Contre toute attente, la sécurité des systèmes d’information souffre encore d’un déficit de reconnaissance. Pourtant, les risques liés à l’usage d’Internet sont au c?”ur des préoccupations des grandes sociétés. C’est, en tout cas, ce que révèle le dernier rapport publié par le Cigref (Club informatique des grandes entreprises françaises) en octobre 2000. Stéphane Rouhier, son auteur, y rappelle que “si la prise de conscience des enjeux de la sécurité ne date pas d’hier, elle prend depuis peu une nouvelle envergure”.
Se protéger des risques extérieurs
L’enquête démontre aussi que “les principales attaques proviennent désormais de facteurs extérieurs tels que les virus ou les dénis de service”. Ce virage constitue une inversion significative de tendance. Jusque-là, les menaces internes étaient la principale source de problèmes en matière de sécurité. Or, les attaques extérieures sont moins prévisibles et moins maîtrisables, d’où des risques importants pour les entreprises. Les priorités 2001 du Cigref se focalisent sur de la sécurisation des messageries, des réseaux IP, la mise en place de tests d’intrusion, la sécurisation des accès distants, ainsi que sur la sécurisation des Intranet et des Extranet.“Malgré cette prise de conscience, la politique de sécurité n’a pas encore gagné sa pleine légitimité, estime Stéphane Rouhier. Elle est trop souvent réduite à un centre de coûts par des directions générales inconscientes des risques réels. Et certaines grandes sociétés n’ont encore aujourd’hui ni organisation, ni responsable de la sécurité !” Parmi les autres défauts relevés par le Cigref figurent l’importance donnée à la technique au détriment des aspects humains, organisationnels et réglementaires, ainsi que le manque d’outils pour mesurer l’efficacité de la sécurité dans l’entreprise. En outre, les sociétés se montrent insuffisamment réactives face aux attaques virales et aux tentatives d’intrusion. En un mot, elles ne consacrent pas assez d’argent à leur sécurité.
Juste un supplément d’âme dans l’entreprise
Enfin, les risques que font peser ces attitudes sur l’image de l’entreprise, la disponibilité de son système d’information, ou l’intégrité et la confidentialité de ses données ne sont pas bien évalués, si bien que nombre de responsables sécurité ont l’impression de servir d’alibi plutôt que d’être parties prenantes dans la stratégie de l’entreprise. “Cette absence de légitimité du responsable sécurité et le manque de moyens freinent le développement d’une véritable politique de sécurité dans les entreprises”, conclut Stéphane Rouhier.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
