatifs à l’utilisation des nouvelles technologies.
« La sécurité de l’information est surtout statique et en mode réactif. C’est encore lorsqu’un incident survient qu’on nous appelle. Les organisations savent qu’il y a un risque qui pose problème, mais elles ne veulent pas le traiter tout de suite », constate Nicola Vizioli, chef d’équipe senior au groupe des services consultatifs en risques de technologies de l’information chez Ernst & Young.
Pour réduire les nouveaux risques liés aux technologies, 39 % des répondants à l’étude d’Ernst & Young auraient adapté leurs directives, 29 % auraient adopté des techniques de chiffrement et 28 % auraient amélioré leurs contrôles de gestion de l’identité et des accès.
D’autre part, 64 % des répondants estimeraient que la sensibilisation du personnel à l’importance de la sécurité de l’information constitue un grand défi.
Risques accrus
Selon Ernst & Young, l’accès continu aux ressources technologiques essentielles, pour une première fois, ferait partie des cinq plus importants risques en technologies de l’information qui auraient été identifiés par les participants à son étude.
Qui plus est, l’accessibilité en tout temps et à tout endroit aux applications et au contenu d’entreprise, à l’aide d’appareils mobiles ou de réseaux privés virtuels, serait considérée comme étant le plus important des risques en TI par les répondants de l’étude.
Le risque en TI que constitue l’accès continu aux ressources technologiques essentielles devancerait les risque associés aux données, aux applications et aux bases de données, aux fournisseurs tiers et à l’impartition ainsi qu’aux opérations.
Selon M. Vizioli, la perception de l’accès continu aux ressources technologiques essentielles comme étant le plus grand risque est une réaction à certains incidents qui ont été grandement médiatisés aux États-Unis. « Les compagnies vont faire de plus en plus attention. Non seulement les technologies sont de plus en plus utilisées, mais on réalise qu’il y a un risque assez élevé de perte ou de fuite des données. »
Mobilité
À propos de la mobilité, plus de la moitié des répondants qui ont participé à l’étude d’Ernst & Young verraient un défi majeur en la mobilité accrue du personnel, en raison de l’utilisation par ces derniers d’appareils informatiques mobiles qui permettent l’accès et la diffusion d’information de partout et en tout temps.
Selon le cabinet de service-conseil, la moitié des répondants à l’étude auraient indiqué que leur organisation augmentait ses dépenses liées à la reprise après sinistre et à la continuité des activités commerciales en raison de la présence accrue d’appareils mobiles et des carences liées à l’application d’une forme de contrôle à leur égard.
Informatique en nuage
L’étude d’Ernst & Young s’est aussi intéressée à l’informatique en nuage. Ainsi, 23 % des participants à l’étude auraient indiqué que leur organisation avait recours à des services fondés sur l’informatique en nuage, alors que 15 % des répondants auraient indiqué que leur organisation envisageait d’en faire autant au cours des prochains mois.
D’autre part, 85 % des répondants de l’étude d’Ernst & Young seraient rassurés à l’endroit d’un prestataire de service d’informatique en nuage par le recours à une certification réalisée par une firme externe. 43 % des participants croiraient qu’une telle certification devrait être fondée sur une norme, et 22 % estimeraient que ladite certification devrait être émise par un organisme accrédité.
Dépenses
D’autre part, 46 % des personnes interrogées dans le cadre de l’étude d’Ernst & Young auraient dit que leur organisation souhaiterait accroître les investissements annuels en sécurité de l’information.
Également, 50 % des répondants auraient indiqué que leur organisation comptait dépenser plus d’argent au cours des douze prochains mois aux fins de la prévention des fuites et des pertes de données.
Et le Canada?
Les données publiées par Ernst & Young Canada proviennent d’une étude mondiale qui a été produite à partir d’un sondage réalisé entre juin et août 2010 auprès de représentants de 1 600 entreprises dans 56 pays. Toutefois, aucune donnée attribuable aux organisations canadiennes n’a été diffusée.
Selon M. Vizioli, la situation et les perceptions des organisations canadiennes ressembleraient dans l’ensemble aux tendances mondiales. « La plus importance différence est au niveau de l’informatique en nuage, où les Américains sont en avance sur le Canada et le reste du monde », commente M. Vizioli.
Jean-François Ferland est rédacteur en chef adjoint au magazine Direction informatique.
