Dix ans après : la conformité aux réglementations est le premier moteur de la sécurité des systèmes d’information.
 
Paris, le 12 décembre 2007 : Ernst & Young publie, la 10ème enquête annuelle sur la sécurité des systèmes d’information (SI) dans le monde et en dresse un comparatif avec les pratiques des entreprises en France. L’étude confirme les progrès faits par les entreprises depuis 10 ans dans les domaines de la protection des SI et la professionnalisation de cette activité. Elle met également en exergue les maillons encore fragiles de la chaîne de la sécurité dans l’entreprise.

La vision de la politique de sécurité des SI évolue positivement au sein des entreprises
Souvent considérée comme une contrainte à l’efficacité opérationnelle il y a dix ans, la sécurité des SI bénéficie aujourd’hui d’une image plus positive, puisque facteur contribuant à la création de valeur auprès de 82% des personnes interrogées au niveau mondial en 2007. De plus, six répondants sur dix déclarent qu’elle a permis la mise en place d’initiatives stratégiques dans leur entreprise. En France, cette tendance commence également à se confirmer. 

La conformité aux réglementations : premier moteur de la sécurité des SI 
La conformité aux réglementations reste la première préoccupation des entreprises vigilantes sur la sécurité de leurs SI depuis 2005, où elle a détrôné les préoccupations liées aux virus. Ce trait est encore plus important en France et est cité en première position par 77% des personnes interrogées contre 64% au niveau mondial. Dans le top 5, les décideurs internationaux évoquent également les facteurs suivants :
2. Protection des données personnelles-58% (38% pour la France)
3. Atteinte des objectifs métier – 45% (31% pour la France)
4. Politique de gestion des risques de l’entreprise- 41% (44% pour la France)
5. Crainte d’un impact négatif sur l’image de l’entreprise – 24% (21% pour la France)

«  Le fait que la conformité aux réglementations soit le premier facteur qui pousse le renforcement des procédures de sécurité des SI, pose la question de son maintien au moment où la pression réglementaire diminuera. Les dirigeants d’entreprise poursuivront-ils alors l’amélioration des pratiques de sécurité des SI ? » s’interroge Stéphane Geyres, Directeur chez Ernst & Young, Risk Advisory Services. « On peut être raisonnablement optimiste quand on constate qu’en France le deuxième facteur qui conditionne les pratiques de sécurité est la politique de gestion des risques de l’entreprise, ce qui permet de lier maîtrise des risques et performance.» complète Thierry Leblond, Directeur chez Ernst & Young, Risk Advisory Services.

La sécurité des SI est intégrée dans la stratégie de gestion des risques de l’entreprise mais reste isolée de la prise de décisions stratégiques Longtemps perçue comme une problématique purement informatique, la sécurité des SI est aujourd’hui bien intégrée dans les processus de gestion du risque des entreprises : 82% des répondants en 2007 l’ont intégré entièrement ou partiellement contre 43% en 2006 et 40% en 2005. Au-delà de la convergence avec la politique de gestion du risque, la sécurité des SI renforce clairement sa dimension de plus en plus stratégique au sein des entreprises. Ainsi, en 2007, la sécurité des SI est considérée par presque la moitié des personnes interrogées au niveau mondial comme indispensable à l’atteinte des objectifs de l’entreprise. Pour autant la fonction reste très proche de la direction technique et 20% des répondants déclarent que dans leur entreprise les équipes de sécurité des SI ne rencontrent jamais la Direction générale ou métier.

Les entreprises Françaises sont moins exigeantes sur la politique de sécurité de leurs fournisseurs de SI
Les entreprises françaises ne sont que 3% à recourir à l’évaluation par un tiers indépendant des processus de gestion des risques de leurs fournisseurs ou partenaires en SI contre 31% au niveau mondial, soit un écart de 28 points ! En ce qui concerne les politiques et les processus de sécurité à appliquer par les prestataires les exigences au niveau mondial ont nettement progressé. Le taux des décideurs qui exigent de leurs fournisseurs qu’ils appliquent les procédures de sécurité imposées par l’entreprise est passé de 66% en 2006 à 78% en 2007. 

La France mieux préparée en cas de crise globale
Selon l’étude les entreprises Françaises sont mieux préparées pour assurer la continuité de leur activité en cas d’une crise globale (grippe aviaire, attaque terroriste, etc.). Ainsi, 46% des répondants en France affirment que le plan de continuité d’activité de leur entreprise inclut des préparatifs spécifiques pour une crise globale, soit 5% de plus que leurs collègues au niveau mondial.

Méthodologie :
L’enquête a été conduite auprès de 1300 entreprises de 57 pays entre les mois de mai et août 2007 appartenant à 23 secteurs d’activité. L’échantillon d’entreprises Françaises compte 49 participants.