51,4. C’est, selon une récente étude Vanson Bourne pour EMC, l’indice de maturité des organisations françaises en matière de sécurité. Un chiffre supérieur à celui de certains voisins européens, comme le Royaume-Uni et l’Allemagne, mais sensiblement en retrait par rapport aux Etats-Unis (61,8) ou encore la Chine (65,2). Un indicateur d’autant plus préoccupant qu’il se traduit nettement dans l’évolution des dépenses informatiques au cours des 12 derniers mois : +37 % en France, contre +81 % en Chine et +64 % outre-Atlantique…

Dans l’Hexagone, 50 % des sondés estiment leur niveau de préparation inférieur à la moyenne, et seuls 8 % se considèrent comme des « leaders », précise Bernard Montel, directeur technique de RSA, la division sécurité d’EMC, ajoutant que 36 % des dirigeants considèrent disposer de capacités de sauvegarde et de restauration insuffisantes… Les responsables IT semblent là « mieux connaître le niveau de risque et de couverture ». Pourtant, les principaux impacts possibles sont bien identifiés : perte de productivité des employés, dégradation de l’image de marque, de la confiance… Et 23 % des responsables IT estiment avoir déjà été victimes de failles. Pour autant, souvent, les décideurs métiers « ne prennent conscience du risque qu’après que l’incident soit survenu, » relève Bernard Montel. Dans un tel contexte, les sondés qui se disent confiants le font-ils à juste titre ? Difficile à dire.

Toutefois, l’arrivée du Cloud conduirait les entreprises à se poser plus de questions qu’auparavant. L’ouverture du système d’information à l’extérieur, avec les risques afférents, participe d’une prise de conscience. Mais un spécialiste de la sécurité comme RSA a lui-même été victime d’une attaque importante, début 2012. Le niveau de maturité y était-il suffisant ? « Je pense que l’on avait un bon niveau de maturité », estime Bernard Montel, concédant toutefois qu’il « y a eu une prise de conscience, après l’attaque. C’est évident. » Et le niveau de maturité est alors monté d’un cran. Sous l’effet notamment de l’évaluation de l’impact de l’événement : « pendant trois mois, par exemple, la plupart des personnes qui sont sur le terrain, avec pour objectif de vendre des solutions, ont arrêté cette activité pour gérer la crise».

A cette occasion, RSA s’est découvert maillon d’une chaîne plus vaste, n’étant pas la cible principale de l’attaque, mais seulement une étape d’une opération de plus grande envergure, visant ses clients. La découverte d’un volet nouveau du risque. Et justement, la maturité, en sécurité, « c’est savoir se poser les bonnes questions en terme de risque et appliquer les bonnes procédures. » RSA a toutefois fait preuve de rapidité et d’efficacité dans la gestion de la crise, et d’une communication transparente avec ses clients.

Une autre démonstration de maturité : « admettre que l’on a été attaqué, c’est être mature. » Mais ceux-là sont rares en France.