Sécurité sans frontièreSynthèse des résultats de la 13e enquête annuelle mondiale Ernst & Youngsur la sécurité de l’information

L’enquête “Securité sans frontière” 2010 montre que les entreprises et les responsables de la sécurité sont confrontés à un environnement économique en pleine mutation, caractérisé par un effacement des frontières traditionnelles, une augmentation des effectifs nomades, un développement des services de cloud computing, et une généralisation des médias sociaux et des outils collaboratifs au sein de l’entreprise.

Si les entreprises s’efforcent de gérer ces nouvelles tendances et d’en tirer le meilleur parti en réduisant notamment leurs coûts, elles doivent en parallèle identifi er et traiter les risques et les impacts sur la sécurité de l’information.

Cette étude vous permet de faire le point sur les principaux risques et sur les actions à mener pour mieux appréhender ces risques dans un environnement de plus en plus dématérialisé.

Emergence de nouveaux risques avec des technologies de l’information plus ouvertes Se prémunir contre la fuite des données

• 60% des répondants perçoivent une augmentation du niveau des risques liés à l’utilisation des réseaux sociaux, des services de cloud computing et des appareils mobiles dans l’entreprise.

• Malgré une pression économique continue, les entreprises investissent de plus en plus en matière de sécurité, en particulier pour relever les défi s imposés par un environnement où les frontières ont éclaté : 46% des répondants indiquent que leurs investissements annuels en matière de sécurité de l’information augmentent, et seulement 6% prévoient de les réduire, le différentiel étant constitué par des entreprises aux dépenses plus ou moins stables en matière de sécurité.

• Les priorités des entreprises sont avant tout la disponibilité et la continuité des ressources informatiques critiques (28% des répondants la placent en première priorité) et la conformité (16%). Viennent ensuite la prévention des pertes de données, la gestion des risques sur la sécurité des données et les problématiques d’identifi cation et de sécurité d’accès.

• Plus de la moitié des personnes interrogées déclare que la mobilité accrue des collaborateurs représente un défi important en matière de sécurité de l’information. Ainsi, la généralisation des appareils portables permet aux utilisateurs d’accéder aux informations de l’entreprise et de les diffuser en tout lieu et à tout moment. Pour près des deux tiers (64%) des répondants, la fuite de données sensibles représente l’un des cinq principaux risques IT.

• La moitié des répondants envisage d’augmenter les dépenses pour prévenir les fuites et les pertes d’informations au cours de l’année 2011, soit une augmentation de 7 points de pourcentage par rapport à l’année précédente. Pour faire face aux nouveaux risques potentiels, 39% procèdent à des ajustements de leurs stratégies, 29% mettent en œuvre des techniques de chiffrement et 28% déploient des contrôles renforcés de gestion des identités et des accès.

Notre point de vue

• Pour se prémunir contre les dangers liés à l’utilisation des nouvelles technologies, les entreprises doivent disposer d’un programme de maîtrise des risques informatiques, en particulier en élaborant une cartographie des risques et un plan d’actions pour y répondre. Seuls 30% des répondants indiquent avoir aujourd’hui un programme en place traitant des risques liés aux nouvelles technologies.

Il apparait nécessaire d’établir une vision de la sécurité centrée sur l’information, alignée avec la stratégie de l’entreprise et les fl ux d’informations.

Notre point de vue

• Il apparaît nécessaire d’investir dans les technologies de prévention de fuite de données (DLP), de chiffrement et gestion des identités et des habilitations.

• En plus de la mise en œuvre de solutions basées sur les nouvelles technologies et une réfl exion sur les fl ux d’informations, les entreprises doivent mieux informer leurs collaborateurs des risques liés aux nouvelles technologies – y compris celles à usage personnel et qui peuvent aussi être employées à des fi ns professionnelles. Le succès de cette démarche repose principalement sur des formations effi caces et régulières autour de la sécurité, pour accompagner les changements que vivent les entreprises.

• Les DSI devraient revoir les politiques de sécurité et les adapter pour défi nir les règles et restrictions d’utilisation des appareils mobiles.

• Des dispositifs de sécurité doivent également être déployés sur ces appareils mobiles pour protéger les informations métier sensibles en cohérence avec la politique de maîtrise des risques de l’entreprise.

Maîtriser la nébuleuse du cloud computing Prendre en compte les risques liés aux médias sociaux

• Les services de cloud computing s’imposent chaque jour davantage : 45% des professionnels interrogés les utilisent déjà ou envisagent de le faire dans l’année à venir. Parmi eux, 54% utilisent plutôt des « nuages privés ».

• Parmi les risques croissants liés à l’utilisation de services de cloud computing, 39% citent la perte de visibilité sur les données de l’entreprise. Les accès non autorisés sont aussi identifi és comme des risques croissants par 34% des personnes interrogées. Ceci illustre le fait que bon nombre d’entreprises sont réticentes à l’idée d’abondonner tout contrôle sur l’accès à leurs données et de dépendre du cloud computing pour leur fournir des services de gestion des accès et des habilitations sûrs.

• Invités à indiquer si une certifi cation externe des fournisseurs de ces services contribuerait à augmenter leur confi ance, ils répondent à 85% positivement. Parmi eux, ils sont 43% à considérer que la certifi cation doit respecter des normes établies et 22% que l’organisme de certifi cation doit être agréé.

• Assurer la sécurité de l’information dans le cadre de l’utilisation de réseaux sociaux et du web 2.0 représente un défi majeur pour 33% des répondants.

• 34% des répondants effectuent une veille régulière sur les risques associés aux réseaux sociaux.

• 45% des répondants déclarent restreindre ou interdire l’utilisation des messageries électroniques ou instantanées pour le transfert de données confi dentielles ou sensibles.

Notre point de vue

• Les entreprises se doivent de donner accès aux outils communautaires et réseaux sociaux utilisés par les plus jeunes collaborateurs, sans perdre de vue les responsabilités de chacun dans la protection des informations stratégiques.

• Il apparaît nécessaire de renforcer la connaissance et les responsabilités personnelles en matière de sécurité pour viser des niveaux qui n’ont pas été atteints jusqu’à présent.

• Chaque collaborateur doit être informé sur les risques et problématiques soulevés par les réseaux sociaux et le web 2.0.

Notre point de vue

• Les entreprises doivent évaluer les risques juridiques, organisationnels, technologiques et sécurité liés à la mise à disposition de l’information sur un “nuage public”.

• Il apparaît indispensable pour les entreprises de mettre en place une stratégie, un modèle de gouvernance et une approche opérationnelle liés à l’utilisation du cloud computing, y compris pour la fonction sécurité afi n de défi nir des politiques et procédures.

• Chaque entreprise doit défi nir des standards et des exigences minimales pour utiliser les services de cloud computing de la manière la plus sécurisée possible.

MéthodologieLa 13e édition de l’enquête Ernst & Young « Sécurité de l’information » a été conduite entre juin et août 2010, sous la forme d’entretiens (face à face ou via internet) avec les dirigeants de 1 600 entreprises de tous secteurs, dans 56 pays.

Cloud computing :L’informatique dans les nuages est un modèle qui permet un accès à la demande à des ressources informatiques proposées par des prestataires de services à travers des réseaux comme Internet. Les ressources y sont partagées et la puissance de calcul est adaptable en fonction des besoins. Le client peut bénéfi cier d’une fl exibilité importante avec un effort réduit de gestion.

Nuage public :Ce type de ressources est accessible à toute entreprise ou public et appartient généralement à un prestataire de services.

Nuage privé : Les ressources informatiques sont dédiées à une entreprise. Elles peuvent être gérées par l’entreprise elle-même (nuage privé interne) ou par un prestataire (nuage privé externe). Dans ce cas, l’infrastructure est entièrement dédiée à l’entreprise et accessible via réseaux sécurisés de type VPN (réseau privé virtuel).

Chiffrement : Le chiffrement est un procédé de cryptographie (techniques s’attachant à protéger un message en assurant confi dentialité, authenticité et intégrité) rendant la compréhension d’un document ou de données impossible à toute personne ne disposant pas de la clé de chiffrement.

Ernst & Young

Audit | Conseil | Fiscalité & Droit | Transactions Contact

Ernst & Young est un des leaders mondiaux de l’audit et du conseil, de la fiscalité et du droit, des transactions. Partout dans le monde, nos 141 000 professionnels associent nos fortes valeurs communes à un ferme engagement pour la qualité. Nous faisons la différence en aidant nos collaborateurs, nos clients et tous nos interlocuteurs à réaliser leur potentiel.

Ernst & Young désigne les membres d’Ernst &Young Global Limited, dont chacun est une entité juridique distincte. Ernst & Young Global Limited, société britannique à responsabilité limitée par garantie, ne fournit pas de prestations aux clients. Retrouvez plus d’informations sur notre organisation : www.ey.com

A propos de l’activité Conseil d’Ernst & Young

La relation entre maîtrise des risques et amélioration de la performance est un défi majeur et de plus en plus complexe. Cette performance est inexorablement liée à l’identification et à la gestion optimale des risques. Nos 18000 consultants à travers le monde forment l’un des réseaux les plus importants parmi toutes les entreprises de conseil. Nos équipes pluridisciplinaires travaillent avec vous pour vous apporter une expérience client unique.

Nous sommes convaincus que pour vous aider à réaliser votre potentiel sur le marché, nous devons vous délivrer des services qui répondent aux enjeux spécifiques de votre marché. Ainsi, nos professionnels, forts d’une expérience sectorielle précise et exhaustive, vous conseillent et vous orientent, dans vos choix, avec rigueur et objectivité.

© 2010 Ernst & Young Advisory.Tous droits réservés.

Studio graphique France n°1011SG315.

Brochure imprimée sur papier F.S.C. par Feuilles&Pages.Le bois utilisé pour cette pâte provient de forêts et plantations gérées de manière durable.

Le présent document comporte des informations résumées et, par conséquent, ne fournit que des indications d’ordre général. Il n’a pas vocation à se substituer à une recherche approfondie ou à une analyse d’ordre professionnel. Ni la responsabilité d’EYGM Limited, ni celle d’une quelconque autre composante de l’organisation mondiale d’Ernst & Young ne sera engagée en raison des actions ou omissions d’un tiers motivées par un quelconque passage du présent document. Pour toute question précise, il importe de s’adresser au conseiller idoine.

Pascal Antonini, Associé

Tel : +33 1 46 93 70 34

E-mail : pascal.antonini@fr.ey.com