La sécurité informatique est aujourd’hui une préoccupation pour l’ensemble des entreprises. Comme l’expliquait récemment Karim Balhoul, le Directeur Études et Conseil du cabinet d’analyses IDC France lors du RSA Security Summit à Paris, les attaques touchent aujourd’hui la plupart des secteurs économiques et affectent aussi bien les grandes entreprises que les PME ou les TPE. Le web, explique Karim Bahloul, « a démocratisé les cibles… ». La sécurité informatique reste ainsi l’une des préoccupations majeures des DSI. 51% des entreprises françaises considèrent ainsi que l’amélioration de la sécurité figure parmi leurs principales initiatives pour 2014.

Toutes les entreprises sont aujourd’hui des cibles potentielles

Selon Karim Bahloul, les cibles préférées des pirates restent les entreprises B2C. Sans surprises les banques sont des cibles de prédilections (37% des attaques) mais elles sont suivies de près par le secteur de la vente de détail (24% des attaques), un secteur qui a notamment fait beaucoup parlé de lui récemment du fait de la multiplication des attaques sur les terminaux points de ventes afin d’obtenir des informations sur les cartes bancaires et sur les clients. Dans la banque comme dans le secteur de la vente de détail, la principale motivation des hackers reste financière, mais dans d’autres cas, l’espionnage économique et industriel est le principal moteur. C’est notamment le cas pour les entreprises du secteur des hautes technologies, de la santé ou du luxe.

Dans 93% des cas, les attaques portent aussi un coup à la réputation des entreprises visées, notamment quand elles se traduisent par des vols de données clients ou d’informations.

La mobilité, le cloud et les réseaux sociaux, sources de nouvelles menaces

idc-secu1

Un autre constat effectué par IDC est que les risques évoluent avec le système d’information des entreprises. L’émergence, du cloud, du big data, des réseaux sociaux et de la mobilité introduit de nouveaux risques que les entreprises doivent anticiper sous peine de rajouter à leurs problèmes existants. Le Cloud pose par exemple la question de la protection et de la localisation des données clients. La mobilité pose des problèmes plus généraux de sécurité des données de l’entreprise et de sécurité des données clients ainsi que de nouvelles questions en matière de sécurité des terminaux nomades, tandis que l’usage des réseaux sociaux pose la question du respect des différentes réglementations en matière de données privées.

idc-secu2

Selon IDC, la sécurité est ainsi le premier point d’attention lors de la mise en œuvre des projets mobiles (citée par 80% des répondants parmi les principaux freins à l’ouverture du SI à la mobilité). 49% des entreprises ont ainsi des solutions de sécurité pour smartphones et tablettes en place ou en cours de déploiement tandis que 20% travaillent sur un projet de déploiement. En général, ces solutions passent par la mise en place d’outils de MDM (Mobile Device Management) ou de MESM (Mobile Entreprise Security Management).

idc-secu3

Quatre grands axes d’amélioration de la sécurité

Pour Karim Bahloul l’amélioration de la sécurité passe par un renforcement de la collaboration entre la DSI et les directions métiers et par des actions ciblées sur 4 axes, ce qu’il appelle les 4P (People, Processus, Politiques, Performance).

Il s’agit tout d’abord pour ce qui est des salariés de former et sensibiliser les employés afin de réduire considérablement les risques en provenance des utilisateurs et d’améliorer leur capacité à identifier les menaces potentielles.

Ensuite il convient d’agir sur les processus. Karim Bahloul recommande notamment de limiter les privilèges, de sécuriser le maillon le plus faible, de proposer des défenses en profondeur, ou de favoriser la simplicité des systèmes. Il s’agit aussi de mieux détecter les attaques et de les contrer, en renforçant la vigilance des acteurs du SI.

Côté politiques, IDC préconise de définir des politiques de sécurité offrant un équilibre entre les accès (l’ouverture) et la sécurité. Elles doivent minimiser les risques tout en évitant les restrictions d’accès injustifiées aux personnes qui en ont besoin.

Enfin, Karim bahloul préconise de mesurer la performance de la sécurité en fonction des exigences réglementaires, financières et organisationnelles de l’entreprise. Le but est d’identifier les causes de mauvaises performances et d’appliquer des actions correctives appropriées.