« Moins d'un tiers des entreprises dans le monde disposent d'un plan de gestion des risques informatiques à même de les prémunir contre les dangers liés à l'utilisation des nouvelles technologies » constate le cabinet Ernst & Young dans sa treizième étude mondiale sur la sécurité informatique, « Global Information Security Survey ». Les principaux problèmes sont liés à la croissance de l'externalisation, notamment via l'informatique en nuage (cloud computing) comme le très courant SaaS, mais aussi par les pratiques collaboratives comme les réseaux sociaux et le web 2.0. Michel Richard, associé chez Ernst & Young responsable du département sécurité des SI, attire également l'attention sur la mobilité croissante des équipes et l'insécurité inhérente aux outils et méthodes de cette mobilité (smartphone, ordinateurs portables, tablettes, connexion au SI par le web, etc.). Pour lui, il ne s'agit pas de remettre en cause l'évolution des pratiques métiers mais plutôt d'être conscient des risques et de prendre les mesures nécessaires pour s'en prémunir.

Précisons que le cabinet ne s'intéresse pas principalement à la sécurité informatique au sens technique du mot mais plus à la sécurité des données transitant dans un SI.

La sécurité parent pauvre des budgets

Les dépenses en sécurité n'augmentent en proportion du budget IT que dans la moitié des cas. Dans 6% des cas, la proportion des budgets informatiques consacrée à la sécurité est même en baisse, le solde étant constitué par des organisations aux dépenses plus ou moins stables en sécurité.

Les priorités des entreprises concernent avant tout la continuité d'activité (28% des répondants la placent en première priorité) et la « compliance » (16%), c'est à dire la conformité avec les règles tant légales que professionnelles (Bâle II, etc.). Viennent ensuite la prévention des pertes de données, la gestion des risques sur la sécurité des données, les problématiques d'identification et de sécurité d'accès...

Les efforts particuliers de cette année ne recoupent pas nécessairement les besoins immédiats. En effet, une priorité peut être déjà largement traitée et ne pas nécessiter de nouveaux investissements. Malgré tout, on constate que dans ces efforts financiers la continuité d'activité mais au même niveau que la prévention des fuites d'informations (50% des répondants vont dépenser davantage que l'année passée). Les problématiques d'identification et de sécurité d'accès sont juste derrière (48%) et suivies de la sécurisation des clouds.