Se connecter
Inscription
Mot de passe perdu
Publié le 11/01/2008 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
Wemmel – Le 10 janvier 2008 – Le dernier rapport d’étude L’IT Policy Compliance Group Symantec baptisé « Core Competencies for Protecting Sensitive Data » fait la synthèse de réponses fournies par plus de 450 entreprises du monde entier,
En conclusion, il apparaît qu’une seule entreprise sur 10 est en mesure de protéger correctement ses informations confidentielles.
Le rapport analyse également les différences entre les entreprises leaders dans le domaine de la protection des données et celles qui sont les plus en retard. Il donne ainsi des indications adaptées sur les meilleures pratiques susceptibles de renforcer la protection des informations, la conformité et l’avantage concurrentiel.
L’une des conclusions les plus frappantes de cette étude concerne le lien existant entre la protection des données confidentielles et la conformité réglementaire : les entreprises les plus performantes en matière de protection sont aussi celles qui réalisent le plus régulièrement des audits de conformité. 96 % des entreprises qui subissent le moins de pertes de données confidentielles sont également celles qui ont le moins d’éléments non conformes à corriger pour passer un audit réglementaire. À l’inverse, 64 % des entreprises qui subissent le plus de pertes sont également celles qui sont le moins conformes pour passer un audit.
Les aptitudes ou compétences clés, référencées par le rapport, sont en général liées à la structure organisationnelle, la stratégie, la proximité avec les clients et l’excellence opérationnelle. On comprend combien il est important de définir moins de règles et d’objectifs de contrôle, de procéder à des évaluations plus fréquentes et de profiter de la gestion des changements des systèmes d’informations pour éviter des utilisations ou des changements non autorisés.
· Les entreprises leaders définissent en moyenne 30 objectifs de contrôle et réalisent des évaluations de conduite tous les 19 jours. Elles subissent au maximum 2 pertes et vols de données par an, ainsi que 2 défaillances, ou moins, en matière de conformité.
· Les entreprises « retardataires » définissent en moyenne 82 objectifs de contrôle et réalisent des évaluations de conduite tous les 230 jours. Elles subissent au moins 13 pertes et vols de données par an, ainsi que 22 défaillances, ou plus, en matière de conformité.
Plusieurs événements récents ont montré que la perte de données pouvait avoir des conséquences très graves sur la réputation d’une entreprise et sur ses objectifs stratégiques. Il est donc impératif de mettre en place des contrôles des risques pour éviter les pertes et les vols d’informations, et de vérifier régulièrement ces contrôles, Les entreprises les plus performantes s’efforcent de sélectionner les contrôles les plus pertinents plutôt que de les multiplier. Les résultats de l’enquête montrent clairement que la méthode la plus pratique consiste à sélectionner, mettre en œuvre et communiquer ces contrôles clés, puis à en vérifier régulièrement l’efficacité. Elle permet d’obtenir de meilleurs résultats que l’ajout constant d’une multitude de contrôles non coordonnés et isolés.
L’étude révèle également que la qualité des contrôles est moins importante que leur pertinence vis-à-vis d’un risque donné, ou que la fréquence de leur évaluation. Les entreprises qui ne mettent pas en place des contrôles appropriés et qui n’évaluent pas assez souvent l’efficacité des contrôles procéduraux et techniques sont davantage exposées au risque de pertes et de vols de données.
« Compte tenu de la multiplication rapide des exigences de conformité et des risques liés à la réputation des entreprises, la protection des informations concernant les clients et les employés, de même que la propriété intellectuelle, n’a jamais eu autant d’importance qu’aujourd’hui. Pourtant des failles de sécurité et des usurpations d’identité continuent de se produire. Même si les contrôles ne peuvent pas garantir une protection totale, les entreprises doivent prendre les mesures qui conviennent en matière de sécurité des informations et de gestion des risques. Des programmes éprouvés conçus pour maintenir et renforcer la sécurité et tenir à l’abri les données confidentielles se sont révélés extrêmement payants en protégeant du vol et des pertes des informations de grande valeur. Les dirigeants des entreprises ne peuvent plus s’asseoir et attendre que survienne une crise ou un incident pour passer à l’action : aujourd’hui, tout le monde doit être proactif. » selon un expert de la sécurité chez Symantec.
Les meilleures pratiques des leaders
Les entreprises qui perdent le moins de données sont celles qui obtiennent les meilleurs résultats lors des audits réglementaires. Elles disposent d’un jeu d’attitudes ou comportements clés qui, non seulement réduisent au minimum les pertes de données et améliorent la conformité, mais qui limitent également l’impact financier des éventuels incidents (voir le précédent rapport intitulé « Why Compliance Pays Reputations and Revenues at Risk »), permettant ainsi de maintenir l’avantage concurrentiel.
Structure organisationnelle et stratégie
- Mettre en place un programme de conformité de premier ordre,
- Documenter et maintenir à jour des règles, des normes et des procédures,
- Réorganiser les contrôles internes, la sécurité informatique et les fonctions de gestion des risques afin de s’appuyer sur la proximité client (la «customer intimacy») et l’excellence opérationnelle,
Proximité avec le client
- Définir les rôles et les responsabilités des propriétaires des règles,
- Identifier et gérer les risques commerciaux et financiers,
- Fournir des formations aux employés et gérer les exceptions aux règles.
Excellence opérationnelle
- Étendre le périmètre des audits internes à la plupart des fonctions commerciales,
- Définir des objectifs de contrôle pertinents en fonction du risque,
- Réduire le nombre des objectifs de contrôle,
- Mettre en place des contrôles mesurables,
- Réaliser des autoévaluations des contrôles procéduraux,
- Augmenter la fréquence d’évaluation des contrôles techniques,
- Mettre en œuvre un programme complet de gestion des changements des systèmes d’information,
- Utiliser la gestion des changements des systèmes d’information pour prévenir les utilisations ou les changements non autorisés.
À propos de l’étude
Les sujets étudiés par l’IT Policy Compliance Group font partie d’un calendrier d’études établi d’après des informations transmises par les membres sponsors et membres généraux, et à partir des conclusions compilées d’études récentes. Les bancs d’essai les plus récents sur lesquels s’appuie le présent rapport ont été réalisés avec la participation de 454 entreprises, entre février et mai 2007. La marge d’erreur de cette étude est de plus ou moins 4,5 %. La majorité des organisations (90 %) se trouvent aux États-Unis. Les 10 % restants sont répartis dans les pays suivants : Australie, Canada, France, Allemagne, Irlande, Japon, Espagne et Royaume-Uni, entre autres.
Les membres de l’IT Policy Compliance Group
L’IT Policy Compliance Group annonce également la création d’une nouvelle catégorie de membres consultatifs. Elle a été créée afin de formaliser les conseils et les orientations concernant les prochaines études du Groupe, donner accès à un futur blog, ainsi que pour la formation, l’assistance et la participation de groupes de travail. Les membres généraux du groupe sont rebaptisés membres associés. Pour plus d’informations et télécharger la dernière étude du groupe (« Core Competencies for Protecting Sensitive Data »), rendez-vous sur le site www.ITPolicyCompliance.com.
À propos de l’IT Policy Compliance Group
L’IT Policy Compliance Group a pour mission de promouvoir le développement des études et des informations qui aideront les professionnels de l’informatique à atteindre les objectifs de politiques et de conformité réglementaire de leurs entreprises. Il est soutenu par plusieurs organisations de premier plan, dont : Computer Security Institute, Institute of Internal Auditors, Protiviti, ISACA, IT Governance Institute et Symantec Corporation (NASDAQ : SYMC). Le Groupe réalise des bancs d’essai basés sur des données factuelles dans le but de déterminer les meilleures pratiques permettant d’améliorer les systèmes d’information des entreprises. Pour plus de détails, consultez le site www.ITPolicyCompliance.com.
A propos de Symantec
Symantec est le leader mondial des logiciels d’infrastructure qui permettent aux particuliers et aux entreprises d'évoluer en toute confiance dans un monde connecté. Symantec aide ses clients à protéger leur infrastructure, leurs informations et leurs transactions en proposant des logiciels et des services qui gèrent la sécurité, la disponibilité, la conformité et la performance. Basée à Cupertino (Californie), la société Symantec est présente dans plus de 40 pays. Des informations supplémentaires sont disponibles à l’adresse http://www.symantec.be/
En conclusion, il apparaît qu’une seule entreprise sur 10 est en mesure de protéger correctement ses informations confidentielles.
Le rapport analyse également les différences entre les entreprises leaders dans le domaine de la protection des données et celles qui sont les plus en retard. Il donne ainsi des indications adaptées sur les meilleures pratiques susceptibles de renforcer la protection des informations, la conformité et l’avantage concurrentiel.
L’une des conclusions les plus frappantes de cette étude concerne le lien existant entre la protection des données confidentielles et la conformité réglementaire : les entreprises les plus performantes en matière de protection sont aussi celles qui réalisent le plus régulièrement des audits de conformité. 96 % des entreprises qui subissent le moins de pertes de données confidentielles sont également celles qui ont le moins d’éléments non conformes à corriger pour passer un audit réglementaire. À l’inverse, 64 % des entreprises qui subissent le plus de pertes sont également celles qui sont le moins conformes pour passer un audit.
Les aptitudes ou compétences clés, référencées par le rapport, sont en général liées à la structure organisationnelle, la stratégie, la proximité avec les clients et l’excellence opérationnelle. On comprend combien il est important de définir moins de règles et d’objectifs de contrôle, de procéder à des évaluations plus fréquentes et de profiter de la gestion des changements des systèmes d’informations pour éviter des utilisations ou des changements non autorisés.
· Les entreprises leaders définissent en moyenne 30 objectifs de contrôle et réalisent des évaluations de conduite tous les 19 jours. Elles subissent au maximum 2 pertes et vols de données par an, ainsi que 2 défaillances, ou moins, en matière de conformité.
· Les entreprises « retardataires » définissent en moyenne 82 objectifs de contrôle et réalisent des évaluations de conduite tous les 230 jours. Elles subissent au moins 13 pertes et vols de données par an, ainsi que 22 défaillances, ou plus, en matière de conformité.
Plusieurs événements récents ont montré que la perte de données pouvait avoir des conséquences très graves sur la réputation d’une entreprise et sur ses objectifs stratégiques. Il est donc impératif de mettre en place des contrôles des risques pour éviter les pertes et les vols d’informations, et de vérifier régulièrement ces contrôles, Les entreprises les plus performantes s’efforcent de sélectionner les contrôles les plus pertinents plutôt que de les multiplier. Les résultats de l’enquête montrent clairement que la méthode la plus pratique consiste à sélectionner, mettre en œuvre et communiquer ces contrôles clés, puis à en vérifier régulièrement l’efficacité. Elle permet d’obtenir de meilleurs résultats que l’ajout constant d’une multitude de contrôles non coordonnés et isolés.
L’étude révèle également que la qualité des contrôles est moins importante que leur pertinence vis-à-vis d’un risque donné, ou que la fréquence de leur évaluation. Les entreprises qui ne mettent pas en place des contrôles appropriés et qui n’évaluent pas assez souvent l’efficacité des contrôles procéduraux et techniques sont davantage exposées au risque de pertes et de vols de données.
« Compte tenu de la multiplication rapide des exigences de conformité et des risques liés à la réputation des entreprises, la protection des informations concernant les clients et les employés, de même que la propriété intellectuelle, n’a jamais eu autant d’importance qu’aujourd’hui. Pourtant des failles de sécurité et des usurpations d’identité continuent de se produire. Même si les contrôles ne peuvent pas garantir une protection totale, les entreprises doivent prendre les mesures qui conviennent en matière de sécurité des informations et de gestion des risques. Des programmes éprouvés conçus pour maintenir et renforcer la sécurité et tenir à l’abri les données confidentielles se sont révélés extrêmement payants en protégeant du vol et des pertes des informations de grande valeur. Les dirigeants des entreprises ne peuvent plus s’asseoir et attendre que survienne une crise ou un incident pour passer à l’action : aujourd’hui, tout le monde doit être proactif. » selon un expert de la sécurité chez Symantec.
Les meilleures pratiques des leaders
Les entreprises qui perdent le moins de données sont celles qui obtiennent les meilleurs résultats lors des audits réglementaires. Elles disposent d’un jeu d’attitudes ou comportements clés qui, non seulement réduisent au minimum les pertes de données et améliorent la conformité, mais qui limitent également l’impact financier des éventuels incidents (voir le précédent rapport intitulé « Why Compliance Pays Reputations and Revenues at Risk »), permettant ainsi de maintenir l’avantage concurrentiel.
Structure organisationnelle et stratégie
- Mettre en place un programme de conformité de premier ordre,
- Documenter et maintenir à jour des règles, des normes et des procédures,
- Réorganiser les contrôles internes, la sécurité informatique et les fonctions de gestion des risques afin de s’appuyer sur la proximité client (la «customer intimacy») et l’excellence opérationnelle,
Proximité avec le client
- Définir les rôles et les responsabilités des propriétaires des règles,
- Identifier et gérer les risques commerciaux et financiers,
- Fournir des formations aux employés et gérer les exceptions aux règles.
Excellence opérationnelle
- Étendre le périmètre des audits internes à la plupart des fonctions commerciales,
- Définir des objectifs de contrôle pertinents en fonction du risque,
- Réduire le nombre des objectifs de contrôle,
- Mettre en place des contrôles mesurables,
- Réaliser des autoévaluations des contrôles procéduraux,
- Augmenter la fréquence d’évaluation des contrôles techniques,
- Mettre en œuvre un programme complet de gestion des changements des systèmes d’information,
- Utiliser la gestion des changements des systèmes d’information pour prévenir les utilisations ou les changements non autorisés.
À propos de l’étude
Les sujets étudiés par l’IT Policy Compliance Group font partie d’un calendrier d’études établi d’après des informations transmises par les membres sponsors et membres généraux, et à partir des conclusions compilées d’études récentes. Les bancs d’essai les plus récents sur lesquels s’appuie le présent rapport ont été réalisés avec la participation de 454 entreprises, entre février et mai 2007. La marge d’erreur de cette étude est de plus ou moins 4,5 %. La majorité des organisations (90 %) se trouvent aux États-Unis. Les 10 % restants sont répartis dans les pays suivants : Australie, Canada, France, Allemagne, Irlande, Japon, Espagne et Royaume-Uni, entre autres.
Les membres de l’IT Policy Compliance Group
L’IT Policy Compliance Group annonce également la création d’une nouvelle catégorie de membres consultatifs. Elle a été créée afin de formaliser les conseils et les orientations concernant les prochaines études du Groupe, donner accès à un futur blog, ainsi que pour la formation, l’assistance et la participation de groupes de travail. Les membres généraux du groupe sont rebaptisés membres associés. Pour plus d’informations et télécharger la dernière étude du groupe (« Core Competencies for Protecting Sensitive Data »), rendez-vous sur le site www.ITPolicyCompliance.com.
À propos de l’IT Policy Compliance Group
L’IT Policy Compliance Group a pour mission de promouvoir le développement des études et des informations qui aideront les professionnels de l’informatique à atteindre les objectifs de politiques et de conformité réglementaire de leurs entreprises. Il est soutenu par plusieurs organisations de premier plan, dont : Computer Security Institute, Institute of Internal Auditors, Protiviti, ISACA, IT Governance Institute et Symantec Corporation (NASDAQ : SYMC). Le Groupe réalise des bancs d’essai basés sur des données factuelles dans le but de déterminer les meilleures pratiques permettant d’améliorer les systèmes d’information des entreprises. Pour plus de détails, consultez le site www.ITPolicyCompliance.com.
A propos de Symantec
Symantec est le leader mondial des logiciels d’infrastructure qui permettent aux particuliers et aux entreprises d'évoluer en toute confiance dans un monde connecté. Symantec aide ses clients à protéger leur infrastructure, leurs informations et leurs transactions en proposant des logiciels et des services qui gèrent la sécurité, la disponibilité, la conformité et la performance. Basée à Cupertino (Californie), la société Symantec est présente dans plus de 40 pays. Des informations supplémentaires sont disponibles à l’adresse http://www.symantec.be/
Plus d'articles dans cette catégorie
05/09/2024 @ 09:59:30
Poster un commentaire
Economie
Vidéo
Jeux Vidéos
Social
Android
