Les entreprises britanniques nient les piratages

• Imprimer

Une entreprise britannique sur trois ne communique jamais les attaques dont elle est victime. Cette enquête d'InfoSecurty Europe, conduite par PriceWaterhouseCooper relayée par nos confrères de Network World ne nous apprend pas grand-chose de fondamentalement nouveau... hélas. D'un coté, le risque de perdre la « confiance de ses clients ». De l'autre, le désir de faire savoir ce qui est arrivé afin de prévenir d'autres victimes potentielles de l'existence d'un risque. Entre les deux, les CSO de Grande Bretagne n'hésitent pas : le silence est d'or. Cette « atteinte à la réputation » est financièrement estimée aux environs de 100 à 400 livres sterling pour l'ensemble des personnes interrogées, toutes tailles d'entreprises confondues, mais peut s'avérer entre 50 et 100 fois plus coûteuse dès que la victime n'appartient plus au monde des PME. Si les « accidents » étaient eux-mêmes rares, le détail serait anecdotique. Mais un autre chiffre de l'étude nous apprend que, durant l'année 2006, 84 % des grandes entreprises ont fait les frais d'un incident dont l'origine était intentionnelle, préméditée et maligne. Des chiffres cependant en net recul par rapport à ceux estimés pour l'année 2005. Si le risque du hack inquiète, et principalement dans les secteurs financiers compte tenu de l'impact estimé sur l'image de marque, ce n'est pas pour autant que les règles et normes font l'objet d'une attention particulière. Et bien qu'une forte majorité d'entreprises interrogées aient déclarées appliquer des « politiques de sécurité », à peine 38 % des grandes entreprises, 24% des PME et 10% des TPE sont au courant de l'existence de la BS 7799. Rappellons tout de même que c'est là une disposition 100% britannique. Pis encore, sur les entreprise ayant connaissance de cette fameuse 7799, 33% seulement des grandes entreprises l'on intégralement appliqué, et 42% partiellement. Les sociétés de moyenne envergure sont totalement « passées à la 7799 » pour 22% d'entre elles, et « partiellement » dans 45% des cas. Reste que ces chiffres ne distinguent pas le pan « bonne pratique » de la 7799-1 du schéma cadre traitant de gouvernance de la sécurité, propre à la 7799-2 (textes qui sont, en France, respectivement équivalents à l'ISO 7799 et à l'ISO 27001-05). Si l'application de la 27001 à l'ensemble des PME peu sembler totalement chimérique, l'adoption généralisée des « bonnes pratiques » de la TPE à la multinationale ne relève pourtant pas de l'impossible. La suite de l'étude s'étend sur les métriques de la sinistralité en Grande Bretagne, chiffre généralement assez proche de ceux constatés en nos contrées -exception faite des escroqueries bancaires, plus nombreuses dans les pays anglophones-. Pour contenir ces attaques, les moyens mis en oeuvre restent encore très archaïques, le poids de la sécurité physique du poste et des mesures de protection périmétriques surclassant très nettement les techniques plus « modernes » du chiffrement systématique des données et de contrôle d'accès renforcé.