Data Security Survey : Manque d’information sur la sécurité informatique

Dell annonce les conclusions de la première édition de son étude Dell Data Security Survey, dont il ressort que même si les membres de la direction mesurent les avantages d’une politique de sécurité, les entreprises peinent encore à développer des programmes cohérents, intégrant les stratégies de sécurité, sans pénaliser d’autres initiatives métier.

Malgré les outils en place pour satisfaire les besoins de sécurité, les décideurs métier et IT peinent en effet à mettre en œuvre ou à étendre des programmes fondés sur ces technologies. De plus, il s’avère que les questions autour de la sécurité freinent également l’adoption du Cloud, et ralentissent le déploiement de solutions de mobilité au service des organisations.

La sécurité des données, une priorité des hauts dirigeants, qui se disent préoccupés par la capacité à se protéger des menaces  
Si les hauts dirigeants sont plus impliqués dans la sécurité des données que par le passé, les équipes IT ont le sentiment que leurs supérieurs ne leur allouent ni les ressources, ni l’énergie nécessaire pour traiter les problématiques qui se posent réellement.

Près de trois décideurs sur quatre reconnaissent que la sécurité est une priorité pour la direction de leur organisation ; un sur quatre estime néanmoins que la direction n’est pas suffisamment au fait des problèmes relatifs à cette notion de sécurité. Trois décideurs sur quatre déclarent que leur direction prévoit de renforcer les mesures de sécurité en place, et ils sont plus de la moitié à espérer que les budgets sécurité seront augmentés au cours des cinq prochaines années. La question du coût reste un critère clé quand il s’agit de renforcer les programmes existants, avec 53% des répondants qui évoquent des contraintes financières pour expliquer l’absence de développement des mesures de sécurité à l’avenir. Un décideur sur quatre seulement se dit très confiant dans la capacité de sa direction à prévoir un budget suffisant pour les solutions de sécurité des données au cours des cinq ans à venir.

« Ces conclusions appellent à un engagement accru des hauts dirigeants en faveur de l’intégration des stratégies de sécurité des données dans la conduite des opérations », déclare Steve Lalla, vice-président en charge des logiciels et solutions pour clients professionnels, Dell. « Ils comprennent la nécessité d’investir dans leur infrastructure de sécurité, mais sans que cela n’aboutisse pour autant à la modernisation ou à l’extension des systèmes en place pour mieux se protéger contre les nouveaux types d’attaques. »

Malgré le soutien plus actif de la direction, les services IT ont besoin d’être épaulés pour réussir l’intégration de règles et de mesures de sécurité
Le rapport établit que des investissements insuffisants dans des technologies éprouvées, ajoutés à une pénurie de talents, entravent l’application de programmes de sécurité des données réellement optimisés.

La majorité des décideurs (58%) pense que leur organisation souffre d’une pénurie de professionnels de la sécurité correctement formés. 69% des décideurs considèrent toujours la sécurité des données comme une perte de temps et d’argent. Mais près de la moitié (49%) des sondés estiment qu’ils devront consacrer plus de temps à protéger leurs données au cours des cinq prochaines années. 76% estiment que leurs solutions leur sembleraient moins pesantes et laborieuses s’ils pouvaient tout concentrer auprès d’un fournisseur unique.

« Il ressort de cette étude que les services IT des entreprises déplorent les contraintes de coûts et de temps qui accompagnent traditionnellement les solutions tactiques », ajoute Steve Lalla. « Il n’est pas du tout efficace, quand on doit administrer les centaines ou les milliers de postes de travail de salariés, de devoir intervenir sur chacun séparément via plusieurs consoles. Sans compter que le risque de conflit ou d’incompatibilité est grand. Dans ces cas-là, il est vivement recommandé de se doter d’une suite intégrée d’administration IT. »

Les malwares et autres techniques d’attaques continuent de préoccuper les décideurs IT et métier
Les sondés se disent extrêmement préoccupés par les malwares, même en étant majoritairement équipés de solutions anti-malwares. Près de trois décideurs sur quatre (73%) craignent les malwares et les menaces persistantes avancées. Les préoccupations vis-à-vis des malwares sont les plus fortes aux Etats-Unis (31% très préoccupés), en France (31% très préoccupés) et surtout en Inde (56% très préoccupés) ; alors qu’elles sont moindres en Allemagne (11% très préoccupés) et au Japon (12% très préoccupés). Un sondé sur cinq seulement prétend avoir entière confiance dans la capacité de son entreprise à se protéger contre les attaques de malwares sophistiquées. Les sondés craignent les attaques de harponnage de type « spear phishing » (73% très préoccupés) plus qu’aucune autre méthode. « Le fait que les décideurs IT et métier n’aient pas confiance dans leur défense anti-malware s’explique peut-être par l’utilisation d’outils obsolètes ou inefficaces », commente Brett Hansen, directeur exécutif de la division Data Security Solutions de Dell. « Quand des équipes IT n’ont pas les ressources nécessaires pour adopter une protection proactive contre les menaces et se tenir à jour des nouvelles menaces qui émergent, leur défense se cantonne nécessairement à la détection des menaces et aux interventions de dépannage. »

Les employeurs en viennent à vouloir limiter la mobilité pour protéger les données

Tout le monde pense que les services internes des entreprises deviennent tous plus mobiles, or ce rapport nous apprend que les choses sont en réalité plus compliquées.

La majorité des entreprises de taille moyenne (65%) diffère leurs projets de mobilité des équipes pour des questions de sécurité, et 67% hésitent même à adopter les pratiques BYOD (bring-your-own-device). Alors que 82% des décideurs s’efforcent de limiter les points d’accès aux données pour renforcer la sécurité, 72% estiment que c’est en sachant d’où provient l’accès aux données qu’ils pourront renforcer l’efficacité des mesures de protection. 69% des sondés envisagent toujours de sacrifier les terminaux individuels pour mieux protéger leurs données des risques de compromission, or 57% se disent toujours préoccupés par la qualité du chiffrement dans leur entreprise. Deux sondés sur cinq sont enthousiastes vis-à-vis des gains de productivité d’une plus grande mobilité des équipes, en dehors des considérations de sécurité.

« Quand des organisations se désengagent des programmes de mobilité à la sécurité encadrée, elles s’exposent à d’autres risques », déclare Brett Hansen. « Les aspects de mobilité et de sécurité peuvent tout à fait coexister grâce aux technologies modernes de sécurité des données qui ont recours à des algorithmes de chiffrement intelligent pour protéger les données en toutes circonstances, en transit comme au repos. »

Les sondés se méfient des plateformes de cloud public
L’utilisation croissante des services de cloud public comme Box et Google Drive par les salariés amène les décideurs à douter de leur capacité à contrôler les risques que posent ces applications. Quatre sondés sur cinq hésitent à télécharger des données d’importance stratégique dans le cloud et 58% sont plus inquiets aujourd’hui qu’il y a un an. 38% des décideurs restreignent l’accès aux sites de cloud public dans leur organisation pour des questions de sécurité. 57% des décideurs qui autorisent l’utilisation du cloud et 45% de ceux qui prévoient d’autoriser l’utilisation des plateformes de cloud public attendront des fournisseurs de services cloud qu’ils assument les responsabilités liées à la sécurité. Une organisation sur trois seulement cite l’amélioration de la sécurité des accès aux environnements de cloud public comme une priorité concernant leur infrastructure de sécurité, alors que 83% des organisations reconnaissent que leurs salariés utilisent ou utiliseront les environnements de cloud public pour partager et stocker leurs données professionnelles.

« Les programmes de sécurité doivent permettre aux salariés d’être productifs en toute sécurité, ce qui suppose de les équiper d’outils et de technologies qui les aident dans leur travail », conclut Brett Hansen. « Les entreprises peuvent tenter de limiter ou d’interdire l’utilisation du cloud public, mais elles ont plutôt intérêt à utiliser des solutions de chiffrement intelligent, capables de protéger leurs données confidentielles où qu’elles aillent, et qui décourageront les salariés de vouloir contourner les règles qu’ils jugent trop restrictives. »