Titre: Symantec signale des lacunes dans les méthodes utilisées pour atténuer les risques informatiques (02/03/2007 Par zion)
WEMMEL, le 28 février 2007 – Symantec Corp. (NASDAQ : SYMC) annonce la publication de son Rapport sur la Gestion des Risques Informatiques (Symantec IT Risk Management Report), qui indique que 60 % des personnes interrogées s’attendent à ce qu’au moins un incident informatique majeur interrompe ou perturbe une partie essentielle de leur activité. Le nouveau Rapport sur la Gestion des Risques Informatiques de Symantec a pour objet d’aider les cadres, et le personnel informatique, à mieux connaître les éléments critiques indispensables pour optimiser l’efficacité de leur stratégie de gestion des risques. Il s’appuie sur les données issues d’une enquête quantitative et qualitative sur 12 mois qui s’est terminée en octobre 2006. Symantec a ainsi recueilli des informations auprès de plus de 500 personnes occupant des postes allant du responsable informatique au directeur IT, dans des entreprises réparties dans le monde entier et oeuvrant dans des secteurs d’activités différents.

LES ENTREPRISES PREVOIENT DES INCIDENTS ET DES FAILLES DE SECURITE

Les données de l’enquête du Rapport sur la Gestion des Risques Informatiques de Symantec révèlent que la majorité des personnes interrogées s’attendent à être touchées par un type quelconque d’incident de sécurité, ou de conformité, au cours des cinq prochaines années. En particulier, 66 % prévoient au moins un incident réglementaire majeur par période de cinq ans. De plus, 58 % prévoient également au moins une perte de données majeure par période de cinq ans. Perte pouvant être provoquée par des événements tels qu’une panne de Data Center, la corruption des données ou une faille dans les systèmes de sécurité.

LE DEPLOIEMENT DE CONTROLES DE PROCESSUS PASSE APRES LES CONTROLES TECHNOLOGIQUES

Une gestion efficace des risques informatiques exige une solide combinaison de savoir-faire et d’investissements en contrôles de processus et contrôles technologiques. Les programmes de gestion des risques informatiques les plus performants utilisent des contrôles définis qui allient des technologies bien choisies et des processus intégrant les meilleures pratiques. Le rapport de Symantec indique que les professionnels interrogés à tous les niveaux des organisations, quels que soient les marchés, la taille des entreprises et leur étendue géographique, considèrent que les capacités de leurs organisations sont plus efficaces avec les contrôles technologiques qu’avec les contrôles de processus.

Les conclusions du rapport révèlent que le contrôle de processus d’authentification, d’autorisation et d’accès est le mieux noté en termes d’efficacité : 68 % des personnes interrogées estiment que leur organisation est efficace à plus de 75 %. Mais le rapport souligne également un problème de contrôle de processus spécifique pour l’identification, la classification et la gestion du parc informatique. Seulement 38 % des personnes interrogées estiment leur efficacité à plus de 75% dans la mise en place de contrôles de processus pour la gestion, la classification et l’inventaire des équipements. Or, ces contrôles ont une importance cruciale dans l’élaboration d’un programme de gestion des risques informatiques tenant compte des priorités de l’organisation. Sans une évaluation minutieuse des risques, tout le capital informatique sera probablement traité de manière équivalente : certaines parties seront surprotégées, tandis que d’autres seront sous protégées.

Aujourd’hui, les entreprises commencent à prendre conscience de l’intérêt d’adopter une démarche proactive plutôt que réactive dans leur stratégie de gestion des risques informatiques. Cela exige d’elles une évaluation à la fois de leurs technologies et de leurs processus, mais aussi une parfaite connaissance des différents risques susceptibles d’affecter leurs systèmes et par conséquent l’ensemble de leur activité.

SELON LES ROLES DANS L’ORGANISATION INFORMATIQUE INTERNE, LES RISQUES SONT PERCUS DIFFEREMMENT

Le Rapport sur la Gestion des Risques Informatiques de Symantec révèle que le personnel et les cadres informatiques ne perçoivent pas de la même manière les risques auxquels est exposée leur entreprise, notamment en ce qui concerne les risques liés aux processus métiers et à la conformité. Par exemple, 8 % des cadres informatiques estiment que les risques concernant les processus métiers sont critiques pour le fonctionnement de l’informatique, contre 22 % chez les directeurs informatiques. À l’inverse, 23 % des cadres considèrent que les risques concernant la conformité sont critiques pour le fonctionnement de l’informatique, contre 16 % chez les directeurs.

Selon Symantec, les investissements en gestion des risques informatiques ne peuvent donner des résultats positifs que si tous les domaines de l’informatique et de l’activité sont parfaitement accordés. Des points de vue internes divergents pourraient même générer des risques s’ils entraînent une mauvaise coordination de l’entreprise dans son ensemble. Il pourrait alors en résulter des sous investissements ou surinvestissements en contrôles, ce qui se traduirait par le gaspillage de ressources et des programmes de gestion des risques informatiques inefficaces.

L’APPROCHE HOLISTIQUE DE LA GESTION DES RISQUES INFORMATIQUES A PERMIS DE REDUIRE LE NOMBRE D’INCIDENTS

Le Rapport sur la Gestion des Risques Informatiques de Symantec révèle une tendance concernant les organisations Best-in-Class. Par organisations Best-in-Class, Symantec désigne les 25 % les plus performantes qui ont évalué leur efficacité avec la mise en place de 16 domaines de contrôle. Ces organisations enregistrent de plus hauts niveaux de risque de conformité et de processus métier, mais de plus bas niveaux d’incidents informatiques. Une analyse détaillée indique que les organisations Best-in-Class sont hautement efficaces pour toute une variété de contrôles, dont les contrôles de processus, en créant une approche holistique. Le rapport montre également que les organisations moins performantes concentrent généralement leurs efforts sur un petit nombre de contrôles technologiques plus tactiques, plutôt que de déployer un large éventail de domaines de contrôles.

Le Rapport sur la Gestion des Risques Informatiques apporte aux entreprises les bancs d’essai et recommandations nécessaires pour évaluer l’efficacité de leur propre stratégie de gestion des risques informatiques.

Ce Rapport est disponible sur le site web de Symantec, à l’adresse www.symantec.com

A propos de Symantec

Symantec est le leader mondial des logiciels d’infrastructure qui permettent aux particuliers et aux entreprises d’utiliser en toute confiance le monde connecté. Symantec aide ses clients à protéger leur infrastructure, leurs informations et leurs transactions en proposant des logiciels et des services qui gèrent la sécurité, la disponibilité, la conformité et la performance. Basée à Cupertino (Californie), la société Symantec est présente dans plus de 40 pays. Des informations supplémentaires sont disponibles à l’adresse http://www.symantec.be/
Retour