L'étude mondiale annuelle de PricewaterhouseCoopers sur la protection de l'information et la sécurité des systèmes d'information met en exergue de fortes attentes des dirigeants en matière de sécurité. Face à une augmentation notable des incidents de sécurité, la majorité des décideurs dans le monde souhaitent maintenir ou augmenter leurs budgets sécurité (63%). A l'inverse de la tendance globale, la France se démarque par un fort infléchissement des moyens accordés à la sécurité et une perception des risques moins « alarmiste » que la moyenne des personnes sondées.
Des budgets dédiés à la sécurité préservés voire en augmentation malgré la crise économique et financière
On distingue dans l'étude de cette année une augmentation notable des incidents de sécurité (+44% pour les attaques ciblant des données de l'entreprise) ainsi qu'une hausse de leurs impacts en termes de perte financière, d'atteinte à l'image de marque et de la destruction de valeur pour les actionnaires (+17,5% en moyenne).
Les dirigeants anticipent un renforcement des contraintes réglementaires en matière de sécurité, et sont particulièrement sensibles à la fragilisation des partenaires économiques et technologiques, ainsi qu'à un risque en hausse pesant sur la sécurité de leurs informations faisant suite à une contraction de leurs effectifs.
Face à ces risques et malgré un contexte d'instabilité, une majorité des décideurs (63 %) maintient ou augmente leurs budgets sécurité bien que la tendance générale au sein des entreprises soit à la réduction des dépenses. En France, à l'inverse de la tendance globale, on constate un fort infléchissement des moyens accordés à la sécurité (seuls 35% des décideurs déclarent vouloir y consacrer d'avantage de moyens en 2010) et plus globalement, une perception des risques moins « alarmiste » que la moyenne des personnes sondées (43% des participants estiment que les risques liés à la sécurité de l'information ont augmenté, contre 32 % en Europe et 25 % en France).
« A un niveau mondial, on constate finalement que la crise économique a peu d'impact sur les budgets sécurité : la sécurité reste une priorité pour les décideurs.
On a dépassé le réflexe de la seule réponse technologique pour le traitement de la sécurité pour revenir à une approche par les risques qui permet d'identifier les faiblesses à corriger et de définir les investissements à mettre en œuvre » analyse Philippe Trouchaud, associé de PwC responsable de l'activité conseil en sécurité informatique.
Une augmentation significative des impacts financiers faisant suite à des incidents de sécurité
Sur un plan technique, l'étude met en évidence une augmentation significative des attaques complexes ciblant des données de l'entreprise dans le monde (+44 %) et en Europe (+7%).
La France se dit, elle, moins touchée (-20%) mais cette « apparente » régression trouve sans doute des explications dans le fait que 60% des répondants français ne savent pas dire s'ils ont subi des incidents de sécurité, contre 50% en Europe et 39% dans le monde. Les données issues du système d'information et des systèmes de sécurité sont encore nettement sous-exploitée.
Même si les conséquences liées aux incidents de sécurité ne sont pas encore toutes évaluées (impact de la fraude notamment dont les conséquences ne sont évaluées en générale que plusieurs mois après la détection des incidents), les personnes interrogées constatent d'ores et déjà une tendance à la hausse des impacts en terme de pertes financière (+7,7% des répondants dans le monde, même chiffre en France), d'atteinte à l'image de marque et à la propriété intellectuelle (+11% des répondants dans le monde, +12 % en Europe et +7% en France), de perte de valeur pour les actionnaires (+33% des répondants dans le monde, +25% en Europe et +95% en France).
Des attentes fortes des décideurs
Les attentes des directions générales se sont renforcées cette année concernant la sécurité de l'information et du système d'information, dans un contexte où les risques et la sinistralité des entreprises sont en forte augmentation : la sécurité est la priorité pour 58% des dirigeants sondés (CEO) à égalité avec la nécessité de se conformer à des contraintes règlementaires plus complexes.
Ainsi, 43% des personnes interrogées dans le monde estiment que les menaces liées à la sécurité de l'information ont augmenté, contre en 32% en Europe et 25% en France. Ce chiffre passe de 43 % à 50% pour les seuls dirigeants (CEO).
43% des personnes interrogées dans le monde estiment que les risques liés à la protection des données (vol, confidentialité, intégrité) se sont accrus en raison de la contraction du marché de l'emploi, contre 32% en Europe et 25 % en France.
Enfin, 43% des personnes interrogées mettent en exergue un accroissement des risques en matière de sécurité en cas de défaillance des partenaires économiques et technologiques : ils sont respectivement 33% en Europe et 31% en France à penser de même.
Le retour en force d'une approche par les risques et le renforcement du pilotage économique de la sécurité
En 2010, les directions générales veulent identifier clairement leurs risques et s'assurer que tout est « sous contrôle ». La priorité est donnée à la protection des informations (84% dans le monde, 71% Europe, 55% en France), à l'identification des risques clés et au pilotage en conséquence des investissements (83 % dans le monde, 69% en Europe, 53% en France), au renforcement des fonctions de contrôle et de gestion des risques (82% dans le monde, 67% en Europe et 52% en France.)
Les tendances nouvelles pour l'année 2010
Les préoccupations clés pour l'année à venir sont la protection des informations et des données, la couverture des risques liés aux réseaux sociaux, l'évaluation des risques sécurité liés à l'usage du « Cloud Computing » (« hype curve ») et plus globalement des risques liés à la virtualisation.
« L'accent est mis dans l'étude de cette année sur une approche stratégique de la sécurité basée sur les risques et non plus sur une approche « systémique » basée sur le déploiement de technologies qui ne permet pas à elle seule de s'assurer que ce qui doit être protégé l'est effectivement et au bon niveau » commente Philippe Trouchaud, associé de PwC responsable de l'activité conseil en sécurité informatique.
À propos de l'étude Global State of Information Security 2010
Le « Global State of Information Security 2010 » est une étude mondiale de PricewaterhouseCoopers, du CIO Magazine et du CSO Magazine. C'est en quelques chiffres : la 11ème année consécutive de participation de PwC, 7ème année avec les magazines CIO et CSO Plus de 7200 réponses de PDG, Directeurs Financiers, DSI, RSSI, et responsables IT et sécurité répartis dans plus de 130 pays, dont 2802 en Europe et 476 en France. Plus de 45 questions relatives à la sécurité de l'information et de la protection des données privées