61% des entreprises françaises ont connu un incident relatif à la sécurité informatique en 2011 selon une étude du cabinet PWC, contre 39% en 2010. Le niveau de confiance des entreprises dans leur sécurité passe en trois ans de 87% à 55%. Tous les domaines sont touchés par une croissance forte de l'insécurité : 20% estiment avoir subi des pertes financières (contre 15% en 2010 et 8% en 2008), 17% se plaignent de vol de propriété intellectuelle (6% en 2008) et 13% des atteintes à l'image (6% en 2008). La situation est plutôt meilleure en France que dans le reste du monde, ceci dit.



Selon le cabinet d'audit, quatre bonnes pratiques divisent par deux les risques observés. Mais seulement 13% des entreprises (11% en France) les appliquent toutes les quatre. Tout d'abord, il s'agit de définir une stratégie de sécurité de l'information au lieu d'une simple politique technique de sécurité informatique. La différence résulte surtout de la volonté d'utiliser la technologie au lieu de la subir.

La deuxième bonne pratique est liée à la mise en place de la stratégie : il s'agit pour les dirigeants d'être en relation directe avec les experts afin d'être informés autant des risques que des opportunités afin de prendre les bonnes décisions. Le rattachement de la sécurité au Top Management n'existe que dans 47% des cas. Ce point est jugé comme le plus critique par 25% des entreprises, juste après le manque de moyens budgétaires (27%). Les RSSI préfèrent citer le manque de compréhension et de vision par la direction des enjeux et l'excès de complexité des SI comme sources des problèmes (respectivement : 37% et 30%).

Bien entendu, la stratégie de sécurité doit être révisée régulièrement. Dans son troisième point, PWC préconise une revue annuelle afin de s'assurer que les risques du moment sont bien couverts. Enfin, mais ce dernier point devrait peut-être se situer en premier, il s'agit d'être en mesure d'identifier les incidents, leurs causes et leurs conséquences afin de prendre les décisions adéquates.

Sources externes d'incidents

La France considérait ses relations externes habituelles (par opposition à des pirates inconnus ou des collaborateurs) plutôt moins sévèrement que le reste du monde en 2009. La tendance s'est aujourd'hui inversée. Ainsi, les clients n'étaient identifiés en 2009 comme une source de menace que dans 6% des cas en France (contre 10% dans le monde), 5% pour partenaires et fournisseurs (8% dans le monde). En 2011, 17% des entreprises, autant en France que dans le monde, accusent les clients et 17% en France les partenaires et fournisseurs contre 15% dans le monde.