Edition du 02/12/2008 - par Bertrand LEMAIRE

Menée au niveau mondial par le cabinet PriceWaterHouseCoopers (PWC) en partenariat avec CIO, l'étude « The Global State of Information Security » fait le point sur la conception de la sécurité informatique dans les organisations à travers le monde.

« Les dirigeants d'entreprises et d'administrations se préoccupent de plus en plus de la sécurité des systèmes d'information mais la réponse qu'ils attendent est trop souvent technique -on met une sauvegarde, un firewall ou un anti-virus- sans réfléchir à ce qu'il faut protéger, de quoi et pourquoi » dénonce Philippe Trouchaud, associé du cabinet PWC en charge de la sécurité.

Selon lui, il n'existe que rarement une véritable cartographie des risques ou de relevé des incidents, a fortiori d'incidents avec analyse de leurs causes. Ainsi, l'enseignement principal de l'étude « The Global State of Information Security » menée au niveau mondial est que les organisations ont, d'une manière générale, une très mauvaise gestion de leur sinistralité.

Mais si « les incidents de sécurité ne sont pas monitorés », il reste un moyen relativement simple de convaincre un directeur général de débloquer un budget, selon Philippe Trouchaud : « quand on vérifie, on trouve toujours des incidents et il suffit donc de chercher les tentatives d'accès illégitimes et d'en fournir le relevé ».

Les tentatives de piratage du système d'information ont, au fil du temps, beaucoup changé de nature. Auparavant, les attaques étaient souvent des « hacks », c'est à dire des exploits réalisés pour la beauté du geste par des bidouilleurs cherchant à faire le malin. Aujourd'hui, il s'agit le plus souvent de criminalité organisée ou d'intelligence économique.

Par ailleurs, les entreprises se sont fragilisées sans s'en rendre compte. En effet, le premier danger reste du côté des employés (corrompus par des concurrents ou voulant se venger) et l'évolution technique leur a donné des moyens de plus en plus importants pour être potentiellement malfaisants : des clés USB pour emporter des données, des accès Wi-Fi pirates,... Le phénomène est d'autant plus grave que la technologie et ses joujoux sont devenus un signe de reconnaissance : un commercial d'un certain statut ne peut pas se rendre en clientèle sans son Blackberry ou un PDA bourré d'informations confidentielles.

Page suivante (2/4) >