Une nouvelle enquête commanditée par Fortinet souligne que la sécurisation des entreprises face aux cyber-attaques gagne en difficulté : les pressions des directions générales s’ajoutent à la complexité et aux défis que rencontrent les décideurs informatiques (IT). « Notre toute dernière enquête menée auprès d’un panel de 1.600 décideurs IT de grandes entreprises révèle la dure réalité de leur mission en matière de protection contre les risques qui pèsent sur leur entreprise, explique Valérie Boulch, Country Manager France chez Fortinet. Les résultats montrent que les directions informatiques subissent de plein fouet la complexité et la fréquence de plus en plus élevée des menaces, connaissent des besoins plus importants en matière de Big Data et de confidentialité, et font face à une pression plus accentuée émanant de leur direction. » 9 décideurs IT sur 10 l’affirment : la sécurité de leur entreprise est devenue plus difficile qu’il y a 12 mois, et ce sont ceux issus du secteur des services financiers qui subissent la plus forte pression. Voici les principaux résultats de l’étude mondiale Fortinet 2014 :
1. Davantage de pression des directions générales sur la sécurité IT. Les piratages informatiques d’envergure et autres scandales liés à la sécurité nationale ont fait régulièrement la une de l’actualité au cours des 12 derniers mois. Ceci se traduit par une pression, une prise de conscience et une implication plus forte de la part des directions générales sur la question de la sécurité informatique. En se penchant sur cette pression croissante exercée par les dirigeants, des changements majeurs sont perceptibles dans de nombreux secteurs d’activités. C’est dans le secteur des services financiers que les décideurs IT rencontrent le plus de pression de la part des directions générales: plus de 56% des personnes concernées qualifiaient cette pression d’importante ou de très importante il y a 12 mois. Ce chiffre bondit à 67% aujourd’hui.
2. Les organisations se sentent préparées et outillées pour relever les défis qui défis qui s’annoncent. L’implication des directions générales semble avoir un impact positif dans certains domaines. Notre enquête montre en effet que la grande majorité des décideurs IT sont satisfaits des niveaux de ressources et d’investissements dédiés à la sécurité IT, et tablent d’ailleurs sur une progression de ces niveaux. 4 décideurs IT sur 5 estiment avoir obtenu suffisamment de ressources de sécurité IT au cours des 12 derniers mois, et 83% pensent obtenir les ressources nécessaires à l’avenir. Signe encourageant, ce constat est valable pour la majorité des secteurs d’activité. Et ce sont les décideurs IT du secteur des services financiers qui s’estiment le mieux outillés, avec 87% d’entre eux estimant disposer de ressources adéquates pour l’année à venir.
3. Critères de succès pour la sécurité : les opinions diffèrent entre les directions informatiques et les directions générales. Si l’enquête n’a pas interrogé directement les dirigeants d’entreprise non IT, elle a, en revanche, recueilli les perceptions des décideurs IT quant aux priorités des dirigeants en matière de sécurité IT. Les décideurs IT ont ainsi identifié que leur capacité éprouvée à réagir rapidement en cas d’attaque identifiée constitue le facteur de succès le plus essentiel en matière de sécurité, pour eux, comme pour leurs dirigeants. Cependant, l’enquête montre un désaccord entre les deux groupes au sujet de l’importance de préserver la réputation de l’entreprise, en tant qu’indicateur d’une stratégie de sécurité réussie. En étudiant plus précisément les réponses par secteur d’activité, cette divergence d’opinion sur la question de la réputation est encore plus frappante. Le critère de la réputation obtient les scores les plus élevés auprès des dirigeants dans les secteurs des services financiers (29%), des biens de consommation courante (28%) et des organisations caritatives (25%). En revanche, ce même critère est jugé le moins prioritaire par les décideurs IT : 10% pour les organismes caritatifs, 9% pour les entreprises des services financiers, et seulement 6% pour les acteurs des biens de consommation.
4. L’externalisation touche désormais les fonctions de sécurité complexes. Les fonctions de base comme l’email, l’antivirus et l’antispam sont depuis longtemps jugées comme externalisables auprès d’un fournisseur de services. Ils sont désormais rejoints par des fonctionnalités évoluées comme l’authentification, le sandboxing nécessaire aux stratégies de protection des menaces avancées ou encore la neutralisation des attaques DDoS (déni de service). Toutes ces fonctions sont perçues comme pouvant être déléguées par une grande majorité des décideurs IT interrogés. La perception en matière d’externalisation est perçue comme la plus positive dans le secteur des services financiers : les répondants sont 10% plus nombreux à considérer les services de sécurité managés comme pertinents par rapport, par exemple, à leurs homologues issus du secteur public. L’externalisation des fonctions de sécurité auprès de fournisseurs de services managés constitue ainsi une stratégie qui émerge dans le secteur des services financiers. Sans doute rassurés par l’adoption de nombreux autres services cloud, ces décideurs IT estiment que de nombreuses fonctions de sécurité, et notamment les fonctions évoluées, peuvent être déléguées auprès de fournisseurs de services. Alors que les acteurs des services financiers sont sous une pression qui s’accentue, la tendance à l’externalisation sera très intéressante à suivre, d’autant que tout laisse à penser à une généralisation progressive de ce mode de fonctionnement.
Propos recueillis par Erick Haehnsen
Commentez