Ernst & Young vient de présenter sa 15e étude “Global Information Security Survey (GISS)”, une référence mondiale en la matière. Cette étude montre l’écart de perception et d’engagement qui se creuse entre les entreprises et les problématiques que soulèvent les nouvelles technologies en matière de sécurité de l’information.

Le rapport “Fighting to close the gap” prône en faveur d’un changement fondamental dans l’approche de sécurité de l’information pour les entreprises, notamment dans un contexte professionnel de plus en plus ouvert à la BYOD, la virtualisation, le Cloud Computing et aux médias sociaux.

La conscientisation s’améliore

Face à la complexité et l’augmentation croissante des menaces externes pour l’entreprise, cette étude met en avant l’écart entre ce qui se fait réellement en matière de sécurité et ce qui serait préconisé de faire pour combattre ces menaces. Pendant les deux dernières années, l’étude GISS d’Ernst & Young identifiait déjà les mesures à entreprendre pour les entreprises en terme de gestion de la sécurité de l’information. En effet, à l’époque une entreprise sur deux du panel luxembourgeois d’Ernst & Young déclarait ne pas posséder une stratégie de sécurité  spécifique pour le Luxembourg. À l’heure actuelle, les résultats démontrent qu’ils ne sont plus que 6 % à être dans ce cas, ayant mis en place des roadmaps très pragmatiques et focalisés sur les aspects spécifiques dans un contexte Luxembourgeois.

“Nous nous félicitons de la juste anticipation de notre étude en matière de sécurité de l’information. Au final,  nous constatons que bon nombre d’entreprises ont pris en considération les points majeurs soulevés dans cette étude et parallèlement mis en place des activités visant à apporter à la sécurité de la valeur ajoutée ”, explique Cristina Spinelli, Manager IT Risk and Assurance chez Ernst & Young.

Ernst & Young attire l’attention sur le fait que des correctifs à court terme ne suffisent plus en matière d’IT Security. L’étude met en avant quatre mesures pour changer fondamentalement l’exploitation et l’utilisation des outils et fonctions de la sécurité d’information:

• Lier la stratégie de sécurité de l’information avec la stratégie d’entreprise.

• Commencer à partir d’une feuille blanche l’examen de l’IT et de son architecture présent dans l’entreprise afin de définir au mieux les besoins, et ainsi de faire tomber les barrières et préjugés existants pouvant entraver tout changement fondamental dans la gestion de la sécurité.

• Permettre l’exécution d’un environnement de sécurité au sein de l’entreprise afin de changer durablement et avec succès le mode de fonctionnement de la sécurité.

• Lors de l’examen des nouvelles technologies, examiner avec justesse les opportunités et les risques qui se présentent. Les médias sociaux, Big Data, le Cloud et le mobile sont là pour durer, mais les entreprises doivent se préparer à leur utilisation.

Ernst & Young conclut qu’une transformation efficace de la sécurité ne nécessite pas de solutions technologiques complexes. Il requiert cependant à la fois leadership et engagement, capacité et volonté d’agir. De plus, l’étude préconise l’adoption rapide et complète de ces mesures de sécurité. En effet, face à l’évolution rapide du secteur, les entités sont susceptibles de prendre vite du retard qui serait difficile à combler par la suite.

L’étude met en lumière les obstacles auxquels sont confrontées les entités en matière de sécurité:

• 62 % pour cause de contraintes budgétaires
• 43 % manque de ressources qualifiées
• 26 % manque d’outils
• 20 % manque de soutien de la direction

Pour Ernst &Young, le virage de la sécurité de l’information est à prendre avec sérieux et rapidité. Maintenant que le CISO a trouvé sa place au sommet de l’entreprise, il est vivement recommandé pour l’entreprise de faire preuve d’engagement et de volonté pour lui permettre de réduire ce “gap”.