Déterminer quelle somme dépenser en matière de sécurité des TI



Documents pareils
La gestion des risques en entreprise de nouvelles dimensions

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités

RÉSEAU MICROAGE POSSIBILITÉ DE FRANCHISE

Gestion des mises à jour logicielles

ÉNERGISER L AVENIR Étude d information sur le marché du travail 2008

BUREAU DU CONSEIL PRIVÉ. Vérification de la sécurité des technologies de l information (TI) Rapport final

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité

Bureau du commissaire du Centre de la sécurité des télécommunications

Votre guide 2013 pour la gestion des déplacements et frais professionnels

SOMMAIRE. AVRIL 2013 TECHNOLOGIE ÉTUDE POINTS DE VUE BDC Recherche et intelligence de marché de BDC TABLE DES MATIÈRES

La protection de la vie privée et les appareils mobiles

RÈGLEMENT RELATIF À LA SÉCURITÉ DES VOYAGEURS. TC numéro 0-16 Approuvé le 31 mars, 2000 {R- 33}

CRM pour le marketing

5.4. Sécurité des réseaux sans fil. Rapport du vérificateur général de la Ville de Montréal au conseil municipal et au conseil d agglomération

Prendre la mesure Étude comparative sur le commerce de détail

Le Marketing en ligne: La clé du succès. Planification & outils

Centre canadien des mesures d urgence

Sécurité. Tendance technologique

Politique de sécurité de l actif informationnel

Guide pratique pour les clubs

Protection des infrastructures critiques vitales contre les cyber-attaques. Vers une culture de sécurité

Gestion des journaux Comment élaborer la bonne stratégie en matière d activités et de conformité

Le Business Case sur la Gestion de Contenu d Entreprise

CRM pour le marketing

isrs 7 Améliorer la performance Sécurité, Environnement et Opérationnelle

Atteindre la flexibilité métier grâce au data center agile

Présentation de la gestion des infrastructures de centres de données

CRM pour le Service clients et l Assistance technique

Stratégie intelligente de reprise d activité pour les postes de travail : postes de travail sous forme de service (DaaS) LIVRE BLANC

Résumé : «Diagnostic sectoriel de la main-d œuvre du secteur des technologies de l information et des communications 2011»

Code canadien du bénévolat : guide pour l évaluation des pratiques organisationnelles

Débroussailler les paiements mobiles :

IBM SPSS Direct Marketing

SafeNet La protection

ÉNONCÉ DE PRINCIPES LE COMMERCE ÉLECTRONIQUE DES PRODUITS D ASSURANCE

Cadre de travail sur les relations avec les gouvernements et la défense des droits. Société canadienne de la sclérose en plaques

Bureau du surintendant des institutions financières. Audit interne des Services intégrés : Services de la sécurité et de l administration

Accroître vos revenus et votre avantage concurrentiel grâce au nuage Alliance Fujitsu-salesforce.com

Symantec Protection Suite Small Business Edition Une solution simple, efficace et compétitive pour les petites entreprises

1. La sécurité applicative

Regard sur l informatique en nuage

IBM Maximo Asset Management for IT

RAPPORT EXÉCUTIF DE LA FIRME DE CONSULTANTS GARTNER

Le temps est venu d implanter un CRM et un système de gestion de la connaissance

Périphériques de stockage amovibles : une menace réelle pour la sécurité des informations en entreprises

i) Types de questions Voici les lignes directrices pour chaque type de question ainsi que la pondération approximative pour chaque type :

Optimisez vos processus informatiques, maximisez le taux de rendement de vos actifs et améliorez les niveaux de service

Le volleyball est notre sport, notre passion, notre communauté nous inspirons les Canadiens à embrasser le volleyball pour la vie

Liste de vérification des exigences Flexfone

Rapport de vérification interne du cadre de contrôle de l accès aux réseaux informatiques. Janvier 2010

Management de la sécurité des technologies de l information

CADRE DE GESTION DE LA SÉCURITÉ DE L INFORMATION DE TÉLÉ-QUÉBEC

Situation actuelle : Sommaire d une recommandation Page 1 de 5

IBM Tivoli Monitoring, version 6.1

Vers une IT as a service

Soutenir la mise en oeuvre de processus basés sur ITIL avec une approche unifiée de la gestion des actifs et services

Travailler avec les télécommunications

Cartes de crédit à vous de choisir. Choisir la carte de crédit qui vous convient

SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE

Bureau du commissaire du Centre de la sécurité des télécommunications

Le nuage : Pourquoi il est logique pour votre entreprise

JOURNÉE THÉMATIQUE SUR LES RISQUES

Devenir un gestionnaire de personnes

Stratégie nationale en matière de cyber sécurité


Faire de l infrastructure informatique une source de valeur ajoutée pour l entreprise.

PROGRAMME DE FORMATION DE NORTHBRIDGE. À propos de Northbridge

La sécurité informatique à l heure de la 3 ème plate-forme. Karim BAHLOUL Directeur Etudes et Conseil IDC France 20 mai 2014

Meilleures pratiques de l authentification:

Le stockage de données qui voit les affaires à votre manière. En hausse. nuage

curité des TI : Comment accroître votre niveau de curité

MODELE DE MATURITE SOCIAL MEDIA MARKETING

Stella-Jones pilier du secteur grâce à IBM Business Analytics

2011 et 2012 Arrow ECS. Partenaire Distribution EMEA. de l année

F Distribution: GÉNÉRALE RESSOURCES, QUESTIONS FINANCIÈRES ET BUDGÉTAIRES. Point 6 de l'ordre du jour

Localisation des points d accès sans fil non autorisés

La gestion Citrix. Du support technique. Désignation d un Responsable de la relation technique

Cadre de gestion du risque de fraude Rapport d audit Rapport n o 5/14 2 septembre 2014

Etude de cas. Calagaz établit un menu pour la croissance commerciale. TRANSLATION commercial. Novembre 2010

Livre blanc. La sécurité de nouvelle génération pour les datacenters virtualisés

Les bonnes pratiques d un PMO

ITIL V2 Processus : La Gestion des Configurations

1. Logiciel ERP pour les PME d ici Technologies Microsoft Modules disponibles Finance Analyses & BI

PARTIE 1 : RENSEIGNEMENTS GÉNÉRAUX Les questions suivantes visent toutes les couvertures demandées. SECTION A : RENSEIGNEMENTS GÉNÉRAUX

Crédit-bail d équipement agricole

Guide de Conduite éthique des Affaires Guide de bonnes pratiques en matière de gestion de l information

CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Introduction. Les articles de la presse spécialisée tendent à nous laisser penser que c est en effet le cas :

FAQ sur le Service courriel d affaires TELUS

La COMMUNICATION. Tirer parti des solutions. et gérer les imprévus

Transcription:

Déterminer quelle somme dépenser en matière de sécurité des TI Un InfoDossier d IDC 2015

Introduction Les organisations peinent à déterminer quelle somme dépenser en matière de sécurité des TI, un investissement que beaucoup comparent aux assurances : personne ne veut payer plus que le strict nécessaire. Ce rapport IDC vous offre des conseils pour vous aider à déterminer la taille appropriée de votre budget en matière de sécurité, de même qu à évaluer les options grandissantes qui s offrent à vous, des services sur les lieux aux services gérés, en passant par l infonuagique. Pour ce faire, IDC a établi le profil des investissements en matière de sécurité d organisations canadiennes, aux côtés de leurs succès et leurs échecs, créant ainsi un point de comparaison pour vous permettre de dresser des parallèles avec vos propres activités. Les résultats de cette étude proviennent d une recherche effectuée par IDC au Canada, en 2015. Les organisations canadiennes disent dépenser en technologie de sécurité en moyenne un peu moins de 10 % de leur budget en matière de TI, sans compter les dépenses liées aux services et aux employés. La somme investie en TI par une organisation dépend d un éventail de critères. Ainsi, les organisations qui s adressent aux consommateurs, qui ont une importante surface d attaque, une marque reconnue, une propriété intellectuelle bien gardée et qui doivent être en conformité avec les exigences réglementaires de l industrie et avec la législation gouvernementale ont tendance à dépenser plus que leurs pairs. Toutefois, la réalité est que des organisations de tous types ont connu des brèches de sécurité. Il existe encore parmi les organisations aux marques moins connues, ayant une surface d attaque réduite et des exigences réglementaires moins strictes, une confiance injustifiée en la «sécurité par l obscurité». Les organisations canadiennes disent dépenser en technologie de sécurité en moyenne un peu moins de 10 % de leur budget en matière de TI, sans compter les dépenses liées aux services et aux employés. p. 2

Votre budget en matière de sécurité mis en perspective IDC a étudié les budgets, les brèches récentes, les niveaux de maturité et plusieurs autres critères clés de plus de 200 organisations canadiennes, ce qui lui a permis de tracer quatre profils de sécurité distincts. Les diagrammes suivants illustrent le large fossé qui existe entre les organisations qui réussissent bien et qui obtiennent une note élevée en matière de sécurité des TI et celles qui ont une faible sécurité. Même si toutes les organisations ne se valent pas et que par conséquent leurs investissements dans la sécurité varient, le fossé entre les entreprises performantes et peu performantes en matière de sécurité ne devrait pas être aussi grand. Les défaitistes Les autruches Les réalistes Les égoïstes Ce groupe d organisations souffre d un manque de financement en matière de sécurité des TI. Un sous-financement et une planification inadéquate ont augmenté les dommages en rendant ces organisations plus vulnérables aux brèches de sécurité. Ces organisations sont dites «défaitistes» puisque leurs intervenants et professionnels en matière de TI/sécurité ont tendance à cesser tout lobbyisme auprès des chefs d entreprise afin d obtenir du soutien. Les industries du secteur manufacturier et du secteur primaire prédominent dans ce profil, mais IDC y a trouvé des exemples d organisations de toute taille et de tout secteur. Ces organisations ont financé de manière modérée la sécurité des TI, mais ont de mauvaises pratiques de sécurité. Leur véritable défi repose sur le fait que, souvent, elles ne se rendent pas compte de la gravité de la situation. Elles sont plus susceptibles que la moyenne de souffrir d atteintes à la protection des données, et pourtant elles conservent un niveau de confiance élevé en leur sécurité. Même si elles achètent la bonne technologie, elles négligent les compétences et la formation en matière de sécurité, de même que les processus pour une meilleure gestion des risques; il s agit là de l un de leurs problèmes manifestes. On retrouve dans ce profil des organisations du secteur public et du secteur des télécommunications, mais aussi des organisations de différents secteurs et de différentes tailles. Ces organisations font un assez bon travail en matière de sécurité des TI. En fait, elles dépensent peut-être même trop sans le savoir. Elles ne passent pas assez de temps à travailler sur un processus de gestion des risques officiel afin d évaluer et de mesurer correctement leur performance continue en fonction d un montant donné d investissements. Les détaillants prédominent dans ce profil, mais on retrouve également ceuxci parmi les défaitistes et les autruches. On trouve dans ce profil l élite en matière de sécurité. Ces organisations ont aligné leurs dépenses sur leur niveau de risque, subissent moins de brèches, se concentrent sur le recrutement et la conservation d excellents professionnels en matière de sécurité et ont atteint un degré élevé de maturité en ce qui concerne le personnel, les processus et la technologie. Elles n ont qu un point faible potentiel : leur confiance inébranlable. Cette confiance, bien que sans doute justifiée, ne devrait pas nuire à la vigilance. Le secteur bancaire et financier canadien prédomine dans ce profil. De plus, on y retrouve de nombreux exemples d organisations du secteur public et de fournisseurs de services. p. 3

Votre budget en matière de sécurité mis en perspective (suite) Les défaitistes Les autruches Les réalistes Les égoïstes La sécurité en matière de TI de ces organisations est faible et sous-financée Ces organisations ont une sécurité en matière de TI faible, mais elles n en ont pas pleinement conscience Ces organisations ont une bonne sécurité en matière de TI et elles cherchent à l améliorer encore Ces organisations ont une excellente sécurité en matière de TI, mais elles courent le risque d un excès de confiance Pourcentage des organisations 23 % 37 % 23 % 17 % Brèches comparativement à la moyenne Plus Plus Moins Moins Pourcentage du budget en TI consacré à la sécurité 6 % 8 % 14 % 12 % Confiance en leurs défenses de sécurité Faible Élevée Faible Élevée Priorités Essais-erreurs/ peu d importance accordée au processus de gestion des risques Technologie avant le personnel/processus Formation des employés/analyse comparative avec les pairs externes Processus de gestion des risques officiel/ embauche de personnel de qualité Niveau de maturité, échelle de 1 à 5 1 2 2 3 3 4 4 5 Profil d industrie Secteur manufacturier/ primaire Secteur public/ infrastructure/ télécommunications Vente au détail/ distribution Finances Dépenses actuelles en matière de sécurité des TI 9,8 % du budget alloué aux TI Dépenses IDÉALES en matière de sécurité des TI 13,7 % du budget alloué aux TI Sur le marché intermédiaire en 2015, IDC a noté une augmentation plus élevée que la moyenne du budget en matière de sécurité des TI, ce qui est une excellente nouvelle pour un segment de marché qui a particulièrement besoin d améliorer sa sécurité. IDC reconnaît que, pour certaines organisations, le budget alloué à la sécurité ne fait pas partie du budget des TI. Nous avons utilisé les dépenses totales en TI comme point de référence commun à appliquer dans la plupart des cas. p. 4

Investir l argent là où les besoins sont les plus grands IDC a demandé aux organisations canadiennes d estimer la probabilité que leurs divers actifs physiques et que leurs ressources humaines soient compromis, puis d évaluer les conséquences d une brèche. Il est étonnant de constater que les tablettes, les téléphones intelligents et les applications Web sont peu considérés comme de potentielles failles de sécurité, ce qui a pour conséquence d entraîner un sous-financement dans ces secteurs. Probabilité Probabilité plus élevée, impact plus faible Probabilité plus faible, impact plus faible USB Ordinateur portable Courriel Téléphone intelligent Wi-Fi Tablette Applis Web Infonuagique Ordinateur de bureau Réseau câblé Impact Employés Probabilité plus élevée, impact plus élevé Serveur Probabilité plus faible, impact plus élevé Il est étonnant de constater que les tablettes, les téléphones intelligents et les applications Web sont peu considérés comme de potentielles failles de sécurité, ce qui a pour conséquence d entraîner un sous-financement dans ces secteurs. p. 5

Investir l argent là où les besoins sont les plus grands (suite) Les employés sont considérés comme un maillon faible en matière de sécurité. Beaucoup d organisations souhaiteraient allouer une plus grande part de leur budget en sécurité à la formation des employés (principalement les employés des services non liés aux TI, tels que les ventes, le marketing et les ressources humaines). En moyenne, les organisations voudraient dépenser un important 24 % de leur budget en matière de sécurité des TI pour l élaboration de meilleures pratiques, la sensibilisation et l éducation. Toutefois, en réalité, le pourcentage du budget consacré au renforcement des connaissances des employés en matière de sécurité continuera à être bien en deçà de ce pourcentage. Pour offrir un point de vue différent sur la question, IDC a additionné tous les produits de sécurité achetés au Canada dans huit catégories différentes afin d obtenir un aperçu de la façon dont une organisation canadienne moyenne répartit son budget en sécurité. La figure à droite illustre comment ce budget est réparti, en fonction des actifs technologiques qui sont sécurisés. Répartition du budget en sécurité en fonction de huit technologies 6,3 % Serveur 5,2 % Courriel 3,7 % Appareil mobile 14,0 % GSV 16,9 % GIA 32,8 % Réseau 8,6 % Web 12,5 % Ordinateurs GSV : gestion de la sécurité et de la vulnérabilité GIA : gestion des identités et des accès p. 6

Les investissements dans la sécurité se font moins traditionnels Il existe une pénurie de compétences en matière de sécurité des TI, et cela est en train de transformer le marché de la sécurité. De plus en plus, les organisations comblent ce manque de compétences avec des services de sécurité gérés et/ou des services de sécurité infonuagiques. Le pourcentage total du budget en sécurité alloué à l infonuagique et montré dans la figure ci-dessous se rapporte aux actifs traditionnels sécurisés au moyen de l infonuagique plutôt que dans l infonuagique. Avec le temps, IDC prévoit une forte croissance des dépenses canadiennes en matière de sécurité afin de protéger les applications et les données exploitées dans l infonuagique. Par exemple, les organisations ont besoin d une visibilité du trafic entrant et sortant des infrastructures, des plateformes ou des logiciels sous forme de service. Les fournisseurs de services d infonuagique s occupent en partie de la sécurité, mais votre organisation continuera à superviser la prévention des pertes de données, la gestion de l identification et ainsi de suite. L infonuagique est un sujet épineux au Canada, en raison surtout des craintes liées à la loi antiterroriste américaine Patriot Act qui permet aux forces de l ordre américaines d imposer la divulgation des données stockées dans un centre de données américain. Le vent commence toutefois à tourner; en effet, près de 7 organisations canadiennes sur 10 estiment maintenant que les fournisseurs de services d infonuagique sont plus sûrs que leurs propres TI. Attribution optimale du budget désirée par les organisations canadiennes Serveur Réseau Ordinateurs Web GIA GSV Appareil mobile Courriel Sur les lieux 82 % 81 % 73 % 59 % 57 % 54 % 51 % 49 % Services gérés 9 % 11 % 15 % 22 % 25 % 29 % 24 % 25 % Infonuagique/SaaS 9 % 8 % 12 % 19 % 18 % 17 % 25 % 26 % p. 7

Calculer la somme à investir en matière de sécurité des TI Il ne faut pas commencer par la fixation d un montant en dollars, mais plutôt par l élaboration d un processus de gestion des risques. Malgré cela, la plupart des organisations choisissent une approche ad hoc, basant leurs décisions budgétaires sur l essai et l erreur ou réagissant aux problèmes à mesure qu ils surviennent, au lieu d adopter une approche proactive du cadre de sécurité. Ce processus proactif est surveillé et répété, de sorte que les lacunes sont comblées avec le temps. Seulement un tiers des organisations canadiennes de moyenne et de grande taille, et beaucoup moins de petites entreprises, s engagent dans ce processus facile (mais qui demande beaucoup de temps). Le processus de gestion des risques est relativement simple : 4 Découvrez et faites l inventaire de vos actifs (dispositifs des utilisateurs, applications, périphériques réseau, référentiels d entreprise, chaînes d approvisionnement/ partenaires). Détectez les vulnérabilités/faiblesses de ces actifs et établissez quelles menaces pourraient compromettre chacun d entre eux 4 Déterminez vos investissements en matière de technologies, de compétences et de processus (appelés contrôles et contre-mesures) et établissez vos priorités. Basez vos décisions sur la matrice de probabilité et d impact créée à l étape Découvrir et détecter 4 Déployez les contrôles afin de réduire la vulnérabilité des actifs et de les protéger contre des menaces données Processus simplifié de gestion des risques de sécurité Recommencer Déterminer l efficacité des contrôles. Évaluer le profil de risque. Répéter. Découvrir et détecter Identifier les actifs/établir leur valeur. Identifier les vulnérabilités et les menaces. Créer une matrice d impact et de probabilité des risques. Déployer Établir le calendrier/la responsabilité en ce qui concerne la mise en œuvre. Mettre en œuvre les contrôles. Déterminer Identifier les contrôles. Comparer le coût des contrôles et les bénéfices/ le retour. Établir les priorités en matière de contrôle. 4 Recommencez et répétez ce processus de manière continue (au moins une fois par année), tout en mesurant l efficacité de vos investissements (de préférence en temps réel) p. 8

Planifier au-delà de l exercice financier Élaborez un plan sur plusieurs années afin de prévoir les progrès de votre organisation en matière de gestion des risques de sécurité, de sélection de la technologie, de recrutement/conservation des professionnels en sécurité, de formation des employés, d intervention en cas d incident et d un éventail d autres domaines prioritaires. Établissez un point de comparaison pour vos activités de sécurité afin d avoir une référence qui vous permettra de mesurer vos progrès futurs. Les organisations faisant partie de nos profils de sécurité gagnants «Réalistes» et «Égoïstes» ont tendance à suivre un plan d action mesurable afin d atteindre un niveau de sécurité plus élevé que la moyenne. La maturité en matière de sécurité en cinq niveaux Niveau 5 Optimale Niveau 1 Ad Hoc Les processus de sécurité, les technologies, la formation et les compétences sont incohérents au sein de l entreprise. Niveau 2 Gérée Pour certains secteurs et certaines applications et données clés au sein de l entreprise, il existe une approche officielle concernant les processus, le perfectionnement de la technologie et des compétences, la surveillance et les interventions en cas d incident. Niveau 3 Définie Au sein de l entreprise, il existe un processus de gestion des risques officiel pour l application des technologies, des politiques, des compétences, des interventions en cas d incident, etc. Niveau 4 Quantitative Visibilité constante afin de comparer la performance continue aux indicateurs de risque pour les technologies, les politiques, la formation, les compétences en matière de sécurité, etc. La sécurité n est jamais «optimale», mais l atteinte de ce niveau signifie que les compétences fondamentales en matière de sécurité sont dignes d être vendues à d autres entreprises. p. 9

Étapes suivantes 4 Établissez votre budget en fonction du coût des contre-mesures et des contrôles définis durant votre processus de gestion des risques 4 Référez-vous aux organisations qui ont réussi à garder les brèches de sécurité à un minimum tout en dépensant pour la sécurité 12 % de leur budget en matière de TI 4 Élaborez un plan sur plusieurs années afin d examiner le retour obtenu sur le montant investi en sécurité Auteurs : David Senf, vice-président du programme, Solutions d infrastructure Kevin Lonergan, analyste, Solutions d infrastructure Dave Pearson, directeur de recherche, Stockage et réseautage Commanditaire : IBM À propos d IDC International Data Corporation (IDC) est le principal fournisseur mondial en matière d information commerciale, de services de conseils et d événements sur les marchés des technologies de l information, des télécommunications et des technologies grand public. IDC aide les professionnels des TI, les chefs d entreprise et les membres de la communauté financière à prendre des décisions basées sur des données factuelles pour leurs achats de produits et services technologiques et leurs stratégies d affaires. Plus de 1 100 analystes d IDC partagent leur expertise mondiale, régionale et locale au sujet de la technologie, des possibilités et tendances de l industrie dans plus de 110 pays. Depuis 50 ans, IDC formule des conseils stratégiques pour aider ses clients à atteindre leurs principaux objectifs opérationnels. IDC est une filiale d IDG, chef de file mondial du marché de l information, de la recherche et de l organisation d événements consacrés aux technologies de l information. p. 10

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back