Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog

Décideur Public - Univers Numérique

Décideur Public - Univers Numérique

Site d’informations gratuit et indépendant dédié à l'univers numérique et au secteur public. philippe.guichardaz@decideur-public.info


Les entreprises sont moins conscientes des risques et moins engagées dans les programmes gouvernementaux

Publié par Décideur Public - Systèmes d'Information sur 16 Novembre 2011, 13:56pm

Catégories : #Actualité

L’enquête 2011 sur la protection des infrastructures critiques (CIP, Critical Infrastructure Protection) de Symantec, menée auprès de 3 475 entreprises à travers le monde, dévoile une baisse d'engagement et du niveau d'information des entreprises, mesurés par l'indice de participation aux programmes de protection des infrastructures critiques.

Au niveau mondial, l’index de participation à la protection des infrastructures critiques montre cette année une baisse de 18 points, à 82%, comparé à 2010. En France, cette participation tombe même à 69%. Les entreprises qui gèrent des infrastructures critiques sont présentes dans des secteurs qui sont d'une importance telle que l'attaque et l'indisponibilité de leurs réseaux pourraient constituer une menace réelle pour la sécurité nationale. Cette année, 27% des entreprises participent à un programme de protection des infrastructures critiques en France (37% monde).

Les points clés de l'enquête montrent une baisse des niveaux d'information et d'engagement dans les programmes de protection des infrastructures critiques. Cette année, les entreprises sont généralement moins au courant des programmes de protection des infrastructures critiques mis en place par leur gouvernement. 36% des personnes interrogées connaissaient relativement bien ou très bien les programmes de protection des infrastructures critiques dans leur pays, contre 55% en 2010. En 2011, 37% des entreprises sont complètement ou significativement impliquées, contre 56% en 2010. En France, seulement 29% des entreprises étaient très bien ou relativement bien informées de ces programmes menés sur le sol français. Et seulement 27% étaient impliquées.

Il ressort également de l'enquête que les entreprises sont plus ambivalentes en 2011 qu'elles ne l'étaient en 2010 au sujet des programmes de protection des infrastructures critiques. Par exemple, lorsqu'il leur a été demandé d'exprimer leur opinion au sujet de ces programmes, 42% n'avaient pas d'opinion ou étaient neutres. Les entreprises françaises sont légèrement plus circonspectes avec 47% de réponses neutres. En revanche, les entreprises françaises sont nettement plus réservées encore que la moyenne internationale quant à leur volonté de participer à ces programmes : seulement 40% contre 55% dans le monde.

Les entreprises internationales se sentent moins bien préparées. Il n'est pas surprenant qu'une entreprise qui redoute moins le danger soit moins bien préparée à l'affronter. Le niveau de préparation général a baissé en moyenne de 8 points (de 60 à 63% en 2011, contre 68 à 70% en 2010). En France, entre 42% et 55% (selon les secteurs) des entreprises se déclarent extrêmement bien préparées contre 68% à 76% l’an passé. A l’inverse, la proportion d’entreprises s’estimant mal préparées est passée de 31% à entre 7 et 13%.

Pour renforcer la protection des infrastructures critiques contre les cyberattaques, Symantec recommande de mettre en place et d’appliquer des politiques informatiques et d’automatiser les processus de mise en conformité. Les structures doivent hiérarchiser les risques et définir des politiques couvrant l'ensemble des sites, puis les appliquer avec des processus automatisés. Elles peuvent ainsi identifier les menaces et remédier aux incidents lorsqu'ils se produisent, voire les anticiper. La société préconise aussi de protéger les données proactivement avec un modèle informatique centré sur l'information. Une stratégie de protection des informations orientée vers le contenu est essentielle pour savoir qui détient les informations, où se trouvent les données sensibles, qui y a accès et comment protéger les données qui entrent dans l'entreprise ou en sortent. Autre recommandation : gérer les systèmes en mettant en œuvre des environnements d'exploitation sécurisés, en distribuant et en appliquant les correctifs selon leur niveau, en automatisant les processus pour les rationaliser et améliorer leur efficacité, et en assurant le suivi et le reporting de l'état des systèmes.

Coté infrastructure, Symantec recommande de sécuriser les points d'accès, la messagerie et l'environnement Web. En outre, il est recommandé d'accorder la priorité à la défense des serveurs internes stratégiques ainsi qu'à la sauvegarde et à la restauration des données. Les entreprises doivent également avoir une vision précise et complète de leurs infrastructures et disposer d'un système de surveillance leur permettant de répondre rapidement aux menaces. S’agissant d’assurer une disponibilité 24 h/24 et 7 j/7, les entreprises doivent mettre en œuvre des méthodes de test transparentes et non-disruptive, et réduire la complexité de leurs systèmes en automatisant leur basculement en cas d'incident. Les environnements virtuels doivent être gérés de la même manière que les environnements physiques. Il est donc impératif pour les entreprises d'adopter des outils compatibles avec plusieurs plates-formes et environnements ou de standardiser leur parc autour d'un nombre de plates-formes réduit. Enfin, l’éditeur préconise de développer une stratégie de gestion de l'information qui comprend un plan et des politiques de conservation des données (sauvegarde, archivage, archivage légal, déduplication et prévention des pertes de données). 

Au chapitre gouvernemental, Symantec encourage la protection des infrastructures critiques à travers la fourniture de ressources nécessaires pour établir des programmes de protection des infrastructures critiques. La plupart des entreprises qui gèrent des infrastructures critiques confirment connaître l'existence de ces programmes. En outre, la plupart d'entre elles soutiennent les efforts gouvernementaux visant la mise en place des programmes de protection. Les gouvernements doivent s'allier aux associations industrielles et aux groupes d'entreprises privées en vue de diffuser l'information et de faire connaître les organismes et les plans de protection des infrastructures critiques. Plus exactement, ces informations doivent préciser comment faire face à une cyberattaque, quel est le rôle du gouvernement, quels sont les contacts spécifiques pour les différents secteurs tant au niveau régional que national, ainsi que la manière dont les gouvernements et le secteur privé doivent partager les informations en cas d'urgence.

Enfin, les gouvernements doivent souligner que la protection des infrastructures critiques dépasse le champ de la sécurité. Les entreprises du secteur doivent veiller particulièrement à ce que leurs données soient stockées, sauvegardées, organisées et hiérarchisées, et à ce que des contrôles des identités et des accès adéquats soient mis en place.

 

Pascal Caillerez


Pour être informé des derniers articles, inscrivez vous :

Commenter cet article

Archives

Nous sommes sociaux !

Articles récents