La normalisation devient le premier facteur pour promouvoir la sécurité de l'information, devançant désormais les virus

02 Novembre, 2005, 09:00 GMT de Ernst & Young

LONDRES et NEW YORK, November 2 /PRNewswire/ --

- Cependant les sociétés ne prennent pas avantage des rares opportunités d'investissement de la normalisation pour promouvoir la sécurité de l'information comme partie intégrante de leur activité, selon la 8e enquête annuelle globale sur la sécurité de l'information d'Ernst & Young

La normalisation est devenue le principal facteur de promotion de la sécurité de l'information, surpassant pour la première fois les virus, selon une enquête publiée aujourd'hui par la société de conseil Ernst & Young.

Le nombre de réglementations et les conséquences de ne pas s'y conformer ont fait de la sécurité de l'information une priorité pour les comités de direction. Près des deux tiers des personnes interrogées (dans un échantillon représentant 1 300 sociétés, agences gouvernementales et sociétés à but non lucratif, dans 55 pays) ont cité les normes telle que la 8e directive de l'UE, Sarbanes-Oxley, ou des normes équivalentes, comme la motivation principale pour développer la sécurité de l'information.

Malgré cela, les organisations ne tirent pas avantage des rares opportunités d'investissement offertes par la normalisation pour promouvoir la sécurité de l'information comme une partie intégrante de leur activité. << La normalisation s'avère être davantage une distraction qu'un catalyseur pour l'alignement stratégique de la sécurité avec les autres priorités des entreprises >>, commente Edwin Bennett, directeur mondial des services de risque de sécurité et de la technologie chez Ernst & Young. << Avec toute l'attention reçue par la normalisation, on pourrait imaginer que le profil de la sécurité de l'information s'améliore dans les entreprises et qu'elle devient désormais une part intégrale de leurs initiatives stratégiques. Ce n'est hélas pas le cas. Au contraire, le fossé continue de s'agrandir entre les risques croissants entraînés par les changements rapides des affaires et les actions de sécurité entreprises pour faire face à ces risques. Le même scénario se produit dans toutes les entreprises, quel que soit leur taille ou leur emplacement géographique. >>

Les activités commerciales poussent à l'adoption de technologies émergentes

L'enquête d'Ernst & Young indique que les besoins commerciaux et l'abaissement du coût du sans fil amènent à une adoption large et rapide des technologies mobiles. Mais avec des appareils mobiles quittant désormais l'environnement contrôlé de l'entreprise, les données et la propriété intellectuelle qu'ils transportent deviennent la responsabilité des utilisateurs qui doivent les protéger - une responsabilité que beaucoup de sociétés n'ont pas encore pleinement acceptée ou anticipée. << Moins de la moitié des sociétés mettent en place des mesures de formation ou d'information des utilisateurs sur l'impact des technologies mobiles sur les problèmes de sécurité, et un nombre encore inférieur fournit une formation pour répondre aux incidents de sécurité >>, ajoute Bennett.

Des technologies se développant rapidement, comme la voix sur IP, les technologies de source libre et les serveurs virtuels, avec le potentiel d'accroître les avantages compétitifs des sociétés, deviendraient une préoccupation de sécurité significative pour moins de 20% des entreprises, malgré les menaces sérieuses qu'elles entraînent. Bien que les sociétés affirment considérer les technologies émergentes comme une préoccupation de sécurité croissante dans les 12 mois à venir, plus de 25% d'entre elles ne prévoient aucune action pour faire face à ce problème dans cette période ou au-delà.

Le risque des tierces parties reste un problème

La sous-traitance reste une menace pour la sécurité de l'information alors que de nombreuses sociétés ne sont toujours pas assez vigilantes avec la gestion du risque de leurs fournisseurs - le processus d'évaluer et de limiter les risques, y compris une bonne diligence et des vérifications régulières des pratiques et procédures concernant les produits et services des fournisseurs. L'étude révèle qu'un cinquième des personnes interrogées ne prennent aucune mesure pour gérer le problème de risque fournisseurs, et un tiers rapportent qu'elles ne disposent que de procédures informelles à ce sujet.

<< Il n'est plus suffisant pour les sociétés de ne prendre en compte que leur propres problèmes et menaces de sécurité >>, commente Bennett. << Alors que le monde devient de plus en plus petit et que de plus en plus de données sont échangées entre les entreprises, ces dernières doivent considérer la sécurité de leurs partenaires, de leurs fournisseurs et de leurs clients. Sinon, la valeur créée par ces échanges pourrait rapidement diminuer ou disparaître à cause de brèches (perçues ou réelles) de sécurité, de confidentialité ou d'identité. Les sociétés devraient également songer à afficher leur propre engagement à la sécurité de l'information en se conformant à des normes reconnues ou en devenant certifiées. >>

Alignement dans l'organisation et exécution

Bien que la sécurité de l'information soit devenue un sujet crucial dans les comités de direction et parmi les cadres, ceux-ci continuent de concentrer les activités de sécurité à un niveau opérationnel et tactique, au détriment du niveau stratégique.

<< Avec une exécution et un positionnement adéquats dans l'organisation, la sécurité de l'information peut contribuer de manière importante aux initiatives stratégiques et à la gestion du risque global de l'entreprise >>, explique Bennett. << Les sociétés qui positionnent la sécurité de cette manière impliquent régulièrement les responsables commerciaux, de l'informatique et de la sécurité pour identifier les domaines spécifiques où la sécurité de l'information peut contribuer à des initiatives stratégiques, comme les fusions-acquisitions et la sous-traitance d'opérations commerciales. Ces sociétés appliquent des normes de sécurité reconnues, des pratiques de pointe et les ressources appropriées. >>

Notes aux éditeurs

1. Vous pouvez obtenir une copie électronique de l'enquête mondiale sur la sécurité de l'information 2005 d'Ernst & Young en cliquant sur le lien suivant : http://www.ey.com/globalsecuritysurvey

À propos d'Ernst & Young

Ernst & Young, une des principales sociétés de conseil aux entreprises dans le monde, s'est engagée à restaurer la confiance du public dans les sociétés de conseil et dans la qualité de l'analyse financière. Ses 106 000 employés dans 140 pays exercent avec le plus haut niveau d'intégrité, de qualité et de professionnalisme pour fournir une gamme de services de pointe centrés sur un coeur de compétences incluant l'audit, la comptabilité, la fiscalité et les transactions financières. Vous pouvez obtenir d'autres informations sur Ernst & Young et son approche d'une variété de défis de l'entreprises à la page : http://www.ey.com/perspectives. Ernst & Young englobe tous les membres de l'organisation mondiale d'Ernst & Young.

Ce communiqué de presse a été émis par EYGM Limited, un membre de l'organisation mondiale d'Ernst & Young

    
    Site Web : http://www.ey.com
               http://www.ey.com/perspectives
               http://www.ey.com/globalsecuritysurvey

LA

SOURCE Ernst & Young