La société d’études IDC a mené en juin 2001 une première étude pour le compte d’EDS sur la cybercriminalité auprès de 250 entreprises. Cette étude faisait ressortir un certain nombre d’enseignements...

La société d’études IDC a mené en juin 2001 une première étude pour le compte d’EDS sur la cybercriminalité auprès de 250 entreprises. Cette étude faisait ressortir un certain nombre d’enseignements majeurs dont la faible prise de conscience des entreprises vis-à-vis des problèmes de sécurité. Une étude similaire a été menée, six mois après, auprès de 350 sociétés. Selon cette nouvelle étude IDC/EDS, les entreprises ont pris conscience de la vulnérabilité de leur système d’information. 48 % des directions générales souhaitent aujourd’hui s’impliquer plus activement sur les problématiques de sécurité informatique en 2002, avec des disparités selon les pays. Ils sont ainsi 51,1 % à exprimer cette intention en Italie, 50,9 % au Royaume-Uni, 48,1 % en France, 41 % en Espagne et 35 % en Allemagne. 58,7 % des directeurs généraux sont déjà impliqués dans la stratégie de sécurité et 56,7 % prennent des décisions stratégiques concernant la sécurité informatique. La sécurité reste pour 59,6 % des personnes interrogées, un problème de spécialistes. 40 % des entreprises estiment avoir de fortes compétences en interne tout en n’ayant, pour 54,5 % d’entre elles, aucune ressource interne dédiée à la sécurité. Pour IDC, les entreprises ne sont pas encore totalement conscientes des efforts à engager pour assurer une continuité de service. 78,1 % des personnes interrogées pensent que leur entreprise est suffisamment sécurisée pour assurer la continuité de service, contre 18,1 % d’opinion négative et 3,1 % sans opinion. Dans un certain nombre de cas, ces entreprises estiment avoir pris les dispositions nécessaires à une interruption momentanée de leur système d’information. 66,9 % d’entre elles ont mis en place un plan de continuité de service. Pour IDC, ce chiffre paraît relativement élevé au regard de la réalité et du retour sur expérience que l’on peut avoir. 24,1 % des entreprises déclarent avoir contracté une assurance pour leur système d’information. 18,6 % seulement des entreprises au Royaume-Uni, 19,7 % en Espagne, et 21,3 en Italie ont contracté un contrat d’assurance en 2001 pour leur système d’information. 55,6 % des entreprises européennes interrogées n’ont contracté aucun contrat d’assurance. Selon les résultats de l’étude, 73,8 % des entreprises possédant une assurance ont également mis en place un plan de continuité, contre 61,3 % sur l’ensemble du panel. Les entreprises assurées sont donc plus conscientes des différents moyens de protéger leur système d’information. 35,8 % des personnes interrogées déclarent avoir au moins une personne dédiée à la sécurité informatique (48,8 % pour les entreprises possédant une assurance). 17 % des entreprises assurées ne pensent pas ou ne savent pas si elles sont assez protégées pour garantir la continuité du service. 35,2 % des entreprises interrogées ont été attaquées au moins une fois en 2001. 26,5 % des entreprises interrogées lors de la première étude avaient déclaré avoir subi des problèmes de sécurité venant de l’extérieur. Les résultats de l’étude montrent qu’il ne s’agit pas de problèmes ponctuels. En effet, près de 70 % des entreprises déclarent subir entre 2 et 5 attaques au cours de l’année. 68 % des entreprises ayant souffert de problèmes de cybercriminalité en 2001 n’ont pas de responsable dédié à la sécurité informatique. Les principaux sinistres informatiques auxquels les entreprises interrogées ont été confrontées sont tout d’abord les virus (78,5 % des réponses), puis les erreurs d’utilisation (64,2 %) et les pannes internes (37,5 %). Toutes les entreprises européennes craignent une destruction de leurs données. Il s’agit d’un risque majeur pour 63 % d’entre elles. Les résultats par pays montre certaines disparités da la cybercriminalité en Europe : 42,6 % des entreprises italiennes ont été attaquées au moins une fois en 2001, 36,6 % des entreprises espagnoles, 30,3 % des entreprises françaises, 28,8 % des entreprises britanniques. L’Allemagne présente, pour sa part, le plus fort pourcentage d’attaques venant de l’extérieur de l’entreprise : 51,7 %. En Espagne, les pannes internes sont plus fréquentes (70,5 % des réponses) que les vols de matériel (9,8 %). En Allemagne, ce sont les erreurs d’utilisation qui ont été particulièrement identifiées (73,3 %) après les virus. Les entreprises allemandes interrogées affirment ne pas avoir été confrontées à un sinistre d’ordre physique en 2001. 54,2 % des entreprises britanniques ont cité les erreurs d’utilisation, 37,9 % les vols de matériel. Après les virus (91,5 % des entreprises), les sinistres les plus fréquemment rencontrés en Italie sont les erreurs d’utilisation (70,2 %) et les erreurs de conception (48,9 %). (Christine Weissrock – Atelier BNP Paribas – 19/02/2002)