La sécurisation des mobiles vient au premier rang des préoccupations des RSSI avec un quart des entreprises ayant lancé un projet dans les 12 derniers mois.
Chacun voit midi à sa porte. La formule s’applique bien à la sécurité et aux préoccupations respectives des dirigeants d’entreprise : le Pdg s’inquiète de la réputation de son entreprise et de sa marque, le directeur général se concentre sur les opérations, le directeur financier est plus attentif aux pertes financières. Pour ce qui le concerne, le DSI doit faire face à tous les problèmes et couvrir toutes les questions, à l’exception des pertes financières qui ne semblent pas retenir un quelconque intérêt de sa part. Tel est l’état des préoccupations des dirigeants des entreprises brossées à grands traits par l’édition 2013 du rapport sur la sécurité que vient de publier IBM (2013 IBM Chief Information Security Officer Assessment).
Sans grande surprise, la mobilité et le fameux BYOD (Bring Your Own Device) ont fait irruption dans les radars et ont alimenté les nouveaux projets. Sur les 14 technologies listées, c’est la sécurité des mobiles qui retient la plus grande attention. Et l’actualité récente sur les écoutes de portables de plusieurs dirigeants de pays par la NSA ne pourra que renforcer cette inquiétude. Un quart des RSSI interrogés indiquent avoir déployé un système de protection des mobiles dans les 12 derniers mois.
Dans ce domaine, 2 projets se détachent du lot, d’abord la mise en place d’une fonction de sécurité sur les mobiles et ensuite la supervision de la flotte via le réseau. Viennent ensuite la diffusion des bonnes pratiques en matière d’utilisation des mobiles et l’isolation des apps et le chiffrement des données sensibles. Mais, on le sait que trop, les utilisateurs sont trop souvent le maillon faible de toute politique de sécurité et le défi actuel des RSSI est d’aller au-delà de la simple utilisation de technologies et de mettre en œuvre une véritable politique de sécurité des mobiles qui passe par une sensibilisation des utilisateurs. Seulement 40 % des RSSI ont défini une stratégie globale face au phénomène du BYOD.
On ne connait que ce qu’on mesure dit-on couramment. Sur ce point, les RSSI ont, dans leur grande majorité, défini des indicateurs qui leur permettent de suivre le niveau de sécurité de leur entreprise : nombre d’incidents, données perdues ou volées, terminaux perdus ou volées, manquement aux règles… Ces indicateurs servent le plus souvent à construire les budgets et définir les investissements en matière de technologies. Dans certains cas, ils sont utilisés pour orienter les priorités stratégiques en matière de sécurité. Mais le plus souvent, ces indicateurs restent circonscrits au niveau opétationnel. Et très peu de responsables interrogées font un lien entre ces métriques et les processus de gestion du risque alors même que les RSSI admettent volontiers que l’impact de la sécurité est l’élément le plus important dans la gestion des risques.
puis