Bonnes pratiques et expertises IT
Rechercher

De nouvelles pratiques de sécurité face aux cybermenaces

Les entreprises n’ont jamais autant investi pour protéger leurs systèmes d’information. Dans le même temps, elles n’ont jamais été aussi vulnérables face aux cybermenaces. Cet apparent paradoxe s’explique par les effets de trois ruptures majeures, qui fragilisent les systèmes d’information : le cloud, la mobilité et la transformation numérique.

Cette évolution profonde des usages des technologies de l’information impose une refondation des pratiques de sécurité. Les approches historiques ont beaucoup en effet perdu de leur pertinence. Il est temps, pour les DSI et les RSSI, de repenser leur conception de la sécurité. Ce Cahier vous explique comment.

I - Toujours plus d’investissements en sécurité mais toujours plus d’insécurité : pourquoi ?

Le marché de la sécurité se caractérise par un paradoxe apparent : d’un côté, les entreprises n’ont jamais autant investi en solutions de sécurité (matériels, logiciels, appliances, réseaux...). Ainsi, selon une étude du CyberEdge Group, 75 % des entreprises ont augmenté leurs budgets sécurité en 2016. Les analystes de Gartner estiment, pour leur part, que 81,6 milliards de dollars ont été investi, au niveau mondial, pour sécuriser les systèmes d’information en 2016, soit une hausse de 7,9 % par rapport à 2015. Les prochaines années devraient voir se poursuivre cette tendance à la croissance des efforts financiers, internes et en achats de solutions.

Dans le même temps, les entreprises n’ont jamais été aussi vulnérables. L’actualité nous le rappelle régulièrement, par exemple en mai 2017 avec les attaques du ransomware WannaCry, qui ont touché des milliers d’entreprises au niveau mondial. De multiples études montrent que la cybercriminalité est devenue un phénomène endémique dans les entreprises, quelle qu’en soit la taille ou le secteur d’activités, et dans tous les pays. Par exemple, selon le Global State of Information Security Survey 2017 publié par le cabinet de conseil PWC, il y a eu, en moyenne, onze cyberattaques par jour dans les entreprises françaises en 2016, pour une perte moyenne de 1,5 million d’euros.

Comment expliquer ce paradoxe ? C’est la conjonction de plusieurs facteurs. Du côté des investissements, la progression régulière des budgets résulte de trois facteurs :

  • La nécessité de s’adapter à l’évolution des menaces : le domaine de la sécurité est un terrain mouvant dans lequel on peut figer un environnement. D’une part, parce que les attaquants ont et auront toujours une longueur d’avance sur leurs cibles, qui doivent adapter leur riposte par la prévention et la protection. D’autre part, parce que les innovations technologiques dans le domaine de la sécurité imposent une remise à l’état de l’art régulière des environnements de sécurité, des solutions en place et des processus. On ne peut pas imaginer qu’une entreprise puisse gérer sa sécurité en 2017 avec des solutions et des processus qui n’auraient pas évolué depuis cinq ou dix ans, voire plus...
  • Les évolutions réglementaires qui contraignent les entreprises à investir pour se mettre en conformité, par exemple la norme PCI-DSS pour la sécurité des paiements, le Health Insurance Portability and Accountability Act aux États-Unis pour les établissements de santé ou le Règlement européen sur la protection des données (RGPD), applicable à toutes les entreprises dès mai 2018.
  • La prise de conscience des métiers et des directions générales de la nécessité d’investir en sécurité. Ainsi, selon l’étude State of the CIO, 29 % des dirigeants d’entreprises américains ont placé la sécurité comme l’une de leurs trois priorités pour 2016, contre 23 % en 2015 et 18 % en 2014. On observe la même tendance en Europe, où la sécurité s’est hissée de la neuvième priorité des DSI en 2013 à la seconde depuis 2015, selon une enquête de CIOnet. Cette prise de conscience, qui est plutôt une bonne nouvelle, est encouragée à la fois par la médiatisation des incidents de sécurité et par l’efficacité marketing des acteurs de la sécurité, de plus en plus nombreux.

La suite de cet article est publiée dans le nouveau Cahier Best Practices. Pour le recevoir gratuitement : cliquer ici

Best Practices propose des publications payantes.
Comparez nos différentes offres d'abonnement.

La rédaction

La rédaction

La rédaction de Best Practices fédère les meilleurs experts sur le management des systèmes d’information.

Nos Ouvrages

  • La cybersécurité 
en 250 questions

    Les cyberattaques n’ont jamais occasionné autant de dégâts dans les entreprises. Et les perspectives n’encouragent pas à l’optimisme. Comment nmieux se protéger ? Ce guide pratique regroupe les 250 questions que doivent se poser les responsables sécurité, les DSI et les directions générales. Avec des
    réponses concrètes…

  • IT Benchmark
Rapport annuel - 2019

    La Shadow Information, ensemble d’informations que l’on ne trouve pas dans les médias, mais qui présentent une valeur pour la gestion opérationnelle de l'écosystème de l'IT. Ces contenus sont bien sûr accessibles à tous, mais cela demande énormément de temps et de ressources pour les trouver, les lire et se les approprier : les équipes de IT Benchmark le font pour vous !

  • Best Practices
Relations fournisseurs

    La relation avec les fournisseurs est probablement ce qu’il y a de plus complexe à gérer pour un DSI. Autant, pour les problématiques technologiques, on peut s’appuyer sur des standards, autant les interactions avec les fournisseurs, qui comportent une part d’incertitude, d’ambiguïté et de liens personnels, sont délicates à normaliser.

A ne pas manquer

  • Comment rater...
sa génération de leads

    Il existe un lien étroit entre le dynamisme commercial d'un éditeur de logiciels ou d'un intégrateur et la qualité des leads dont disposent les commerciaux pour maintenir leur performance. Mais il est très facile de ruiner votre performance commerciale.

  • Services managés : où en sont les entreprises françaises ?

    Best Practices a réalisé une enquête auprès des entreprises et organisations publiques françaises. Avec plusieurs objectifs : cerner les enjeux associés aux systèmes d’information, mesurer les usages des services managés les budgets associés.

  • Pour en savoir plus sur l’externalisation

    Pourquoi externaliser ? Quels sont les avantages et les inconvénients ? Comment définir les règles du jeu ? Quels sont les points de vigilance ? Quelles sont les dix questions que posent systématiquement les directions générales aux DSI ?

Best Practices

Informations

REMARQUE ! Ce site utilise des cookies et autres technologies similaires.

Si vous ne changez pas les paramètres de votre navigateur, vous êtes d'accord. En savoir plus

J'ai compris