Avec l’explosion des données, une sécurisation efficace des informations n’est possible qu’en créant un plan stratégique de sécurité (SSP) qui inclurait une analyse complète des menaces et une approche en profondeur des risques de sécurité.

L’étude menée par McAfee a pour objectif d’identifier quelques-unes des grandes tendances qui permettront aux entreprises de développer leur plan stratégique de sécurité.

Maturité face à la sécurité

Les entreprises interrogées se sont classées elles-mêmes dans différentes catégories de maturité face à la sécurité. Ces catégories aident à comprendre la vision des entreprises quant à la sécurisation des informations en milieu professionnel. Les différentes catégories listées ci-dessous décrivent le niveau de maturité face à la sécurité des entreprises ayant participé à l’étude :

– Réactives : elles utilisent une approche ad hoc pour définir les processus de sécurité, approche aussi adaptée en fonction des différents évènements.

– Conformes : elles ont quelques politiques de sécurité en place mais pas standardisées. L’entreprise adhère à certaines normes de sécurité. 32 % des entreprises interrogées prétendent être à cette étape.

– Proactives : elles suivent des politiques de sécurité normalisées, ont une gouvernance centralisée et un degré d’intégration à travers des solutions de sécurité. 43 % des entreprises interrogées en sont à ce niveau.

– Optimisées : elles suivent les bonnes pratiques des professionnels de la sécurité et maintiennent le respect de la politique de l’entreprise. Les entreprises utilisent des solutions de sécurité automatisées.16 % des entreprises interrogées en sont à ce stade.

Les principales conclusions du rapport

Alors que les entreprises travaillent sur leurs plans stratégiques de sécurité et mettent tous leurs efforts pour protéger les systèmes d’entreprise et les données critiques, il existe quelques axes d’amélioration :

· Opter pour un niveau de maturité plus élevé face à la sécurité. Seulement 16 % des personnes interrogées placent leurs entreprises dans la catégorie « optimisées », ce qui prouve que des efforts sont encore nécessaires pour que davantage d’entreprises atteignent ce niveau.

· L’implication des dirigeants est cruciale. Bien que les personnes en charge de l’informatique et de la sécurité au sein de l’entreprise soient les mieux placées pour développer le plan stratégique de sécurité, il est essentiel d’impliquer les personnes qui comprennent le mieux l’activité de l’entreprise et les données utilisées. Aussi, l’implication des dirigeants est cruciale pour montrer l’importance de la sécurité dans l’entreprise.

· Tester rapidement, souvent et apporter les ajustements nécessaires. L’étude révèle que 29 % des entreprises dans la catégorie « conformes » ne testent jamais leur façon de réagir face à un incident. Qui plus est, le fait que 79 % des entreprises interrogées aient déjà connu des incidents de sécurité l’an passé, indique qu’il y a des faiblesses dans les plans de sécurité.

· Utiliser les allocations budgétaires à bon escient. Les entreprises dans la catégorie « optimisées » ont réussi à trouver des moyens d’atteindre le plus haut degré de performance avec le même niveau de financement (en termes de pourcentage) que les entreprises qui sont moins prudentes avec leurs budgets.

· Utiliser les bons outils pour les menaces actuelles. L’enquête montre que 45 % des entreprises n’ont pas déployé la dernière génération de pare-feu. La sécurité des mobiles est également un domaine qui ne devrait pas être ignoré, pourtant 25 % des entreprises ne sont pas encore équipées pour faire face à ce problème.

· Mettre l’accent sur la protection de la « force vitale » de la société. Les priorités pour l’année 2012 incluent la mise en œuvre de contrôles plus stricts pour protéger les données sensibles et assurer la continuité des activités. Les autres priorités sont toutes destinées à améliorer la sécurité globale de chaque entreprise.