K-OTik : Etude - Quand s'arrêtera l'augmentation de l'insécurité informatique ?

Etude - Quand s'arrêtera l'augmentation de l'insécurité informatique ?

F-VNS SECURITY v2.0 - Le service de veille personnalisée, destiné aux responsables sécurité des systèmes d'information (RSSI) et directeurs informatiques » Période d'essai gratuite de 15 jours

Par Jérôme MORLON (JDN) - La question se pose au regard des résultats de l'enquête annuelle menée par le magazine américain Information Week : des dangers plus nombreux, des conséquences plus douleureuses, des coûts qui s'additionnent, le tableau est noir.

Pour 81% des 7000 professionnels (répartis sur une quarantaine de pays) de la sécurité informatique et des technologies interrogés comme chaque année sur le sujet par l'hebdomadaire américain Information Week, le constat est clair : les failles de sécurité et les codes malveillants représentent une menace plus réelle encore cette année que l'an passé.

Ajoutons à cela que les répondants déclarent avoir subis, ces douze derniers mois, des conséquences plus longues liées aux attaques informatiques.

En tête de celles-ci, l'indisponibilité du réseau ou des applications métier (dont la messagerie électronique). Des pannes importantes, donc, alors que la fraude, le vol d'indentité ou l'espionnage industriel sont beaucoup plus rarement cités : en d'autres termes, cela signifie que les attaques ne sont pas tant ciblées ou pourvues d'un mobile qu'elles ne sont destinées à paralyser provisoirement l'activité des entreprises reposant sur l'outil informatique. En 1998, rapporte le magazine, 50% des sondés ne faisait pas état d'une immobilisation temporaire du système d'information. Cette année, il ne sont plus que 6%.

La double réponse des professionnels consiste à augmenter les budgets consacrés à la sécurité informatique et à alerter les fournisseurs. Pour 60% des répondants, une proportion largement plus élevée que les années précédentes (où elle oscillait entre 40 et 50%), la hausse des dépenses de sécurité est de rigueur cette année. En moyenne, la part des budgets IT consacrée à la sécurité informatique atteint les 12%.

Mais si les entreprises prennent des mesures, elles n'oublient pas de mettre en avant la responsabilité des fournisseurs de logiciels pour les éventuelles vulnérabilités que comporteraient leurs produits. Pour 46% des répondants, les éditeurs doivent ainsi être tenu financièrement ou légalement (ou les deux) responsables dans tous les cas. Et pour 47 autres %, ils doivent l'être s'ils n'ont pas mis en place des procédures contrôlées de qualité logicielle dans leurs développement.

Par ailleurs, sur la question de savoir si les vendeurs doivent communiquer immédiatement autour des vulnérabilités logicielles découvertes dans leurs produits, 66% sont d'accord, tandis que 32% estiment qu'ils doivent attendre la disponibilité d'un patch corrigeant la faille.

Les priorités tactiques des entreprises concernant la sécurité informatique
Priorité	En 2004	Rappel 2003	Rappel 2002
Augmenter la sécurité applicative	42%	62%	54%
Mettre en place un meilleur contrôle d'accès	37%	51%	44%
Sécuriser les accès distants	35%	49%	45%
Superviser les comportements des utilisateurs par une politique de sécurité	30%	40%	37%
Installer des logiciels de supervision	29%	-	-
Installer et superviser des outils de détection d'intrusion	28%	50%	43%
Mettre en place des tests de sécurité et une évaluation des risques, incluant le paramètre de la conduite éthique	26%	38%	32%
Mettre en place la sécurisation des réseaux sans fil	25%	32%	20%
Source : Information Week Research, 2004