La gestion des identités, priorité numéro un des banques et assurances

Qui accède à quelles données ? Et quand ? Deux questions qui doivent impérativement trouver une réponse dans le monde de l'informatique professionnelle. C'est en tout cas ce que déclare un établissement financier sur deux. Interrogées par Deloitte au sein de l'enquête “ Financial Services Global Security Study ”, les banques et assurances (350 sondées) considèrent la gestion des identités et des accès comme une priorité. Deux tiers des répondants à cette étude sont des organisations de plus de 10 000 salariés, situées essentiellement aux Etats-Unis et au Japon. Pour ces établissements, la gestion d'identités est une contrainte incontournable en ces temps où règne la conformité. Tracer les agissements de chacun sur le réseau ne relève plus d'une simple mesure préventive adoptée par des dirigeants intrusifs, mais plutôt d'une volonté émanant de responsables sécurité soucieux de prévenir, ou de justifier, tous méfaits ou intrusions menaçant le système d'information. Car, à défaut d'empêcher techniquement l'accès à une ressource sensible, il faut, a posteriori, savoir qui est à l'origine de l'intrusion, et être en mesure de le prouver.

Les métiers encore non impliqués dans la sécurité

Dans son rapport, le cabinet Deloitte fait donc très justement remarquer que la gestion des identités est aujourd'hui un outil piloté par la gestion des risques et de la conformité. Elle est, en effet, la seule en mesure d'émettre, notamment grâce aux audits, les recommandations en termes de restrictions d'accès et d'en fournir la documentation. Car presque toutes les organisations interrogées reconnaissent “ que leur politique de sécurité ne se nourrit pas des évolutions issues des directions métier (DRH, directions financières, etc.), qui ne tiennent pas informés les responsables de la sécurité du système d'information ”.

Une capacité à se protéger peu rassurante

Plus inquiétant, selon l'étude, “ l'entreprise aurait perdu confiance en sa capacité à se protéger elle-même face aux menaces internes ”. Seul un répondant sur trois se dit confiant. Enfin, le principal frein à la sécurité reste le budget, même si le pourcentage de personnes l'affirmant a diminué depuis l'an dernier (36 % contre 56 %). La sécurité se doit donc de justifier un retour sur investissement, pas évident à démontrer. Pour illustrer cette contrainte, Deloitte a recueilli auprès des organisations une classification précise des dommages causés, par exemple, par une fuite de données. En tête, on trouve les coûts liés au temps passé pour l'investigation interne, la perte de productivité des salariés concernés, celle de revenus causée par la faille, les frais d'avocats, etc.