Moins… mais encore des idées reçues sur les défaillances informatiques

Les risques informatiques sont des risques de sécurité

78% des personnes interrogées considèrent les risques de disponibilité comme «critiques» ou «graves», contre respectivement 70%, 68% et 63% pour les risques de sécurité, de perfor¬mance et de conformité. Seulement 15% font encore la distinction entre des risques «élevés» et «faibles». Ceci indique que les professionnels IT adoptent une vision des risques plus globale et moins centrée sur la sécurité. Le rapport confirme que les risques de sécurité et de conformité sont pris très au sérieux en raison de leur visibilité et de leur impact: 63% des personnes interrogées jugent que les pertes de données ont de graves conséquences sur leur activité. Toutefois, ils donnent une importance grandissante aux risques de disponibilité qui, d’après le rapport, peuvent avoir des incidences qui se chiffrent en millions.

Le commentaire de Wouter Mariën

«La notion de risques devient globale. Désormais, c’est la disponibilité qui compte. Egalement la conformité. C'est un changement majeur, le résultat d'une réflexion plus large qui intègre l’IT dans le processus de création de valeur de l’entreprise. Encore vue sous l’angle technique, ce qu’elle restera sans doute encore long¬temps, la sécurité IT s’inscrit de plus en plus dans une démarche de Risk Management. Nous le remarquons en tant qu' éditeur: hier, les outils de sécurité étaient dispersés, ils étaient déployés par silos technologiques; aujourd’hui, on se dirige vers un mouvement de centralisation. Autre constat: on vend moins d’outils, les organisations cherchant davantage, de par le phénomène de centralisation, à optimaliser leur usage. C'est très net dans le milieu financier. Pour autant, il s’agit d’inscrire l’évaluation des risques dans un cycle continu.»

La gestion des risques informatiques est un projet

La gestion des risques doit être permanente au sein des entreprises. Au sujet des incidents pouvant affecter l’entreprise, le rapport révèle que 69% s’attendent à un incident informatique mineur par mois, 63% s’attendent à une défaillance informatique majeure au moins une fois par an, 26% s’attendent à un incident de non-conformité aux réglementations au moins une fois par an et, enfin, 25% s’attendent à une perte de données au moins une fois par an. Certaines entreprises adoptent une approche plus holistique. Cependant, beaucoup semblent ne pas mettre en place certains contrôles fondamentaux de gestion des risques informatiques, comme par exemple la classification et la gestion des actifs.

Le commentaire de Wouter Mariën

«La notion de projet est par nature restrictive parce que temporelle: elle suppose la possibilité de régler une problématique à un moment donné. Longtemps, elle a prédominé. Sans doute parce qu’on a considéré la sécurité comme un Meccano: une superposition de composants techniques destinés à renforcer l'édifice. Le fait que deux tiers des entreprises s’attendent à connaître un incident informatique mineur par mois confirme la constance des risques. La gestion des risques doit donc s’inscrire dans la permanence. Est-ce le cas d’un point de vue opérationnel? Voici six mois, la réponse aurait été clairement ‘non’. Depuis peu, le changement s’opère. Certes, le mythe n’est pas encore tombé. Mais le progrès est rapide. Pour preuve, l’intérêt du marché pour Foundation Risk Assessment, service permettant de générer un état des lieux des risques informatiques encourus par l’entreprise, première étape du processus d’optimisation de l’attitude de l’entreprise face aux risques informatiques et de gestion de ces risques.»

La technologie seule permet d’atténuer les risques

D’après Symantec, les problèmes de processus sont à l’origine de 53% des incidents. Comparé au rapport publié l’année dernière, notons que le nombre de personnes estimant que leur programme de formation et d’information est efficace à plus de 75% est passé de près de 50% à 43%; une très faible amélioration des chiffres concernant le contrôle des actifs et de la classification des inventaires; le nombre de personnes jugeant que la gestion du cycle de vie des données est efficace à plus de 75% a diminué de 17% (45% aujourd’hui). Le nombre de personnes estimant que leur développement d’applications sécurisées est efficace à plus de 75% a progressé de 10%.

Le commentaire de Wouter Mariën

«Pas de sécurité sans une bonne connaissance de ses processus! Il faut savoir où se trouvent ses données, comment ses employés y accèdent, les stockent et la façon dont celles-ci sont échangées à l’interne comme à l’externe. Une évaluation honnête des processus principaux, à laquelle participeront les équipes interfonctionnelles, aide à déceler les faiblesses et les points de défaillance potentiels. Imaginons qu’en revoyant le processus de cessation d’emploi de vos employés, vous découvriez qu’aucun dispositif n’a été mis en place pour s’assurer qu’un responsable ou le directeur des ressources humaines a bien soumis une demande de suppression des droits d’accès au système et au courriel. Si vous rendiez cette procédure obligatoire, en l’intégrant au flux de travaux approprié, vous élimineriez des jours, des semaines, voire des mois d’accès non autorisé...»

La gestion des risques informatiques est déjà une discipline formelle

Le rapport indique que la gestion des risques est une discipline en constante évolution et non une science exacte, car elle repose sur l’expérience acquise par les personnes et les entreprises dans un environnement technologique et commercial en constante évolution. Cela doit englober: la gestion des risques opérationnels, les contrôles de qualité et de la gouvernance d’entreprise et des technologies d’information. De plus, les spécialistes pourraient bien en venir à considérer la gestion des risques informatiques comme une série de relations et principes fixes, applicables de manière universelle à différents marchés et différentes régions.

Le commentaire de Wouter Mariën

«Courir inlassablement, boucher les ‘trous’ de sécurité de son système les uns après les autres, appliquer des recettes toutes faites sans comprendre les menaces, sans connaître la sensibilité de ses informations et encore moins les vulnérabilités du système, sans avoir déterminé le mouvement de ses informations tout en pensant que la technologie s’occupera de tout… est encore et toujours une approche de la sécurité présente dans nos entreprises. Certes, le Risk Management c’est 80% d’IT. Mais est-ce une raison pour ignorer le business? Les récents scandales financiers feront, j'en suis persuadé, évoluer les mentalités. Je le concède, la protection absolue n’existe pas. Au mieux peut-on prévoir les risques et minimiser les conséquences. De plus, si la sécurité implique le recours à des technologies, il faut garder à l’esprit que les solutions sont aussi, et principalement, d’ordre organisationnel et fonctionnel.»