Sécurité, entre prise de conscience et excès de confiance

Cloud

La situation en matière de sécurité informatique s’améliore. Selon une étude d’IDC, les entreprises ont davantage pris conscience de la vulnérabilité de leur système d’information. Toutefois, les entreprises ne sont pas encore totalement conscientes des efforts à engager pour assurer une continuité de service.

Six mois après une première étude sur la sécurité informatique, IDC juge que la situation s’est nettement améliorée. Le cabinet qui a réalisé ces études pour le compte d’EDS, société américaine de services informatiques, estime que les entreprises ont, depuis, nettement pris conscience de la vulnérabilité de leur système d’information. Les résultats de l’étude montrent ainsi que 48,1 % des directions générales ont l’intention de s’impliquer davantage dans les problématiques de sécurité informatique en 2002. Malgré cette prise de conscience, les moyens restent encore faibles. 40 % des entreprises estiment avoir de fortes compétences en interne tout en n’ayant, pour 54,5 % d’entre elles, aucune ressource interne dédiée à la sécurité. « Une partie des entreprises européennes semble ne pas avoir encore pris conscience des compétences requises afin d’assurer une sécurité optimale du système d’information », explique IDC. Ainsi, en France par exemple, les investissements en matière de sécurité atteignent à peine 1,6 % du budget informatique de l’entreprise.

Sur les 350 entreprises interrogées par IDC, 35,2 % des entreprises interrogées ont été attaquées au moins une fois en 2001. Au cours de la première étude menée sur le sujet du cybercrime par IDC pour EDS en juin 2001, seulement 26,5 % des entreprises avaient déclaré avoir subi des problèmes de sécurité venant de l’extérieur. « C’est un chiffre élevé d’autant que l’on sait que les entreprises ont plutôt tendance à minimiser les problèmes de sécurité qu’elles rencontrent », déclare IDC. D’autant qu’il ne s’agit pas de problèmes ponctuels puisque près de 70 % des entreprises déclarent subir entre deux et cinq attaques au cours de l’année. 68 % des entreprises ayant souffert de problèmes de cybercriminalité en 2001 ne possèdent pas de responsable dédié à la sécurité informatique.

Le premier danger : les virus

Les principaux sinistres informatiques auxquels ont été confrontées les entreprises interrogées sont les virus (78,5 % des cas), les erreurs d’utilisation (pour 64,2 %) et les pannes internes (pour 37,5 % ). Depuis les événements du 11 septembre 2001, les entreprises européennes ont pris conscience de l’importance de la sauvegarde des données. 63 % des entreprises estiment que la destruction des données est un risque majeur.

Le cabinet d’étude estime que les entreprises, même si elles ont subi des problèmes de cybercriminalité en 2001 et mis en place de multiples solutions de sécurité, ne sont pas encore totalement conscientes des efforts à engager pour assurer une continuité de service. IDC évoque même une vision optimiste sur la continuité de service. Pour IDC, la continuité de service implique de disposer de garanties techniques, financières et juridiques pour continuer à exploiter son système d’information en cas de sinistre et ne pas mettre en péril le bon fonctionnement de l’entreprise.

Des differences selon les pays d’Europe

Toutes les sociétés européennes ne sont pas exposées de la même façon. Ainsi 42,6 % des entreprises italiennes ont été attaquées au moins une fois en 2001 contre 36,6 % pour les entreprises espagnoles et 30,3 % des entreprises françaises. Les entreprises britanniques s’en sortent plutôt bien. Seulement 28,8 % des entreprises du Royaume-Uni déclarent avoir été attaquées au moins une fois durant l’année 2001. L’Allemagne, quant à elle, présente le plus fort pourcentage d’attaques venant de l’extérieur de l’entreprise avec un taux de 51,7 % .