Etude : La Sécurité informatique dans les entreprises françaises en 2003
|
Ernst & Young publie les résultats d'une étude mondiale réalisée auprès de responsables de la sécurité du système d'information. Originalité : le document confronte les réponses des entreprises françaises à celles du reste du monde. On y apprend ainsi que les français sont plus respectueux des réglementations, qu'ils communiquent mieux l'information sécurité à leur Direction Générale, souvent plus impliquée... mais qu'ils sont moins bien organisé et font beaucoup plus d'erreurs d'exploitation que le reste du monde !
Soyons chauvins un instant : les entreprises Françaises ne se débrouillent pas si mal en matière de sécurité de leur système d'information. C'est en tout cas l'image renvoyée par l'étude que vient de publier Ernst & Young, réalisée auprès d'un panel de 53 entreprises Françaises, dont un peu moins de la moitié dans le secteur de la banque et des finances (ceci explique peut-être cela). L'étude montre des entreprises Françaises plutôt conscientes des risques, qui bénéficient d'une forte implication de la Direction Générale et qui mettent un point d'honneur à respecter les réglementations en vigueur.
Ainsi, 90% d'entre elles disent respecter totalement ou partiellement la législation, contre 66% pour le reste du monde. Nos Directions Générales reçoivent un rapport sur la sécurité de l'entreprise chaque trimestre ou mieux (à 48% contre 36% dans le monde) et, chose plus étrange, il y a en France deux fois plus de Directeurs Généraux directement responsables de la sécurité que dans le reste du monde (11% contre 5%). Un réflexe peut-être issu de notre vieille habitude de la centralisation à outrance...
Des lacunes, aussi... Mais tout n'est pas parfait dans le paysage des RSSI français, loin de là. Les entreprises hexagonales demeurent par exemple à la traîne lorsqu'il s'agit de former leur personnel à la sécurité (15% seulement le font, contre 28% dans le monde). D'un point de vue opérationnel, seulement 39% d'entre elles estiment être en mesure de détecter une attaque en cours, alors qu'elles sont 66% a avoir cette capacité dans le reste du monde. Pire, les entreprises françaises ne sont pas organisées et boudent les plans de continuité d'activité : seules 28% d'entre elles investissent dans le domaine des procédures et des processus (contre 48% à l'étranger) et elles sont 47% à disposer d'un plan de continuité d'activité, contre 67% dans le monde.
Enfin, seules 32% des entreprises françaises contrôlent les plans de continuité de leurs partenaires, alors que la pratique est généralisée à l'étranger (54%). Conséquence de ce manque d'organisation ou simple anecdote, les arrêts de systèmes critiques à la suite d'erreurs d'exploitation (mauvais logiciel installé, mauvaises manipulations) sont deux fois plus nombreuses en France qu'à l'étranger (30% contre 15%).
L'étude aborde aussi l'éternelle quête du ROI (que seules 18% des entreprises estiment savoir calculer), et la recherche de la cohérence entre la politique de sécurité et les impératifs métier, un exercice plutôt délicat. Le tableau que nous présente Ernst & Young est ainsi une lecture instructive qui a le mérite de montrer le chemin qui reste à parcourir aux entreprises Françaises... et là où elles peuvent servir de modèle !
En savoir + : "La Sécurité des systèmes d'information dans les entreprises françaises en 2003"
Article Original : LesNouvelles
|