© PricewaterhouseCoopers S.à.r.l
Photographer : Blitz Agency

Les principaux responsables de la sécurité informatique et de l’information auprès de sociétés présentes dans le secteur financier du Luxembourg étaient réunis à l’occasion d’une table ronde organisée par PricewaterhouseCoopers Luxembourg. Au coeur des discussions, les résultats de la septième édition de l’enquête « Global State of Information Security 2010 » ont été largement abordés. Cette dernière avait été menée conjointement par PricewaterhouseCoopers et les magazines CIO et CSO auprès de 7200 cadres dans plus de 130 pays.

Relayée au niveau mondial par l’étude « Global State of Information Security 2010 », la sécurité de l’information semble être un élément fondamental pour les participants basés à Luxembourg. Si la notion de sécurité informatique occupe une place propre à chaque structure, elle semble néanmoins être en lien direct avec les comités de direction des entreprises. Ainsi, la place particulière que revêt la sécurité de l’information dans les sociétés pourrait bien offrir de nouvelles perspectives internes pour les responsables de ce secteur, davantage amenés à communiquer avec d’autres branches de la firme telles que les départements « compliance », « juridiques » et « risk management ». Selon la maturité de ce dernier, une mise en oeuvre de processus destinés à maîtriser le risque informatique pourra d’ailleurs se concrétiser dans chaque ligne « métier » de l’entreprise.

« Les discussions avec les responsables du secteur nous ont montré à quel point la sécurité de l’information était devenue prépondérante au Luxembourg, notamment pour les grands groupes internationaux. Cette fonction a acquis une indépendance structurelle par rapport à l’IT dans de nombreuses firmes pour occuper aujourd’hui une place de premier plan. Au-delà des connaissances de plus en plus larges, notamment au niveau “métier”, la fonction doit plus que jamais s’appuyer sur des standards internationaux reconnus tels que ISO 27001 afin d’affirmer sa crédibilité », précise Vincent Villers, associé chez PricewaterhouseCoopers Luxembourg.

La sécurité externe en point de mire

En complément des résultats de l’enquête qui annonçaient qu’une attention toute particulière serait portée aux risques internes, et dont les employés sont donc à l’origine, les participants ont souligné l’importance qu’ils accordent actuellement à la sécurité de l’information envoyée en dehors de la société. Un des défis majeurs résidera, au-delà de la sécurisation des données internes, dans l’amélioration du suivi de la sécurité des informations envoyées vers des interlocuteurs externes en élargissant le périmètre de contrôle via des procédures et des outils adéquats. « Les institutions financières doivent initier une véritable démarche structurée de prévention de la perte de données (« Data Leak Prevention ») afin de couvrir l’ensemble du cycle de vie de l’information critique » précise Vincent Villers.

L’aspect budgétaire, élément mis en exergue dans l’enquête, a suscité de longues discussions au cours de la table ronde. Il en résulte que malgré les difficultés budgétaires engendrées par la crise, les mesures de réduction des coûts demandées par les directions en matière IT se sont le plus souvent traduites par des investissements visant à diminuer significativement les coûts IT annuels dégageant ainsi des économies plus structurelles utilisables d’une manière générale et pour la sécurité de l’information en particulier !

Des résultats de l’enquête « Global State of Information Security Survey 2010 » il ressort également que la récession a un impact significatif sur les dépenses en matière de sécurité informatique, allant du secteur privé au secteur public, mais parfois avec des effets différents selon les branches d’activité.

« Nous pouvons en conclure à ce stade que cette récession, difficile à maîtriser, a davantage mis la pression sur les sociétés de services financiers que les sociétés des autres domaines en matière de sécurité de l’information. En effet, les répondants du secteur banque/assurance, en jugeant l’environnement réglementaire complexe, déplorent l’augmentation des menaces de sécurité sur leurs actifs, et confirment que les investissements en matière de sécurité de l’information restent une priorité pour les années futures» fait remarquer Vincent Villers.

Vers une gouvernance globale

Dans un contexte économique délicat, les enjeux relatifs à la sécurité informatique semblent donc figurer en bonne place au sein des agendas des sociétés du secteur financier luxembourgeois, en particulier dans un contexte de groupe en évolution constante.

« Lors du rachat de filiales par des groupes internationaux, pallier les différences de niveaux de sécurité interne dans chaque filiale est devenue une nécessité ajoute Vincent Villers. Dans pareil cas de figure, il est donc nécessaire d’adopter un contrôle global en termes de sécurité de l’information sur les différentes entités qui composent un groupe tout en reconnaissant les contraintes locales et en conservant le financement suffisant.

Par ailleurs, les discussions nous ont montré que les équipes centrales de l’IT des grands groupes ne disposaient pas d’une vue “in extenso” sur les différentes applications informatiques liées à chaque métier et les éventuelles pratiques d’externalisation associées. Les responsables des lignes métiers respectifs doivent donc assurer une délégation et un suivi des processus de sécurité informatique dans leur propre département et en lien direct avec l’équipe centralisée. C’est donc toute la problématique de la gouvernance qui est mise en avant.»

En outre, une gouvernance globale en matière de sécurité informatique sera primordiale pour éviter par exemple une intrusion nuisible au sein du système d’information sensible via le site internet lié à une matière non-opérationnelle d’une filiale à l’étranger.

Comme le montre l’enquête GSSI, les entreprises, y compris à Luxembourg, qui voudront limiter la prise de risques au maximum devraient prendre en considération les faits suivants :

• La protection des données constitue une priorité absolue
Le nombre de personnes interrogées ayant déclaré que leur entreprise disposait d’une capacité de prévention de pertes des données a fait un bond considérable cette année, passant à 44 %, contre 29 % en 2008. Mesure particulièrement utile dans un contexte de tensions tant au niveau de l’emploi qu’au niveau de la protection des données privées dans le secteur financier luxembourgeois.

• La professionnalisation du « hacking »
Les moyens mis en oeuvre par de véritables organisations criminelles entrainent une nécessité d’une réflexion et une approche plus structurée afin de se protéger contre ces risques.

• La complexité et les évolutions organisationnelles au sein des groupes financiers
Afin de conserver une approche cohérente en matière de sécurité de l’information, les sociétés doivent définir des principes et politiques globales suffisamment souples mais directives afin de garantir l’efficacité des mesures de sécurité.

• Les tendances et impacts « cloud computing »
Si la virtualisation de l’informatique est une priorité de plus en plus importante, à peine une personne interrogée sur deux est d’avis que cette tendance permet d’améliorer la sécurité de l’information.