Le virus I love you et le déni de service sur de grands sites web ont porté la sécurité informatique – et ses failles – sur le devant de la scène. “Bien sûr, historiquement, les entreprises qui travaillent dans le secteur militaire dédient depuis longtemps une équipe à ce type de problèmes, raconte Pierre-Marie Lorang, chef du département infrastructure commune à la direction des systèmes d’information de Thomson-CSF Detexis. Mais, depuis peu – en fait, depuis la mondialisation de la concurrence et l’explosion d’Internet -, on assiste à une prise de conscience plus générale.” A un début, en tout cas, si l’on en croit l’enquête réalisée le cabinet Multilignes Conseil pour 01 Informatique sur ce thème : aujourd’hui, seules 28 % des entreprises de plus de deux cents salariés ont une équipe dédiée à la sécurité.
Les compétences manquent en interne
De plus, lorsqu’elle existe, celle-ci voit souvent sa taille et ses attributions limitées. Dans 80 % des cas, elle compte moins de quatre personnes et n’est que rarement à l’origine des procédures de sécurité. En effet, cette équipe ne définit les règles utilisées que pour 5,7 % des sociétés interrogées, alors que le service informatique se charge de cette tâche pour 58 % des firmes, et la direction générale pour 28 %. Une nuance, toutefois : dans de nombreux cas, l’équipe dédiée dépend de l’une ou l’autre de ces directions. Enfin, qu’il s’agisse de mise en place d’une politique de mot de passe, de sauvegarde régulière des serveurs, ou de mise à jour des antivirus, les entreprises gèrent en général elles-mêmes leur sécurité informatique. Elles ne sont que 24 % à faire appel à un prestataire.
Pierre-Luc Réfalo, président de l’espace RSSI (Responsable de la sécurité des systèmes d’information) du Clusif (club de la sécurité des systèmes d’information français), s’interroge sur la justesse d’une telle stratégie à long terme : “Généralement, celles qui disposent d’équipes dédiées à la sécurité font aussi appel à des prestataires. Les autres n’y ont pas recours et se débrouillent donc toutes seules. Or, qu’en est-il de leur formation en la matière ?”
Toutefois, Pierre-Luc Réfalo lance une mise en garde : “Les sociétés de services ne doivent, en aucun cas, être décisionnaires en la matière.”Selon notre enquête, elles le sont pourtant pour 58 % des firmes qui font appel à elles (ce qui ne représente finalement qu’à peine plus de 14 % des entreprises interrogées). 33,7 % se contentent d’externaliser la sécurisation des échanges ; 22,4 % la détection d’intrusions ; et 12 % le secours informatique en cas de sinistre.
Les sociétés de service – spécialisées ou non – ne sont pas les seules impliquées dans les prestations de sécurité : les opérateurs télécoms et les FAI (fournisseurs d’accès internet) le sont également. Et même si c’est la qualité et la continuité de service que leurs clients leur demandent en premier lieu, 80 % de ceux-ci souhaitent qu’ils leur garantissent aussi une protection contre les virus ; 47 % la réclament contre les intrusions ; 28 % contre les attaques par déni de service ; et, enfin, 27 % contre l’envoi de courrier électronique indésirable (spamming).(*) Enquête du Cabinet Multilignes Conseil pour 01 Informatique, réalisée en juillet dernier.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.