Articles

Etude mondiale de PwC sur la sécurité de l’information et la protection des données

Neuilly-sur-Seine, le 18 mars 2013

Alors que 71% des entreprises affirment avoir toute confiance dans leur système de sécurité de l’information, seules 8% d’entre elles disposent d’une organisation adaptée aux nouvelles menaces informatiques.

Selon la 15ème étude « Global State of Information Security Survey 2013 » de PwC et CIO Magazine, la sécurité de l’information reste un enjeu majeur pour les entreprises à travers le monde. Les cyberattaques sont même plus redoutées par les dirigeants que l’éclatement de la zone euro ou les catastrophes naturelles.

2012 a ainsi vu s’accroître le nombre d’incidents dans ce domaine. 27% des dirigeants interrogés en France affirment avoir connu plus de 10 incidents de sécurité l’an passé, contre 21% en 2011. Au total, 62% des répondants français déclarent avoir connu au moins un incident de sécurité en 2012.

Avec l’émergence de nouvelles technologies, les menaces liées à la sécurité de l’information ne cessent de croître. PwC estime à 500 milliards de dollars la fourchette basse des dépenses mondiales de sécurité dans le monde. Si les budgets des entreprises françaises sont en hausse – 45% des entreprises françaises prévoient d’augmenter leurs dépenses en sécurité de l’information (vs 41% en 2011), ils ne permettent pas de proposer une réponse adaptée à ces nouvelles menaces informatiques.

Les nouvelles technologies augmentent les risques à gérer pour les entreprises…

Cloud computing, réseaux sociaux, 3G, appareils mobiles… Les nouveaux outils technologiques se sont multipliés et complexifiés lors de ces dernières années. En effet, entre 2007 et 2011, Facebook a multiplié par 115% son nombre d’utilisateurs, quand Twitter l’a vu croître de 151% sur la même période. Le cloud computing devrait continuer sa progression : le marché global du Cloud computing sera 20 fois plus important en 2020 qu’en 2008.

Avec ces nouvelles pratiques, deux nouveaux risques émergent pour les entreprises, notamment le Bring Your Own Device (BYOD), qui consiste pour les salariés à utiliser leurs outils personnels au travail, et les réseaux sociaux, sur lesquels de plus en plus de collaborateurs postent des informations concernant leur entreprise.

Et parmi les menaces les plus redoutées des dirigeants, les cyberattaques sont considérées comme le troisième scénario ayant le plus d’impact sur leur organisation, bien avant le potentiel éclatement de la zone euro ou une catastrophe naturelle, selon l’étude annuelle de PwC « CEO Survey » lancée à Davos.

[…]

Retrouvez ce communiqué de presse de PWC en entier [ici] et l’étude « Global State of Information Security Survey 2013 » [ici]

Les internautes prennent conscience de la valeur des données numériques

Une enquête mondiale menée par F-Secure auprès d’abonnés à l’internet haut débit démontre leurs préoccupations relatives aux problèmes de sécurité, de confidentialité, au stockage et au partage des contenus numériques.

Les résultats reflètent l’évolution du paysage numérique marquée par l’utilisation de plusieurs appareils pour accéder à l’Internet ainsi que l’explosion dans le contenu généré par l’utilisateur.

« La protection contre les virus, les logiciels malveillants et autres menaces en ligne est plus important que jamais. Ce qui est nouveau, c’est que les consommateurs cherchent également des moyens sûrs pour stocker et synchroniser leurs nombreux appareils. Il est également important de partager le contenu en ligne n’importe où et n’importe quand !» selon Samu Konttinen responsable Customer and Market Operations pour F-Secure.

La plupart des répondants (76%) sont préoccupés par la protection de leur vie privée lorsqu’ils partagent des choses sur les plateformes sociales. Lorsqu’on interroge les utilisateurs sur les réseaux sociaux et les plateformes de stockage dans les nuages, 70% exprime une grande préoccupation quant à l’accès au contenu (mails, documents, photos, vidéos…). Notons que 43% estiment perdre le contrôle de leurs données.

Cette nouvelle façon de stocker les données permet néanmoins faire évoluer les consciences puisque 77% des personnes estiment que le contenu est plus important que l’appareil lui-même. Il est intéressant de souligner qu’il n’y a pas si longtemps, la majorité des personnes voyait le matériel comme l’élément le plus important de l’informatique. Ceci est vrai notamment dans le monde de l’entreprise où l’on pensait souvent que le coût principal lors de la perte d’un ordinateur était celui du matériel en lui-même. Les données contenues dans ce dernier n’étaient que secondaires.

[Source]

Cloud computing : les conseils de la CNIL

Fin 2011, la CNIL avait lancé une consultation auprès des professionnels afin de recueillir des points de vue, des retours d’expériences et des recommandations relatifs au Cloud Computing. Les contributions auront permis de synthétiser les solutions techniques et juridiques afin qu’un haut niveau de protection des données soit garanti.

La CNIL a établi les recommandations suivantes afin d’aider les entreprises françaises, notamment les PME, à effectuer une prise de décision éclairée lorsqu’elles envisagent d’avoir recours à des prestations de services de Cloud Computing. Ces recommandations indicatives sont principalement basées sur une analyse de risques réalisée au préalable par les clients et des engagements de transparence des prestataires vis-à-vis de leurs clients qui doivent être formalisés dans les contrats de prestation de services.

La CNIL émet les 7 recommandations suivantes :

  1. Identifier clairement les données et les traitements qui passeront dans le Cloud
  2. Définir ses propres exigences de sécurité technique et juridique
  3. Conduire une analyse de risques afin d’identifier les mesures de sécurité essentielles pour l’entreprise
  4. Identifier le type de Cloud pertinent pour le traitement envisagé
  5. Choisir un prestataire présentant des garanties suffisantes
  6. Revoir la politique de sécurité interne
  7. Surveiller les évolutions dans le temps

La CNIL propose des modèles de clauses contractuelles, en annexe du document, en reprenant les éléments essentiels pouvant être insérés dans les contrats de prestations de services de Cloud Computing.

 

Retrouvez les recommandations de la CNIL [ici] et la synthèse des réponses à la consultation publique [ici]

[Source]

Cloud Computing : les PME françaises veulent de la fiabilité et de la sécurité

Afin de mieux cerner les attentes des PME à l’égard du cloud computing, axe stratégique de développement pour SFR, SFR Business Team a confié à Ipsos la réalisation d’une étude dédiée à cette thématique. Menée en mars dernier auprès d’un échantillon de 301 PME, l’étude met en lumière les freins et les motivations des PME à se lancer vers le nuage. Elle révèle que les enjeux de sécurité, de fiabilité et de flexibilité sont en effet au cœur des préoccupations des décideurs. L’évolution des usages et des attentes des collaborateurs, de plus en plus mobiles et multi équipés, apparaît comme un facteur favorisant le passage vers le nuage. Si la majorité des décideurs ne sont pas encore convaincus des avantages du cloud computing, les PME plébiscitent les opérateurs télécoms pour les accompagner dans cette révolution numérique.

Les PME expriment une forte attente en termes de fiabilité, de sécurité, de flexibilité et de maîtrise technologique

Les préoccupations des PME vis-à-vis du cloud computing portent sur des aspects technologiques :

  • 58% des décideurs interrogés citent la fiabilité du réseau et la fiabilité du service,
  • 47% des décideurs la sécurité et la confidentialité de l’accès au réseau,
  • 28% des décideurs la disponibilité et la réactivité de l’hébergeur.

L’enquête souligne également le manque de motivation technique et la crainte de ne pas maîtriser le processus. Ainsi, pour les décideurs non convaincus, les attentes les plus spécifiques à l’égard du cloud sont de répondre rapidement à un besoin opérationnel interne (17%), de bénéficier d’équipes de maintenance disponibles et réactives (32%), de stocker les données en France (10%) et d’avoir la possibilité de migrer vers d’autres solutions le cas échéant, c’est-à-dire la réversibilité (12%).

L’enjeu de la mobilité, à travers l’ATAWAD (Anytime, Anywhere, Any device), favorise la transition vers le cloud computing

Les décideurs convaincus des avantages du cloud computing indiquent que leur enjeu prioritaire est bien souvent l’ATAWAD (Anytime, Anywhere, Any device) (34%). Le développement de la connexion des salariés en tout temps, en tous lieux et sur tous les terminaux entraîne un besoin croissant de sécurité des flux et des données stockées par les différents terminaux. Ainsi, l’ATAWAD est considéré par 38% des décideurs informatiques et télécoms comme une illustration majeure de la révolution numérique. 31% d’entre eux évoquent la sécurité et la maîtrise des données stockées et traitées par l’entreprise et 27% la virtualisation des serveurs et des applications.

Les PME ne perçoivent pas toujours nettement le lien entre cloud computing et maîtrise des coûts

Pour 81% des décideurs, la révolution numérique peut apporter plus d’efficacité dans l’entreprise. A leurs yeux, elle doit se traduire par une rationalisation des coûts et une meilleure adaptation des ressources aux fluctuations d’activité de l’entreprise. Le cloud computing procure des avantages en termes de rationalisation de coûts qu’attendent les décideurs SI de la révolution numérique. Or, seuls 11% des décideurs interrogés ont cité le cloud computing comme moyen de consommer des ressources et des applications parmi les meilleures illustrations de la révolution numérique, alors que 74% d’entre eux aspirent à diminuer les coûts de fonctionnement du système d’information en payant à l’usage.

Les opérateurs télécoms sont les plus légitimes pour accompagner les PME dans la révolution numérique

44% des décideurs interrogés accordent aux opérateurs télécoms la plus grande légitimité pour les accompagner, devant les SSII et sociétés d’infogérance (citées par 33% des décideurs) et les éditeurs de logiciels (cités par 24% d’entre eux). Ce résultat démontre l’importance de la fiabilité et de la criticité des réseaux pour les PME. La sécurité des données, la continuité et la qualité de service sont perçues comme les conditions nécessaires au succès d’un projet de migration.

Cette étude conforte ainsi l’investissement et l’approche de SFR Business Team dans le cloud computing. Fort de son partenariat récent avec HP, SFR est en mesure de répondre aux attentes des PME, en particulier la nécessité de les accompagner dans cette évolution sur un plan technologique et sur un plan pédagogique.
SFR Business Team, 2e opérateur français sur le marché des entreprises, peut leur permettre de tirer parti de la révolution numérique en proposant le « cloud maîtrisé » avec un engagement de qualité de service de bout-en-bout. Ainsi, SFR répond efficacement à leurs problématiques avec :

  • Des solutions adaptées d’infrastructure (Suite Infrastructure cloud) et de logiciels (SaaS), basées sur le réseau maîtrisé de bout-en-bout et les six data centers situés en France, pour répondre aux besoins de sécurité, de fiabilité et de maîtrise ;
  • Un accompagnement grâce à la force de vente commune SFR-HP pour donner plus d’informations concernant l’impact du cloud computing sur le coût de fonctionnement de leur système d’information et les bénéfices métiers qu’elles peuvent en attendre.

L’étude « Les PME et le cloud computing » a été réalisée, par téléphone du 16 au 30 mars 2012, auprès d’un échantillon de décideurs informatiques et télécoms de 301 entreprises, de 20 à 499 salariés, répartis sur toute la France, représentatif par taille et secteur d’activité.

Retrouvez le communiqué de presse [ici] et le rapport de l’étude [ici]

Le Cloud Computing : trop risqué pour y mettre n’importe quoi

Malgré l’enthousiasme apparent autour du Cloud Computing, une enquête de Wisegate a révélé que plus de 50% des personnes pensent que le Cloud est trop risqué pour l’instant et que ce concept ne convient que pour des applications de base telles que l’email ou le CRM.

Lorsqu’il a été demandé aux responsables informatiques évoluant dans les secteurs des services financiers, des soins de santé, des produits de consommation, de l’automobile ou encore dans des organismes gouvernementaux, s’ils comptaient déplacer leurs données sensibles dans le Cloud public, 53% ont répondu que cela était trop risqué et qu’ils n’avaient pas l’intention de le faire dans le long terme.

Beaucoup ont déclaré que la réglementation gouvernementale ou  industrielle (Sarbanes-Oxley, HIPAA…) les a empêchés d’adopter des applications basées sur le Cloud.

Seulement 16% des répondants ont dit qu’ils allaient se tourner vers le Cloud en soulignant toutefois qu’ils auront besoin d’un contrat détaillé avec la définition d’un niveau de qualité de service (document SLA). Pour le quart des responsables informatiques, des plans à court terme sont prévus bien que leurs entreprises aient des inquiétudes vis-à-vis de la « délocalisation » des données.

Le sentiment général qui ressort des autres questions de l’étude est que la sécurité  demeure la préoccupation majeure dans l’adoption du Cloud. Toutefois, pour les organismes qui y mettent des applications comme le courrier électronique, il y a un minimum de précaution à prendre : comme par exemple veiller à ce que les clauses de SLA avec le prestataire couvrent la connectivité, le temps de réponse, la disponibilité et la résolution de problème ou encore s’assurer de la cohérence du plan de reprise d’activité en cas de sinistre chez l’hébergeur d’applications.

Retrouvez l’étude complète [ici]

Le nouveau guide de l’ENISA sur le contrôle des contrats des services de Cloud Computing

L’achat de services de cloud computing (stockage de données à distance) représente une tâche de plus en plus importante pour les gouvernements et les entreprises de l’UE.

La sécurité des informations est particulièrement problématique. Pour aider à résoudre ce problème, l’agence européenne de cyber sécurité, ENISA, lance aujourd’hui un nouveau guide pratique pour les équipes responsables des achats informatiques. Ce guide met l’accent sur le contrôle continu de la sécurité pendant toute la durée des contrats portant sur les services de cloud computing.

Cette publication s’appuie sur le travail de fond effectué par l’ENISA à partir de 2009, date à laquelle l’agence a produit une structure de garantie et une boite a outils pour que les équipes informatiques puissent évaluer la fiabilité des fournisseurs de services avant de décider d’utiliser ou non les services en cloud. L’ENISA franchit une nouvelle étape avec ce guide de suivi qui détaille comment contrôler la sécurité des services de cloud pendant toute la durée d’un contrat. Le nouveau guide se concentre sur les contrats publics qui représentent presque 20% du produit intérieur brut européen et environ 2.2 milliards de milliards d’euros (Eurostat 2009)

Le Directeur général d’ENISA, le professeur Udo Helmbrecht déclare : « Les citoyens européens font confiance aux institutions publiques et privées pour protéger leurs données. Avec de plus en plus d’organisations choisissant de travailler avec des services de cloud computing, le nouveau guide produit par l’ENISA arrive à temps pour donner des indications concernant un secteur complètement nouveau pour beaucoup d’acheteurs. »

Une récente étude d’ENISA sur les accords de prestation de services (SLA) a montré que beaucoup de responsables informatiques et réseaux travaillant pour des organisations publiques ne reçoivent presque jamais de directives à propos des facteurs de sécurité les plus importants comme la disponibilité des services ou la vulnérabilité des logiciels. Le guide ‘Acheter de façon sécurisée’ aide les consommateurs à préparer le contrôle continu de la sécurité des données. « Le guide ENISA souligne l’importance du contrôle continue de la sécurité en plus des processus de certification et d’accréditation » déclare Giles Hogben, rédacteur du rapport.

Le guide ENISA comprend une liste de contrôles pour les équipes d’achat et une description détaillée de chaque paramètre de sécurité, ce qu’il faut mesurer et comment le mesurer. Les paramètres de sécurité considérés sont les suivants : la disponibilité du service, la réponse aux incidents, l’élasticité du service et la tolérance de téléchargement ; la gestion du cycle de vie des données ; la conformité technique et la gestion de la vulnérabilité ; la gestion du changement ; l’isolation des données ; et la gestion de la connexion et l’expertise judiciaire en informatique.

Ce guide vient compléter un certain nombre de papiers publiés par ENISA sur le stockage des données via le cloud, parmi lesquels un rapport qui a été publié en 2009 et qui a connu beaucoup de succès : Cloud Computing : Avantages, Risques et Recommandations pour la Sécurité de l’Information.

Le rapport sera présenté en détails à la SecureCloud 2012, la seule conférence européenne sur la sécurité et le cloud computing.

Retrouvez le communiqué de presse d’origine [ici] et le guide « Procure Secure » [ici]