Deloitte

Deloitte

22 juin 2005 09h19 HE

Deloitte: Un sondage mondial sur la sécurité révèle que les attaques internes des systèmes informatiques sont plus nombreuses que les attaques externes...

MONTREAL, QUEBEC--(CCNMatthews - 22 juin 2005) -

Un sondage mondial sur la sécurité révèle que les attaques internes des systèmes informatiques sont plus nombreuses que les attaques externes dans les plus importantes institutions financières du monde

La moitié des répondants canadiens ont été victimes d'un bris de la sécurité

Les attaques internes des systèmes informatiques dépassent en importance les attaques externes dans les plus importantes institutions financières du monde. C'est ce que révèle le sondage mondial sur la sécurité 2005 publié aujourd'hui par les praticiens des sociétés membres du secteur des Services financiers de Deloitte Touche Tohmatsu (DTT). Trente-cinq pour cent des répondants ont confirmé avoir subi des attaques de l'intérieur au cours des 12 derniers mois (hausse de 14 % par rapport à 2004), comparativement aux 26 % des répondants, qui ont été l'objet d'attaques de sources externes (hausse de 23 % par rapport à 2004). Le troisième sondage annuel sur la sécurité constitue une mesure internationale de l'état de la sécurité informatique dans le secteur financier. Il a été effectué à l'aide d'entrevues avec les dirigeants de services de sécurité des 100 institutions financières les plus importantes du monde.

L'hameçonnage et le détournement de données (leurrer les gens pour les amener à divulguer des renseignements sensibles en utilisant des adresses de courriel et des sites Web fictifs) se sont ajoutés l'an dernier aux principales menaces à la sécurité que doivent affronter les institutions financières. Ces procédés ont montré que le facteur humain représente un nouveau maillon faible dans la chaîne de la sécurité. Le déplacement de la tendance des attaques externes vers les attaques internes et les tactiques qui exploitent le comportement humain plutôt que les failles technologiques s'expliquent par la meilleure utilisation des techniques de sécurité informatique, et notamment par le recours accru aux solutions antivirus (98 % contre 87 % en 2004), aux réseaux privés virtuels (79 % contre 75 %) et au filtrage et à la surveillance du contenu (76 % contre 60 % en 2004).

"Les institutions financières ont fait de grands progrès dans la mise en oeuvre de solutions technologiques qui les protègent contre les menaces externes directes. Toutefois, l'intensification et le raffinement accru des attaques qui ciblent les clients et des attaques internes sont le signe que nous faisons face à une nouvelle menace", explique Marcel Labelle, associé responsable des Services en sécurité de l'information chez Deloitte. "Une robuste authentification des clients, de la formation et une meilleure sensibilisation pourront grandement contribuer à combler cette lacune."

Par ailleurs, comme le démontrent les résultats du sondage, la formation à la sécurité et la sensibilisation ne reçoivent pas encore une grande attention de la part des responsables de la sécurité informatique. Ainsi, moins de la moitié (46 %) des répondants ont des initiatives de formation et de sensibilisation à leur programme des 12 prochains mois.

La formation et la sensibilisation demeurent à la fin de la liste des initiatives en matière de sécurité, loin derrière la conformité à la réglementation (74 %) et la production de rapports et les mesures (61 %). En outre, ces résultats cadrent bien avec les plans d'investissement futurs en sécurité des institutions financières, où les fonds sont pour la plupart destinés aux dispositifs de sécurité (64 %), la sensibilisation et la formation des employés récoltant seulement 15 %. Les institutions financières dotées de plans de sensibilisation à la sécurité des clients sont très peu nombreuses.

"Afin de réduire au maximum le facteur de risque humain, les institutions financières ont privilégié les solutions intégrées, ajoute Marcel Labelle. Compte tenu de la progression des menaces comme le vol d'identité, l'hameçonnage et le détournement de données, les entreprises devraient mettre en oeuvre des solutions de gestion de l'identité comprenant la gestion de l'accès, de la vulnérabilité, des corrections et des incidents compromettant la sécurité. Il faudrait que la formation en sécurité et la sensibilisation complètent ces solutions si les institutions financières veulent réduire au maximum le nombre de menaces liées au comportement humain."

Faits saillants canadiens

La moitié des répondants canadiens ont reconnu avoir été victimes d'un bris de sécurité sous une forme ou sous une autre. A l'inverse, comme la conformité à la Loi sur la protection des renseignements personnels et à la Loi Sarbanes-Oxley stimule les initiatives en matière de réglementation au Canada, la majorité des répondants (78 %) ont indiqué qu'ils pouvaient compter sur l'engagement de la direction et un financement permettant de répondre à ces exigences.

Autres constatations importantes du sondage

- Tandis que près de la moitié (48 %) des répondants considèrent que le manque de sensibilisation des employés constitue un de leurs plus grands problèmes, les mesures relatives à la formation en sécurité et à la sensibilisation mises en place dans les 12 derniers mois ont diminué, passant de 77 % au sondage précédent à 65 % cette année.

- Près des trois quarts (74 %) des répondants ont choisi d'impartir au moins une fonction informatique, mais 27 % d'entre eux ne procèdent à aucune évaluation régulière du sous-traitant pour ce qui est de la conformité aux exigences en matière de sécurité.

- Tandis que 86 % des entreprises comptant dans leurs rangs un responsable de la sécurité informatique indiquent que cette personne relève directement du conseil d'administration ou de la haute direction, seulement un tiers des entreprises sondées sentent que la sécurité est parallèlement reconnue comme un élément essentiel de l'entreprise.

- Les répondants (56 %) placent les calendriers et les budgets irréalistes en tête de liste des raisons courantes qui expliquent l'échec des projets de sécurité. Suivent les problèmes d'intégration attribuables à une conception et une architecture initiales médiocres (48 %) et le manque de soutien des propriétaires de l'entreprise (34 %).

Méthodologie

Les praticiens des sociétés membres du secteur des Services financiers de DTT ont effectué le sondage, mené sous forme d'entrevues individuelles et de questionnaires en ligne, auprès de dirigeants de services informatiques (chef de la sécurité informatique, chef des services informatiques, équipe de gestion de la sécurité, etc.) de plusieurs des 100 services financiers les plus importants du monde. Les questions portaient sur la gouvernance, les investissements, la valeur, le risque, l'utilisation des techniques de sécurité, la qualité des activités et la confidentialité. Les répondants provenaient d'entreprises ouvertes et fermées de toutes les régions du monde, incluant les Amériques, l'Europe, le Moyen-Orient, l'Afrique, l'Asie, le Pacifique et l'Amérique latine.

A propos de Deloitte

Deloitte, un des cabinets de services professionnels les plus importants au Canada, offre des services dans les domaines de la certification, de la fiscalité, de la consultation et des conseils financiers grâce à un effectif de plus de 6 100 personnes réparties dans 47 bureaux. Au Québec, Deloitte exerce ses activités sous l'appellation Samson Bélair/Deloitte & Touche s.e.n.c.r.l. Le Cabinet est déterminé à aider ses clients et ses gens à exceller. Deloitte est le cabinet membre canadien de Deloitte Touche Tohmatsu.

La marque Deloitte représente une ou plusieurs entités de Deloitte Touche Tohmatsu, une Verein suisse, ses cabinets membres ainsi que leurs filiales et sociétés affiliées respectives. Deloitte Touche Tohmatsu est une Verein (association) suisse et, à ce titre, ni Deloitte Touche Tohmatsu ni aucun de ses cabinets membres ne peuvent être tenus responsables des actes ou des omissions de l'un ou de l'autre. Chaque cabinet membre constitue une entité juridique distincte et indépendante exerçant ses activités sous les noms de Deloitte, Deloitte & Touche, Deloitte Touche Tohmatsu ou d'autres raisons sociales similaires. Les services sont fournis par les cabinets membres ou par leurs filiales ou leurs sociétés affiliées, et non par la Verein Deloitte Touche Tohmatsu.

Pour en savoir plus sur ce sujet, consultez notre site Web à www.deloitte.ca

Renseignements

  • Deloitte
    Nathalie Léonard
    (514) 393-5954
    www.deloitte.ca
    ou
    Cohn & Wolfe Montréal
    Jennifer Chambers
    (514) 845-2257