Sécurité IT en Grande-Bretagne: peut mieux faire…

Lors de l’ouverture d’Infosecurity ont été présentés les résultats de l’enquête bisannuelle sur la sécurité IT en Grande-Bretagne. Les chiffres font état d’une amélioration de la situation, même si l’europhie n’est pas encore de mise.

Lors de l’ouverture d’Infosecurity ont été présentés les résultats de l’enquête bisannuelle sur la sécurité IT en Grande-Bretagne. Les chiffres font état d’une amélioration de la situation, même si l’europhie n’est pas encore de mise.

Le ministère du ‘Business, enterprise & regulatory reform’ (l’ex-ministère du commerce et de l’industrie) fait état dans son rapport d’une augmentation marquée de la sensibiliation à la sécurité parmi les directions générales, même dans les plus petites entreprises. En l’occurrence, l’accent est surtout mis sur la protection des données des clients notamment.

Cette évolution se traduit par une mise en oeuvre plus large des principaux outils de sécurisation, dont l’antivirus (présent chez 95% au moins des participants à l’enquête). Cette généralisation explique la baisse du nombre d’incidents de sécurité répertoriés par les entreprises, ce qui constitue une belle avancée.

Malheureusemnet, tout n’est pas rose au pays de la sécurité IT. Les entreprises se disent notamment “particulièrement dépendantes” de l’ICT pour leur fonctionnement (84% des répondants), même si beaucoup ne disposent toujours pas d’un plan de reprise après sinistre. Par ailleurs, des technologies comme le VoIP, la messagerie instantanée et l’accès à distance sont déployées à un rythme toujours plus soutenu, sans que les mesures de sécurité associées soient prises pour autant. Sans parler de l’absence de mesures contre la perte de données par les clés USB, les PC portables qui disparaissent, etc.

En outre, si la prise de conscience est plus grande, les mesures pratiques ne suivent pas toujours. Ainsi, 11% seulement des entreprises ont mis en oevure le fameux standard de sécurité BS7799/ISO 27001.

En conséquence, bien que le nombre d’incidents de sécurité soit en baisse, le coût moyen par incident a lui augmenté. Qu’il s’agisse du coût pour réparer un dégât (l’éradication d’un virus dans une PME pourrait coûter 100 jours/homme) que du coût lié à la perte de revenus.

Compte tenu de l’apparition de nouveaux ‘malware’ ciblant clairement les opérations financières, comme le ‘whaling’ qui vise des personnes bien précises dans les entreprises, dont le CEO, les entreprises craignent une recrudescence du nombre d’incidents difficilement détectables.

A noter encore que si la sensibilisation à la technologie de la sécurité est bien présente, les entreprises ajoutent que tout nouveau progrès en matière de sécurité devra passer par une prise de conscience accrue de la part des colllaborateurs de l’organisation ainsi que des informaticiens en général, et des développeurs d’applicaitons en particulier.