Le cabinet de conseil KPMG vient de dévoiler un nouveau rapport sur la sécurité IT. Et de constater que les budgets en InfoSec sont mis sous pression.

Bien établi dans le secteur financier, mais aussi auprès des corporates et des services publics, KPMG a analysé les différents axes d’une politique de sécurité IT. « La sécurité est un des éléments-clés de la stratégie de Luxembourg en tant que pays, a déclaré Michael Hofmann, Information Risk Management partner de KPMG. Il ne s’agit pas d’une fonctionnalité à prendre à la légère, mais bien d’une volonté qui doit reposer sur l’efficacité des process et des budgets, en étant le plus proche que possible du business. »

« Dans notre enquête, nous avons vu que pour un tiers des sondés, les budgets IT opérationnels sont en croissance alors que pour un interrogé sur deux, il s’agit d’œuvrer dans un espace budgétaire stable et pour 17% avec une enveloppe qui s’amenuise. En matière d’IT Security, la tendance ne suit pas du tout la même courbe, puisque pour 89% des interrogés, les dépenses en IT Sécurité seront identiques en 2013 par rapport à 2012 et même dans 11 cas sur 100 en baisse ; personne n’ayant mentionné une enveloppe IT Sec en croissance… »

En toute logique, le budget IT sécurité représente moins de 25% du budget total IT et seulement 4% des entreprises dépensent en la matière plus de 50% de leur budget informatique en sécu.

Pour John Cant, Assistant Manager IRM de KPMG (en photo), la lecture luxembourgeoise de cette matière va aussi à contre-courant des tendances mondiales : en effet les sondés se disent confiants ou très confiants avec leurs pratiques IT Sec, en total contraste avec ce qu’on peut lire ou analyser de par le monde. Seulement une entreprise sondée sur trois dispose d’un CISO, les autres affectant une personne de l’IT (50%) ou comptant sur la bonne volonté des équipes sans rôle défini (15%).

Le marché luxembourgeois de la sécurité IT s’appuie largement sur un réseau de prestataires outsourceurs qui réalisent des pen-tests (72% outsourcés) par exemple. 36% des entreprises de l’étude disent insourcer de services IT Sec pour d’autres organisations et 64% outsourcent partie ou tout de ces tâches.

SOC1, 2 et 3 au lieu de SAS70

« Les entreprises outsourcent pour améliorer leurs process en matière de sécurité et pour globaliser certaines fonctions notamment au regard des pressions règlementaires, dit Estefania Rizzo, IT Advisory de KPMG. En majorité, elles le font afin de réduire les coûts, mais également pour réduire les risques. De plus en plus, elles doivent considérer un SOC (Service Organisation Control) par un rapport, dit ISAE 3402 et qui remplace le SAS70. De plus en plus de RFP requièrent le support de ce type de rapports. » Dans le monde SOC, il y a trois rapports principaux, un premier orienté sur le process de transaction et particulièrement important pour les institutions financières, un qui traite des IT systems au sens large, un dernier, résumé du second.