L'IT, partenaire du Business - ITnation
L'IT, partenaire du Business - ITnation
L'IT, partenaire du Business - ITnation
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
BUSINESS DECISION MAKER<br />
ACTUAL-IT<br />
Sécurité<br />
Pleins feux<br />
sur la sécurité<br />
Telin<strong>du</strong>s a présenté les résultats de son étude sur l’état<br />
de la sécurité de l’information au Luxembourg.<br />
Première étude sur la sécurité exclusivement dédiée au Grand-Duché de<br />
Luxembourg, ‘Benchmark 2007’ analyse l’état de la sécurité de l’information au<br />
sein de 51 banques et sociétés d’assurances. Lancée l’été dernier par Telin<strong>du</strong>s<br />
PSF, l’étude s’adressait à plusieurs domaines de sécurité : physique, business<br />
continuity, conformité, standardisation, responsabilisation, etc.<br />
Avec cette première étude, Telin<strong>du</strong>s PSF veut<br />
ainsi donner un angle local à la problématique<br />
de la sécurité et fournir des résultats utiles aux<br />
institutions publiques et aux responsables de la<br />
sécurité des systèmes d’information (RSSI). La<br />
société a également souhaité mettre l’accent<br />
sur la confidentialité des données. Ainsi, les<br />
réponses furent utilisées avec la confidentialité<br />
la plus complète, sans identifier directement<br />
ou indirectement les participants. Un élément<br />
important à prendre en compte alors que 80%<br />
des répondants de l’étude représentent le secteur<br />
bancaire, contre 20% pour les sociétés<br />
d’assurances, et que les RSSI doivent évaluer<br />
la sécurité de leurs systèmes…<br />
Lors de l’évaluation <strong>du</strong> degré de protection<br />
en termes de sécurité d’information, les RSSI<br />
ont répon<strong>du</strong> : très bonne (20%), bonne ou<br />
relativement bonne (75%) et mauvaise ou<br />
insuffisante (5%). En termes de budget alloué<br />
à la sécurité de l’information, 20% des répondants<br />
prédisent une augmentation majeure<br />
dans l’année à venir, 31% une augmentation,<br />
41% que cela restera constant et 8% n’ont<br />
donné aucune réponse. Plus précisément,<br />
alors que les banques répondent en majorité<br />
(55%) que les investissements seront<br />
constants, les sociétés d’assurance y voient<br />
une augmentation très importante (38%) ou<br />
importante (46%). Seules 8% prédisent un<br />
investissement semblable à l’année précédente,<br />
ce qui in<strong>du</strong>it une focalisation accrue<br />
pour ces sociétés. Enfin, 72% des répondants<br />
on un plan de business continuity en<br />
place et formalisé, tandis que 20% sont en<br />
cours, et 8% n’ont encore défini aucune stratégie<br />
en la matière.<br />
RôLE(S) DU RSSI<br />
De manière générale, les répondants estiment<br />
que le rôle <strong>du</strong> RSSI est bien défini et<br />
chapeaute même d’autres fonctions (32%).<br />
Cependant, 10% d’entre eux pensent que<br />
la responsabilisation <strong>du</strong> RSSI n’est pas<br />
assez claire tandis que 8% déclarent que<br />
cette problématique est en cours de résolution.<br />
Le RSSI peut aussi prendre en charge<br />
d’autres fonctions, telles que l’IT, le risque<br />
opérationnel, la sécurité physique, l’audit et<br />
le management. En matière de risques, 15%<br />
des répondants estiment que le risk assessment<br />
est fait en fonction d’une méthodologie<br />
reconnue, tandis que dans 65% des cas, la<br />
méthode est inhouse. Dans 20% des cas, le<br />
risk assessment n’est soit pas encore défini,<br />
soit pas encore en projet.<br />
LA CERTIFICATION,<br />
NON PRIORITAIRE<br />
Telin<strong>du</strong>s PSF a également comparé les<br />
systèmes d’information <strong>du</strong> secteur des bancassurances<br />
luxembourgeois aux standards<br />
internationaux ISO/IEC 27002 :2005.<br />
Selon l’étude de Telin<strong>du</strong>s, 65% des répondants<br />
sont familiers avec ces standards,<br />
tandis qu’environ un tiers des personnes les<br />
connaissent peu ou pas <strong>du</strong> tout. Alors que<br />
45% des sociétés sont en train d’implémenter<br />
les recommandations émises par ces<br />
standards, environ 55% ne comptent pas les<br />
développer, ou les ignorent. Enfin, seuls 10%<br />
des répondants vont suivre cette standardisation<br />
jusqu’à obtenir la certification.<br />
//// Priorités pour<br />
l’année 2008 ////<br />
1. Data confidentiality<br />
2. a. Awareness-raising<br />
and training of the personnel<br />
b. Data backup<br />
c. Disaster recovery<br />
and business continuity plan<br />
3. Information security policy<br />
4. Network and remote<br />
access protection<br />
5. Analysis of risks<br />
6. Compliance with legal<br />
and regulatory aspects<br />
7. a. Physical protection<br />
of equipment and data<br />
b. Rights, access and privilege control<br />
8. Identification and classification<br />
of assets and definition<br />
of responsibilities<br />
9. Information system monitoring,<br />
incident detection and response<br />
10. Protection against viruses,<br />
malware, spyware and spam<br />
juin 08 73