Une nouvelle étude sur la difficulté  des entreprises à proteger leurs données informatiques.
 
Une étude de Forrester réalisée pour RSA révèle les difficultés des entreprises nord-américaines à protéger leurs données.

Selon cette étude,  les entreprises sont conscientes de leurs problèmes de sécurité ; elles constatent que les solutions ponctuelles peuvent complexifier leurs initiatives ; et déplorent l’inefficacité des politiques actuelles de prévention de perte de données.

RSA, La Division Sécurité d’EMC (NYSE : EMC), dévoile les résultats d’une étude menée par Forrester Consulting, portant sur l’« État de la protection des données en Amérique du Nord », révélant que les entreprises restent encore majoritairement dans une attitude « réactive » pour déployer de nouvelles mesures de sécurisation des données et ont de sérieuses difficultés pour développer et implémenter des stratégies pérennes de prévention de perte de données. Réalisée auprès de près de 200 entreprises, cette enquête met par ailleurs en exergue l’augmentation des coûts et les difficultés d’implémentation des technologies, comme les deux vecteurs essentiels entravant les initiatives de mise en conformité avec les exigences internes et réglementaires.

« Les entreprises sont confrontées à un véritable "dilemme" pour répondre à des obligations réglementaires spécifiques et à des problèmes urgents, tout en mettant en œuvre une stratégie globale et pérenne de prévention des pertes de données. Malheureusement, bien trop souvent, les solutions ponctuelles déployées aujourd'hui complexifient et compromettent les efforts qui seront mis en œuvre à long terme dans ce domaine, » explique Dennis Hoffman, Vice-président et Directeur général du groupe Data Security et Directeur de la stratégie de RSA, La Division Sécurité d’EMC. « Notre étude démontre que la sécurisation des données est désormais un processus à part entière de gestion des informations qui ne peut pas être traité efficacement avec des projets ou des produits cloisonnés. Toutes les données doivent être préalablement identifiées et classées ; différents contrôles doivent être appliqués pour prévenir les pertes, et enfin, la gestion de ces contrôles à l’échelle de l’entreprise doit être la plus efficace possible ».

Sécurisation des accès aux données
L’étude démontre que dans l’environnement économique actuel, la flexibilité, la fiabilité et la disponibilité des accès offerts aux partenaires, aux clients et aux équipes distribuées sont les priorités essentielles : 75 % des sondés confirment que l’accès des collaborateurs distants est un problème majeur ; suivi de près par les besoins de collaboration et d'échange avec les partenaires (69 %) et l’accès des clients (63 %).  

Respect des politiques internes – cruciales mais coûteuses…
Les entreprises sont conscientes qu’il est désormais impératif de disposer d’un système sécurisé et approprié de gestion et de contrôle des données – comme le prescrivent aussi bien les textes réglementaires que les exigences industrielles. Au demeurant, 62 % des sondés considèrent que la mise en œuvre des politiques existantes de gestion des données est leur première priorité pour parfaitement les sécuriser avant leur partage et leur diffusion. Cependant, la maîtrise des coûts liés à l’application continue de ces politiques est devenue une lourde contrainte et 33 % des répondants – la majorité pour cette question – déplorent que les coûts opérationnels de conformité soient plus importants qu’ils ne le souhaiteraient.

L’étude révèle également que de nombreuses entreprises n’ont toujours pas défini la forme de leurs politiques – ni comment les implémenter le plus efficacement possible :

*         55 % des personnes interrogées disposent de politiques de sécurité soit obsolètes, soit nécessitant d’importantes modifications pour être conformes aux exigences réglementaires et aux contraintes spécifiques internes ;

*         27 % concèdent que leurs politiques existantes sont rarement appliquées.

Les causes du retard
1. Connaissance des données et compréhension de leur niveau de « sensibilité »

Une bonne gestion des exigences définies par les politiques d’entreprise commence par la classification des données – c'est-à-dire la détermination de leur degré d’importance et leur localisation dans l’entreprise. Cette opération préalable est essentielle pour définir les grands principes de la stratégie de sécurité et pour réduire les coûts en priorisant la sécurisation des domaines les plus stratégiques.

*         Bien que 52 % des entreprises citent la classification des données parmi leurs toutes premières priorités ; 33 % ne disposent pas de politique formalisée dans ce domaine.

2. Mise en œuvre de contrôles appropriés pour prévenir les pertes/fuites de données

Après la mise en œuvre d’une politique de classification, l'étape suivante consiste à implémenter une stratégie de contrôle pour limiter les risques associés. Le cryptage est aujourd’hui majoritairement utilisé comme technologie de contrôle de facto pour répondre aux exigences de sécurisation des données :

*         62 % sondés ont l’intention d’étendre leurs déploiements de technologies de cryptage ; 65 % prévoient d’accroître leurs investissements généraux dans ce domaine.

*         52 % des répondants ont l'intention d’augmenter leurs investissements dans les technologies de prévention des fuites d’information – un autre point de contrôle stratégique.

*         Cependant, 62 % de ces mêmes entreprises ne disposent d’aucune politique ni stratégie de cryptage – ou la qualifient elles-mêmes d’incomplète car couvrant alternativement les données « au repos » ou en transit, mais pas les deux.  

Une stratégie couvrant tous les aspects de sécurisation des données exige une approche globale d’entreprise ; l’étude révèle pourtant que 78 % des répondants n’abordent toujours pas les contrôles de cryptage selon cette perspective – et se focalisent sur des enjeux tactiques contribuant à faire progresser les coûts de déploiement et de gestion des contrôles par cryptage.  

3. Gestion simplifiée des contrôles des données

L’étude révèle également que le tout premier vecteur d’augmentation des coûts et du médiocre retour sur investissement des solutions de cryptage reste l’absence de système global de gestion des clés. Selon les personnes interrogées, les trois premières difficultés opérationnelles liées au cryptage concernent la gestion des clés – et pour plus de la moitié d’entre eux, ces problèmes ont un impact direct sur le fonctionnement opérationnel de l’entreprise. La plupart des entreprises sondées (53 %) utilise toujours des processus manuels pour gérer les clés.

« Les résultats de l’étude indiquent clairement que seule une approche globale et économique de la sécurité des données peut aider les entreprises à développer des processus administrables – et duplicables – de prévention des pertes de données, » ajoute Dennis Hoffman.  « Ce cadre leur permet en effet de pleinement exploiter la valeur de leurs informations critiques en les mettant au service de leur compétitivité. ».

Méthodologie
En avril 2007, RSA mandatait le groupe Forrester Consulting pour sonder en ligne des entreprises Nord-Américaines sur leurs priorités et activités de protection des données.

*    Parmi les entreprises sondées, 20 % emploient entre 5 000 et 20 000 personnes ; 21 % plus de 20 000.
*    29 % réalisent un chiffre d’affaires de 1 à 10 milliards de dollars ; 17 % supérieur à 10 milliards.
*    Toutes les personnes interrogées utilisent une technologie de cryptage dans leur entreprise et sont impliqués dans la politique de cryptage de leur entreprise.
*    Pour la moitié d’entre eux environ, ils occupent des fonctions de Directeur de la Sécurité, Responsable de la Sécurité des Systèmes d’Information, Directeur des Technologies de l’Information, Directeur Informatique ou Vice-Président des Systèmes d’Information.

À propos de RSA
RSA, La Division Sécurité d’EMC, est le premier fournisseur de solutions de sécurité pour l’accélération des activités métiers. La société aide les organisations du monde entier à répondre avec succès à leurs enjeux de sécurité les plus sensibles et complexes. Grâce à son approche de la sécurité centrée sur l’information, RSA est le garant de l’intégrité et de la confidentialité des données tout au long de leur cycle de vie – quels que soient leur évolution, les personnes qui y accèdent ou leur mode d’utilisation. RSA propose des solutions leaders sur leur marché dans le domaine de la sécurisation des identités et du contrôle d’accès ; du cryptage et de la gestion de clés ; de l’administration de la conformité et des informations liées à la sécurité ainsi que de la protection contre la fraude. Ces solutions garantissent l’identité de millions d’utilisateurs, de leurs transactions et des données qu’ils génèrent.