Selon la nouvelle étude Symantec « 2010 State of Enterprise Security », la sécurité est la première préoccupation des services informatiques, Symantec Corp. publie aujourd’hui les résultats de son étude mondiale 2010 State of Enterprise Security (état de la sécurité dans les entreprises).

Cette étude, révèle que 42 % des entreprises du monde entier placent la sécurité au coeur de leurs préoccupations. Ce n'est pas une surprise, lorsque l'on sait que 75 % des grandes entreprises ont été victimes de cyber attaques au cours des 12 derniers mois. Ces attaques leur coûtent en moyenne 2 millions de dollars par an.

Selon cette étude, les entreprises en France n’ont pas fait partie de « l’exception culturelle » habituelle en termes de cyber attaques par rapport à la moyenne mondiale ; 73% des entreprises dans l’Hexagone ont été victimes de ce type d’attaques en 2009. Enfin, les grandes entreprises ont signalé qu'il était de plus en plus difficile d'assurer leur sécurité en raison du manque d'effectifs, de nouvelles initiatives informatiques qui exacerbent les problèmes de sécurité et de la compliance.

Cette étude repose sur un sondage réalisé dans 27 pays, dont la France, en janvier 2010 auprès de 2 100 CIO, responsables de la sécurité et directeurs informatiques.

« La protection de l'information est aujourd'hui plus difficile qu’auparavant. », explique Francis deSouza, viceprésident du groupe Enterprise Security de Symantec. « La mise en place d'un modèle de sécurité permet de protéger l'infrastructure et les données, d'appliquer les règles informatiques et de gérer les systèmes plus efficacement. Les entreprises pourront assurer ainsi leur compétitivité dans le monde dépendant de l'information d'aujourd'hui. »

Points forts de l'étude :

· La sécurité informatique est l'une des grandes préoccupations des entreprises du monde entier : 84% des personnes interrogées la considère comme impérative/très importante. 42 % des entreprises placent la cybersécurité au coeur de leurs préoccupations, devant les catastrophes naturelles, le terrorisme et la criminalité ordinaire. En conséquence, les services informatiques accordent une attention particulière à la sécurité de l'entreprise. En France, les entreprises affectent 100 personnes en moyenne à la sécurité et à la compliance, et indiquent que « la prévention de pertes des données » (ou DLP) a été le problématique informatique le plus impacté en raison d’un manque d’effectifs dédiés.. La quasi-totalité des entreprises consultées en France (95 %) prévoyait pour 2010 des changements en matière de sécurité.

· Les entreprises françaises sont fréquemment victimes d'attaques. Au cours des 12 derniers mois, 73 % ont été victimes de cyber attaques, 40 % les ayant considérées comme assez/très nuisibles. Pire, 29 %

des entreprises dans le monde entier ont signalé une hausse de la fréquence des attaques au cours des 12 derniers mois.

· Toutes les entreprises (100 %) ont subi des pertes en ligne en 2009. Les trois premières formes de perte étaient le vol de propriété intellectuelle, le vol de coordonnées des cartes de crédit de clients ou

d'autres données financières, ainsi que le vol d'informations permettant d'identifier les clients. Dans 92 % des cas, ces pertes se sont traduites par un préjudice financier. Les trois premiers préjudices étaient la perte de productivité, le manque à gagner et la perte de confiance des clients. Les grandes entreprises dépense plus de 2 million de dollars pour se protéger contrer les cyber attaques.

La sécurité de l'entreprise est de plus en plus difficile à assurer pour un certain nombre de raisons : la première est le manque d'effectifs, les secteurs les plus touchés étant la sécurité des réseaux (44 %), la sécurité des terminaux (44 %) et la sécurité de la messagerie (39 %) ; la deuxième réside dans le fait que les entreprises lancent de nouvelles initiatives qui rendent la sécurité plus difficile à assurer. Les initiatives considérées par les services informatiques comme les plus problématiques du point de vue de la sécurité sont les infrastructures en tant que services, les plates-formes en tant que services, la virtualisation des serveurs, la virtualisation des terminaux et les logiciels en tant que services (SaaS) ; enfin, la compliance constitue également un enjeu considérable. Une entreprise type examine 19 normes ou cadres normatifs informatiques distincts et en applique actuellement huit.

Ces normes sont les suivantes : ISO, HIPAA, Sarbanes-Oxley, CIS, PCI et ITIL.

« La Banque Commerciale d’Abu Dhabi est l’exemple même de l’entreprise qui a mis en place une stratégie de sécurité efficace en mettant l’accent sur le traitement proactif des problèmes, » ajoute Francis deSouza. « Pour un coût annuel fixe, l’entreprise dispose d’une série de solutions, de produits et de services lui fournissant une protection 24 heures sur 24, la surveillance et la gestion des menaces. Cette approche est bien plus rentable et productive que la sécurisation d’un réseau après incident. »

Recommandations

· Les entreprises doivent renforcer la sécurité de leur infrastructure en sécurisant les terminaux, en protégeant la messagerie et les accès Internet, et en implémentant la sauvegarde et la restauration des données. Afin de détecter et de gérer rapidement les menaces, les entreprises ont également besoin de visibilité, d’informations et de solutions de sécurité.

· Les administrateurs de parc informatique doivent protéger les données proactivement en adoptant une approche centrée sur l'information, afin de protéger à la fois les données et les interactions. Une approche orientée contenu de la protection de l'information est décisive pour savoir où se trouvent les informations sensibles, qui y a accès et comment elles entrent dans l'entreprise ou en sortent.

· Les entreprises doivent mettre en place des règles informatiques, les appliquer, et automatiser leurs processus de compliance. En attribuant la priorité aux risques et en définissant des règles couvrant l'ensemble des sites, les clients peuvent appliquer celles-ci par une automatisation et des flux de travail intégrés. Ils peuvent ainsi non seulement identifier les menaces, mais remédier aux incidents lorsqu'ils se produisent, voire les anticiper.

· Les entreprises doivent gérer leurs systèmes en mettant en oeuvre des environnements d'exploitation sécurisés, en distribuant et en appliquant les correctifs selon leur niveau, en automatisant les processus pour rationnaliser le rendement, et en assurant le suivi et le reporting de l'état du système.

Cliquer pour Tweeter: @Symantec Selon une étude de Symantec, les cyber attaques coûtent $2 millions par an aux grandes entreprises.