Rapport annuel de l’ASSINTEL 2011

La sécurité d’entreprise doit anticiper le marché

Le Rapport est un important moment de réflexion sur l’état des technologies de l’information (TI) et sur les perspectives à court et à moyen terme, notamment pour tous ceux qui s’occupent de sécurité. De fait, les responsables de la sécurité d’entreprise doivent plus que jamais s’efforcer d’anticiper les nouveaux développements.

Les domaines qui connaissent une évolution majeure sont, d’après le Rapport, la mobilité d’entreprise, le business intelligence, l’exploitation des gros volumes de données, le Cloud Computing et les médias sociaux.

Analysons l’un d’entre eux : la mobilité.

La mobilité est de plus en plus intégrée dans la communication d’entreprise, dans le business intelligence et dans la perception de l’image réelle du consommateur. Du fait des volumes de données et d’informations traités, de la confidentialité de nombre d’entre elles et de la nécessité d’agir en temps réel, l’utilisation élargie des tablettes et des smartphones nécessite une préparation rigoureuse en matière d’analyse sociale, d’interprétation sémantique, d’analyse de comportement et d’expérience, etc., avec une attention particulière à l’égard de la capacité de consultation de sources multimédias et le souci de la rapidité, de la précision, de l’accessibilité et de la sécurité de la disponibilité des informations produites.

Si tous ces aspects sont importants, la protection des données en entrée et des informations produites revêt un caractère prioritaire et, compte tenu de la complexité des domaines à couvrir – du fait de l’évolution du marché et de la maturité insuffisante des offres de sécurité –, l’identification de solutions préventives et de continuité doit primer sur tous les autres.

Il faut anticiper.

La sécurité doit être appréhendée de façon intégrée

Mentionnons un autre élément pour le démontrer. Les dépenses en logiciels applicatifs ont diminué de 53 % : on en déduit que les entreprises ont déjà développé les applications dont elles ont besoin et que les approches ont changé : priorité aux investissements, diminution des développements internes, recours à des applications dans le « nuage », etc. De ce fait, l’externalisation se développe, de même que l’utilisation de produits inconnus de l’entreprise, ce qui introduit de nouveaux facteurs de risque. Comme on le sait, l’un des principaux facteurs de réduction de ce type de risques consiste soit à anticiper, soit à faire travailler en équipe les différentes fonctions de l’entreprise.

Le Rapport suggère en outre que les TI fonctionnent de plus en plus comme un « broker », un point de convergence et de fourniture de solutions supérieures en termes de rapport qualité/prix exploitant toutes les possibilités offertes par le marché (externalisation, Cloud Computing, etc.). Si cela requiert à l’évidence de solides compétences de la part des responsables sécurité des TIC, les solutions de réduction des risques appelées à couvrir l’entreprise de façon verticale doivent être conçues et évaluées en conjonction avec les autres compétences fonctionnelles (continuité d’activité, sécurité d’entreprise, gestion des risques, etc.).

Nous avons néanmoins le sentiment que, bien souvent, la fonction sécurité manque de vision globale et n’est pas assez impliquée dans les choix opérés à l’échelle de l’entreprise. Cette absence de synergie, en particulier dans nombre de PME, transparaît notamment à travers les groupes de travail différenciés et les conférences et les séminaires monothématiques auxquels assistent des spécialistes et des responsables qui, jusqu’à preuve du contraire, n’ont pas une minute à consacrer à l’unification des objectifs, à une planification cohérente en matière de risques ni à un programme de contre-mesures validé par une analyse coûts/bénéfices de haut niveau.

Les conséquences sont évidentes.

C’est pour cette raison que l’ANSSAIF, à travers des études, des échanges d’informations et des tests comparatifs, et en synergie avec d’autres associations concernées, se propose d’accompagner ses membres dans ce domaine.

À cet égard, comme nous l’avions évoqué à Arezzo, trois études sont en cours de finalisation : deux sur les enseignements de la certification BS25999 et la maintenance des BCP, et une sur les différents modèles de planification et de gestion de la sécurité d’entreprise, l’accent étant mis sur la « Convergence de la sécurité ».

De plus, conformément à notre objectif de développement de synergies avec les membres bienfaiteurs et d’autres associations agissant dans le domaine de la sécurité, plusieurs initiatives ont été engagées :

Les initiatives prévues avec le membre MediaService.Net sont en cours de déploiement ; une boîte e-mail ( Questo indirizzo e-mail è protetto dallo spam bot. Abilita Javascript per vederlo. ) a déjà été mise en place pour aider ceux qui ont des interrogations sur l’application de PCI-DSS et sur la conformité à cette norme.
La collaboration avec la British Standard Institution en Italie est en train de débuter avec une première initiative concernant l’évaluation comparative (benchmarking), au niveau européen, des avantages que retirent les entreprises de la certification pour les normes de sécurité.
Le Conseil de Direction a approuvé la signature d’un accord de partenariat étroit, dans le domaine des systèmes de paiement et de monnaie électronique, entre l’ANSSAIF et l’AIIP (Associazione Italiana Istituti di Pagamento). Les objectifs et les modalités de mise en œuvre de cet accord sont décrits sur le site de l’institution.

Quelques éléments du Rapport de l’ASSINTEL

Les dépenses en Italie

Outre le fait que nous invitons chacun à consulter le Rapport de l’ASSINTEL, nous présentons ci-après quelques éléments extraits de ce rapport qu’il nous paraît utile d’approfondir.

Catégorie	Dépenses 2011 (Md €)	Var. / 2010
Dépenses informatiques – Utilisateur final	19,7	+2,2 %
Matériel et assistance technique	5,8	-0,8 %
Services informatiques	9,2	+2,4 %
Développement de projets et intégration de systèmes	2,0	+3,9 %
Produits logiciels	4,3	+3,6 %
Dont :
Logiciels applicatifs		-53,0 %
· Middleware		+4,8 %

Analyse sectorielle : Crédit et institutions financières

Les dépenses informatiques ont représenté 4,6 milliards d’euros, soit une hausse de 2,5 % par rapport à l’année précédente.

Ces dépenses se répartissent comme suit :

Développement et innovation	17 %
Extensions et adaptation	27 %
Gestion des ressources en place	56 %

Le Rapport précise : « La gestion des performances et des risques viennent largement en tête des préoccupations des grandes institutions de crédit, à côté de la planification stratégique et de la refonte des processus. Une grande part des investissements est naturellement consacrée à l’amélioration de la relation clients et à la promotion des services, notamment la gestion optimisée des contenus et le développement de nouveaux produits et services.

On observe un souci constant des obligations de normalisation, ainsi que de la rationalisation des opérations informatiques et de leur gouvernance. »

Examinons les réponses des grandes et moyennes entreprises à la question sur les orientations dominantes en matière de gestion des ressources informatiques dans les deux prochaines années :

Gestion des performances et des risques	77 %
Planification stratégique et refonte des processus de l’entreprise	53 %
Service clients	41 %
Processus de marketing et de vente	35 %
Recherche et développement de nouveaux services	35 %
Compliance	29 %

Compte tenu de la disparité des périodes considérées et de la structure de l’échantillon, nous estimons que ces données ne sont pas comparables avec celles de la CIPA (Banque d’Italie).

Le projet Pandora

C’est avec plaisir que nous publions le bulletin que nous avons reçu de la Fondation Ugo Bordoni.

Pandora (Advanced Training Environment for Crisis Scenarios) est un projet de recherche cofinancé par la Commission européenne dans le cadre du thème « TIC et Sécurité » du 7^e programme-cadre. Quatre pays sont représentés dans le consortium : Royaume-Uni, France, Slovénie et Italie, pour un total de neuf partenaires cherchant à répondre aux besoins de formation à la prise de décisions dans les situations complexes de crise impliquant plusieurs entités responsables. Le projet propose une approche innovante pour le développement d’une formation de gestion de crise. S’appuyant sur une solution technique évoluée, il met en œuvre un environnement de formation riche et collaboratif, la Pandora Box. La Pandora Box se fonde sur la modélisation de scénarios de crise à travers une trame temporelle d’événements pour fournir des outils de modélisation du comportement et de contrôle du stress en vue d’adapter la formation aux compétences et aux prestations des stagiaires.

Démarré en 2010, Pandora est aujourd’hui en phase finale.

Le bulletin complet est disponible sur le site de l’ANSSAIF :

http://www.anssaif.com/allegati/PANDORA-Newsletter_October2011.pdf

La fraude grignote 2,1 % des recettes

Tel est le titre d’un article paru dans « Sole 24 Ore » qui évoque l’étude conduite par la société Kroll auprès de 1200 entreprises du monde entier.

Si la fraude est en recul dans de nombreux pays, on observe en fait une augmentation en pourcentage des comportements frauduleux qui affectent les entreprises de l’intérieur.

Nous soulignons depuis longtemps la gravité potentielle des dommages causés par les « insiders », mais les entreprises ne semblent pas mettre en œuvre de projets précis pour faire face au problème.

Pour limiter ce type de risques, il est nécessaire de vérifier régulièrement l’efficacité et l’efficience du système de contrôle – de la structure organisationnelle aux flux d’informations et à la chaîne logistique – et d’actualiser périodiquement le système de surveillance des anomalies.

Il est tout aussi important de sensibiliser les citoyens : quantité de fraudeurs réussissent parce qu’ils trouvent des individus qui tombent facilement dans des pièges tendus par e-mail. Pire encore, les fraudeurs sont souvent munis d’habilitations d’administrateur ou de valideur des règlements effectués par leur entreprise : les détournements sont alors très importants.

C’est pourquoi nous insistons sur le fait que les entreprises doivent sans relâche sensibiliser leur personnel. Quant à nous, nous nous apprêtons à lancer une nouvelle campagne de sensibilisation du public.

Des rencontres entre membres sur le thème de la fraude en général seront bientôt organisées à Rome et à Milan.

----------------------------------------------------------------------------------------
ANSSAIF, Via Monterosi 52 – 00191 Rome
Actualiser ou annuler votre inscription au bulletin de l’ANSSAIF
En cas de problème pour annuler votre inscription au bulletin, envoyez un e-mail à : Questo indirizzo e-mail è protetto dallo spam bot. Abilita Javascript per vederlo.