RSA 2012 : Plus de la moitié des dirigeants ne révisent pas leur politique de risque

Une étude présentée en avant-première au salon révèle que les entreprises sont toujours aussi indolentes en termes de sécurité.

58 % des dirigeants ne réévaluent pas leur politique d’assurance liée au risque informatique. C’est ce que démontre une récente étude menée par l’université Carnegie Mellon. Un constat affligeant et d’autant étonnant que les entreprises interrogées sont celles du Forbes Global 2000 (en France, une soixantaine d’entreprises comme Dassault Systèmes, Eurotunnel, Saint-Gobain, Bouygues, EDF ou GDF). Une posture inexcusable : pour des raisons budgétaires, certains jouent à la roulette russe sur le dos de leurs clients.
Ne pas se limiter à la mise en conformité
Pourtant les faits sont là : Sony, le Parlement japonais, Bercy, Areva, Diginotar, RSA, Symantec et, plus récemment, Verisign, toutes ces entreprises ont subi une attaque informatique de grande envergure. L’une d’entre elles, Diginotar, a d’ailleurs depuis mis la clé sous la porte. Toujours selon l’étude, en plus des causes budgétaires, l'autre raison à cette négligence serait une mauvaise répartition des rôles et des équipes sécurité sous-dimensionnées : La plupart des entreprises auraient mis en place des politiques basées sur des principes de conformité et de respect des standards. Une démarche très scolaire qui conduirait à une ségrégation des rôles : d’un côté, la confidentialité des données assurées par la direction du risque, et, de l’autre, la protection de l'infrastructure assurée par le responsable sécurité.
Revoir les modalités de recrutement
Une des recommandations de l’étude est d’ailleurs de revoir complètement le processus de recrutement pour concilier les deux en assignant le double traitement à une personne confirmée et qualifiée. L'étude rappelle également que ce responsable devra assurer un reporting conséquent au comité de direction. Aujourd’hui, 38 % seulement des dirigeants interrogés ont déclaré obtenir des retours exhaustifs de leur département sécurité. Autant de clés qui seront à étudier lors de la sortie officielle de l'étude prévue en mars. Un moyen de s’éviter à soi et à ses clients de bien fâcheux désagréments.
Votre opinion