Défaillances informatiques: mettre fin aux idées reçues

Dans son rapport sur la gestion des risques informatiques qui vient d'être publié, l'éditeur américain de logiciels de sécurité Symantec révèle que les entreprises ont de plus en plus conscience de l'importance de la gestion des risques informatiques, mais qu'un certain nombre d'idées reçues règnent malheureusement parmi les professionnels.

Certains malentendus en matière de gestion des risques persistent néanmoins et peuvent conduire à des défaillances systèmes et ainsi impacter la continuité des services. Le rapport indique également que les problèmes de processus sont à l'origine de 53% des incidents informatiques, tandis que les départements informatiques sous-estiment souvent la fréquence des pertes de données.
S'appuyant sur l'analyse de plus de 400 enquêtes menées auprès d'informaticiens du monde entier, ce rapport identifie quatre idées fausses fréquemment associées aux risques informatiques, à savoir que la gestion des risques informatiques ne relève que de la sécurité informatique, que les risques informatiques se gèrent par projets, que la technologie permet à elle seule de gérer les risques informatiques et que la gestion des risques informatiques est déjà une discipline formelle.

 

Des risques de sécurité
Quelque 78% des personnes interrogées considèrent les risques de disponibilité comme critiques ou graves, contre respectivement 70, 68 et 63% pour les risques de sécurité, de performance et de conformité. Seules 15% d'entre elles font encore la distinction entre des risques élevés et faibles. Ceci indique que les informaticiens adoptent une vision des risques plus globale et moins centrée sur la sécurité.
Le rapport confirme que les risques de sécurité et de conformité sont pris très au sérieux en raison de leur visibilité et de leur impact: 63% des personnes interrogées jugent que les pertes de données ont de graves conséquences sur leur activité. Toutefois, ils donnent une importance grandissante aux risques de disponibilité qui, d'après le rapport, peuvent avoir des incidences qui se chiffrent en millions de dollars.

La gestion des risques doit être permanente
Pour ce qui est des incidents pouvant affecter l'entreprise, le rapport révèle que 69% des personnes consultées s'attendent à un incident informatique mineur par mois, 63% à une défaillance informatique majeure au moins une fois par an, 26% à un incident de non-conformité aux réglementations au moins une fois par an et 25% à une perte de données au moins une fois par an.
Certaines entreprises adoptent une approche plus holistique. Cependant, beaucoup semblent ne pas mettre en place certains contrôles fondamentaux de gestion des risques informatiques, comme par exemple la classification et la gestion des actifs. Dans ce domaine, seulement 40% des personnes interrogées estiment que leur performance est efficace à 75% ou plus. En outre, seulement 34% pensent avoir un inventaire à jour de leurs équipements sans fil et mobiles.

La technologie à elle seule permet d'atténuer les risques
D'après cette enquête, les problèmes de processus sont à l'origine de 53% des incidents. Si l'on compare les résultats avec ceux du rapport publié l'année dernière, on note que le nombre de personnes estimant que leur programme de formation et d'information est efficace à plus de 75%, est passé de près de 50% à 43%. On remarque aussi qu'une très faible amélioration des chiffres en ce qui concerne le contrôle des actifs et de la classification des inventaires. En outre, le nombre de personnes jugeant que la gestion du cycle de vie des données est efficace à plus de 75% a diminué de 17%. Elle n'est en effet plus que 45% aujourd'hui.
Enfin, le nombre de personnes estimant que leur développement d'applications sécurisées est efficace à plus de 75%, ce qui correspond à une progressions de 10%.

Une discipline banalisée
Parmi les autres idées reçues, la quatrième de la liste que mentionne ce rapport est que la gestion des risques est une discipline en constante évolution et non une science exacte, car elle repose sur l'expérience acquise par les personnes et les entreprises dans un environnement technologique et commercial en constante évolution. Cela doit englober la gestion des risques opérationnels, les contrôles de qualité et de la gouvernance d'entreprise et des technologies d'information. De plus, les spécialistes pourraient bien en venir à considérer la gestion des risques informatiques comme une série de relations et principes fixes, applicables de manière universelle à différents marchés et différentes régions.


Le volume II du rapport de Symantec (IT Risk Management Report Volume II) sur la gestion des risques informatiques est disponible à l'adresse: www.symantec.com/business/theme.jsp?themeid=inform

Additional information