Retour en arrière pour les RSSI ! Plusieurs vols de codes informatiques stratégiques ayant récemment défrayé la chronique et fait la une des journaux du monde entier, les responsables de la sécurité de certains des plus grands établissements financiers au monde indiquent que l’investissement dans les solutions de gestion des identités et des accès constitue une priorité, selon l’enquête menée par Deloitte.

Selon les personnes interrogées dans l’édition 2010 de l’enquête annuelle de Deloitte sur la sécurité dans les établissements financiers mondiaux intitulée The Faceless Threat (la menace sans visage), la gestion des identités et des accès a été le projet prioritaire de la profession en 2010. En effet, 44% des personnes interrogées ont positionné ce sujet comme étant leur première préoccupation parmi une vingtaine de thématiques relatives à la sécurité. Ce pourcentage est par ailleurs considérablement plus élevé dans les plus grands établissements employant plus de 10 000 salariés (63%).

« Les établissements financiers ont beaucoup moins confiance dans la protection offerte par les contrôles traditionnels, et ils ont de bonnes raisons pour cela » déclare Rédouane Bellefqih, Associé au sein des activités Enterprise Risk Services dédiées aux Institutions Financières chez Deloitte. « A l’origine de la sécurité de l’information, les contrôles d’accès fonctionnaient comme des « verrous », principalement occupés à empêcher « les intrus » d’entrer. Ils sont maintenant bien plus évolués avec notamment la sophistication des niveaux et contrôles d’accès, la qualité du reporting et la capacité de tracer la nature, l’heure et l’auteur des événements qui sont survenus. Aujourd’hui, de nombreux établissements réalisent que saisir un nom d’utilisateur et un mot de passe ne suffit plus, particulièrement pour les clients et les partenaires commerciaux ».

Les budgets liés à sécurité de l’information semblent eux aussi contredire la tendance actuelle à la réduction des coûts. Plus de la moitié des personnes interrogées (56%) déclarent que leur budget sécurité est en hausse. Par ailleurs, le nombre des personnes interrogées invoquant « l’insuffisance de budget » comme l’un des obstacles majeurs à franchir par leur entreprise a considérablement diminué par rapport à l’année dernière.

L’enquête révèle que cette tendance pourrait traduire une plus grande « prise de conscience de la nécessité d’augmenter les investissements dédiés à la protection des données puisque l’environnement de la sécurité de l’information devient complexe et plus risqué ».

« Les établissements financiers commencent à reconnaître l’importance de la fonction sécurité de l’information pour leurs activités » déclare François Vergez, Senior Manager au sein des activités Enterprise Risk Services.

« La sophistication toujours plus grande des « menaces sans visage », l’apparition d’un nouveau type d’agents et d’acteurs de cette menace ainsi que la baisse du niveau de compétences nécessaires pour constituer une menace (du fait de la disponibilité d’outils clefs en main sur Internet) sont autant de facteurs qui ont motivé les sociétés de services financiers à modifier leurs pratiques en matière de sécurité dans de nombreux domaines. L’environnement de la sécurité est en pleine évolution ».

Autres constats de l’enquête :


· La prévention des pertes de données devient une nécessité de plus en plus pressante : les pertes de données peuvent résulter d’actes intentionnels ou non de la part de salariés d’une entreprise. Interrogées sur leur capacité à contrecarrer ces actes de malveillance internes, seules 34% sociétés disent être « très confiantes », mais ce pourcentage passe à 56% lorsque les personnes interrogées répondent sur leur capacité à contrecarrer les pertes de données dues à des actes externes. Elles indiquent que, outre le chiffrement, la prévention des pertes de données sera la technologie la plus attentivement suivie sur les 12 prochains mois.

· La conformité réglementaire est l’une des grandes priorités des établissements financiers : de toute évidence, les établissements financiers s’attendent à un alourdissement des contraintes réglementaires. Les personnes qui ont répondu à l’enquête placent la conformité légale et réglementaire parmi leurs cinq premiers grands projets et, dans cette perspective, renforcent leurs équipes d’audit interne pour mettre en œuvre les recommandations des auditeurs internes et externes.

· L’alignement stratégique sur les métiers de l’entreprise fait toujours défaut : si 87% des personnes interrogées ont ou prévoient de se doter d’une stratégie en matière de sécurité dans les 12 prochains mois, elles reconnaissent que les fonctions sécurité reçoivent peu ou pas d’informations et ne sont pas impliquées lorsque la stratégie est en cours d’élaboration par les lignes métiers. Cela indique que l’élaboration de la stratégie en matière de sécurité a tendance à être dictée par la fonction sécurité elle-même plutôt que par des enjeux métiers. Dans ce contexte et du fait de budgets en hausse, la fonction sécurité se doit de faire la preuve d’un retour sur investissement pour que cette tendance puisse se confirmer.

· Les assureurs sont en avance sur les banques quant à la planification d’actions à mener en matière de sécurité : pour la première fois, l’enquête Deloitte décompose les données comparatives par secteurs. Si les banques semblent avoir adopté des positions plus fortes que les autres sociétés de services financiers en matière de sécurité, les assureurs sont en train de les rejoindre à grands pas. Parmi les grandes priorités de 2010, les assureurs sont plus ambitieux en matière de gestion des identités et des accès (une priorité pour 51% des sociétés d’assurance contre seulement 44% des banques) et de technologies de prévention des pertes de données (32% contre 25%).

· Pour la première fois, les sociétés semblent être fermement disposées à adopter les technologies émergentes pour faire face aux menaces : les sociétés adoptent désormais de manière proactive les nouvelles technologies, ce qui font d’elles des précurseurs, alors que dans le passé, elles se contentaient d’adopter des technologies ayant largement fait leurs preuves.

Cette enquête, que vous pouvez retrouver en ligne sur le site www.deloitte.com/gfsi/securitysurvey, présente également une décomposition des résultats par zones géographiques et dans un échantillon de pays, ainsi que par secteurs (bancaire, placements et titres, assurance, moyens de paiement et sociétés de traitement).

Méthodologie: L’équipe Mondiale du Secteur des Services Financiers de Deloitte a mené son enquête en début d’année 2010 auprès de la direction des systèmes d’information de plus de 350 grands établissements financiers par des entretiens face à face et des questionnaires en ligne.