Trois entreprises françaises sur quatre ne mesurent pas régulièrement leur niveau de sécurité. Pire, celles qui le font, n'utilisent pas assez les indicateurs concernant le pilotage de la sécurité.

On ne peut améliorer que ce que l'on mesure. En ce qui concerne la sécurité, cela risque d'être difficile puisque plus de 75 % des entreprises françaises ne mesurent pas leur niveau de sécurité régulièrement. L'information est issue de l'étude menée par le Clusif auprès de 354 entreprises de plus de 200 salariés. Ces entreprises ont été sondées par le cabinet spécialisé GMV Conseil, sur la base de questionnaires élaborés par le Clusif.

Quand des tableaux de bord de la sécurité existent, ils sont à destination majoritairement des DSI (58% des cas), de la direction générale (52%), du RSSI (37%), des directions métiers (18%), de la direction des risques (15%) ou du juridique (10%). On note une nette augmentation des entreprises qui diffusent ces tableaux à leur direction générale, puisqu'elles sont 52 % contre 28 % il y a deux ans.

Autre enseignement, les indicateurs inclus dans les tableaux de bord restent majoritairement techniques. Les thèmes les plus importants en matière de pilotage : évaluation des risques, avancement des projets ou suivi du budget ne sont pas assez utilisés.

Dans ces tableaux, par ordre d'apparition décroissant, on trouve alors les indicateurs techniques : nombre d'incidents sur une période (67%), nombre d'attaques arrêtées par les dispositifs de sécurité (48%), vulnérabilités détectées (48%), conformité avec la politique de sécurité (47%), avancement des projets de sécurisation (42%), impacts directs et indirects des incidents de sécurité (40%), ..., évaluation des risques métiers (32%), suivi du budget sécurité (20%) et conformité aux normes (telles que ISO 27002) (20%).

. Web-profils.com, la place de marché du conseil et de l'ingénierie