11.2005 - La Lettre de novembre 2005

>>> Dossiers >>> Sécurité logique : virus et intrusions >>>

Sécurité informatique : enjeux

965 milliards de dollars, c'est le volume d'affaires lié à la dépense informatique dans le monde en 2004 dont 825 milliards pour les entreprises (5% d'augmentation en 2004). Le marché doit atteindre les 1 200 milliards de dollars en 2008. (Sources IDC et Forrester Research)
3,6% de croissance de la dépense informatique en France pour 2004 (Source Forrester Research)


La dépense mondiale en sécurité informatique

  • Montant global de la dépense en sécurité informatique dans le monde en 2003 : 42 milliards de dollars,
  • Marché de la dépense en logiciels de sécurité en Europe de l'Ouest en 2003 : 2,5 milliards de dollar,s
  • Part de la dépense IT totale représentée par la sécurité dans le monde en 2003 : 4,8%
  • Part prévisionnelle de la dépense IT totale représentée par la sécurité dans le monde en 2007 : 7%

Pour la zone EMEA, l'étude Canalys révèle une croissance moyenne du marché de la sécurité informatique de 30%.
Cette dernière se fonde en partie sur la croissance des principales sociétés intervenant sur ce secteur (à titre d'exemple, citons les plus de 140% de progression de McAfee et100% pour Nokia…).
 

Marché de la sécurité dans la zone EMEA

 

Loi Sarbanes-Oxley

5,5 milliards de dollars, c'est le coût estimé de la mise en conformité des entreprises avec la loi Sarbanes-Oxley en 2004.
 

Répartition des dépenses liées à la loi Sarbanes-Oxley en 2005

 

Des entreprises mal protégées

Lors d'une conférence organisée part L'ISACA à Londres, il a été fait mention qu'une étude menée auprès de 900 entreprises de par le monde, révélait que 70% d'entre elles avaient une sécurité de l'information insuffisante, voir inexistante.
On est donc face à deux phénomènes : la montée en puissance des attaques d'une part et celle des systèmes d'autre part.
Si les attaques semblent pourtant marquer le pas (baisse en volume), il n'en demeure pas moins que celles-ci s'avèrent bien plus redoutables.
Citons ici l'exemple des pertes engendrées par ces attaques aux Etats-Unis : les pertes liées au vol d'informations ont quasi doublées, quant à l'accès aux données non autorisées, il a été multiplié par 6 (source Computer Security Institute/FBI). Nous ne sommes plus uniquement face à des hacker mais la " professionnalisation " des auteurs de ces attaques les rendent bien plus redoutables et dommageables. Il ne s'agit plus de prévenir un risque hypothétique mais face à l'augmentation des attaques ciblées (multipliées par 2 en 2005), on ne peut plus réfuter la thèse selon laquelle les menaces sont bien réelles et peuvent mettre en péril le maintien de l'activité des entreprises. Toutefois les attaques ne sont pas les seules menaces que doivent appréhender la gestion de la sécurité.
Retenons donc 3 menaces principales :

  • l'accès non autorisé au système d'information (accès pouvant être extérieur et intérieur),
  • l'augmentation des incidents venant de l'extérieur et/ou de l'intérieur ayant des répercutions sur tout ou partie de l'organisation de l'entreprise (incendie…)
  • et bien sûr les virus ou autres attaques identifiées comme telles, qui représentent à eux seuls la majorités des pertes de chiffre d'affaires (le deni de service est le deuxième fléau le plus répandu après les virus en 2004, c'est aussi celui qui coûte le plus cher).

Aussi, même s'il ne faut pas tomber dans la dramatisation, il convient de rappeler ce que sont les principes de base de la protection du système d'information.
Jusque très récemment, le maintien de l'activité se résumait à la capacité à restaurer les données, les systèmes et les fonctions d'exploitation de l'entreprise. Cette restauration était possible grâce à des systèmes centralisés via des data centers permettant de se prémunir contre des catastrophes de type incendie par exemple. Pourtant, bien que la question de la récupération des données soit toujours d'actualité, les besoins des entreprises ont évolués. En effet, ce concept faisait l'impasse sur tous les autres aspects liés au maintien de l'activité de l'entreprise : autrement dit la résilience du Système d'information. (Résilience : capacité du SI à rester fonctionnel malgré éventuelles pannes de tout ou partie de ses constituants)
Cette problématique prend encore plus tout son sens lorsque qu'elle concerne des activités liées à des échanges sur le réseau (paiement en ligne par exemple) Ainsi, le maintien de l'activité doit intégrer les aspects techniques et technologiques du système d'information mais aussi tous les process liés à l'organisation.
En outre, il conviendra de former les effectifs de l'entreprise à la politique de gestion de la sécurité.
A titre d'exemple, un journaliste des Echos raconte qu'à l'automne 2005, il patientait dans les locaux d'un haut ministère vers 13h30. Tous les bureaux étaient vides… et ouverts : on pouvait y voir des dossiers classés confidentiels à même les bureaux.
On peut trouver étonnant que l'on puisse aussi facilement accéder à des informations pouvant mettre en péril une organisation ou une stratégie du fait d'une simple malveillance…

Comment organiser la sécurité de l'information

L'objectif de l'entreprise est de pouvoir développer une aptitude à prévenir les menaces, les isoler et prévenir les impacts des événements nuisibles à l'activité afin de penser des systèmes conçus pour ne jamais défaillir.
C'est là le sens du PCA (Plan de Continuité d'Activités) - voir ce Dossier.
Plusieurs cas de figures se présentent :

  • Vous souhaitez prévenir les risques liés à votre activité,
  • Vous êtes victime d'une attaque ou vous avez besoin de restaurer votre système,
  • Vous avez la nécessité de mettre votre système en conformité avec les normes en vigueur (ISO, Sarbanes Oxley….)

Copyright GUIDE-INFORMATIQUE.com - novembre 2005
image absente
 
Abonnez-vous



Pour nous faire part de vos commentaires, cliquez ici.

 

Achetez en direct les promotions des grandes marques dans
la Boutique du GUIDE-INFORMATIQUE.com

  • ordinateurs, PDA, logiciels
  • hébergement, noms de domaine
  • accessoires, consommables
  • voyages, déplacements
Boutique