IDC France
 
 
 
Home Recherche Consulting Marketing Services Conf&eacuterences Marketing Services A propos d'IDC
 

La sécurité est une préoccupation majeure pour 48% des CEO européens


35% des entreprises européennes et 30 % des entreprises françaises ont été confrontées au cybercrime en 2001

Paris, le 12 Février 2002

Au cours du mois de juin 2001, IDC a mené une première étude pour le compte d'EDS sur la cybercriminalité auprès de 250 entreprises. Il ressortait de cette étude un certain nombre d'enseignements majeurs dont la faible prise de conscience des entreprises vis à vis des problèmes de sécurité. Six mois après, une enquête comparable menée auprès de 350 sociétés , montre que l'environnement européen a sensiblement changé. Les entreprises ont davantage pris conscience de la vulnérabilité de leur système d'information et 48% des directions générales, selon l'étude IDC/EDS, souhaitent s'impliquer plus amplement sur les problématiques de sécurité informatique pour 2002...

Pour le leader mondial des services informatiques EDS, la sécurité est l'une de ses préoccupations majeures. " L'objectif du groupe est de devenir le champion de la sécurité" commentait Dick Brown, CEO d'EDS, lors du sommet mondial sur la sécurité réunissant l'ensemble des experts EDS du 5 au 7 Février 2002. Pour Francis Meston, Président d'EDS France, " La sécurité prend une place de plus en plus importante dans la stratégie globale d'évolution des systèmes d'information au sein de l'entreprise et devient aujourd'hui autant l'affaire des directions informatiques que celle des directions générales. EDS anticipe cette évolution. Nous considérons en effet que l'intégration de la sécurité dans le développement et la maintenance des applications commerciales est devenue bien plus qu'une bonne stratégie d'entreprise, c'est un impératif. "

La montée en puissance des directions générales

 

Votre direction générale a-t-elle l'intention de plus
s'impliquer dans la stratégie de sécurité de votre
entreprise en 2002 ? (pour les six pays)

Source : IDC/EDS, 2001 (base : 350 répondants)

 

Une forte implication des Directions Générales
Les résultats de l'étude montrent que 48,1% des directions générales ont l'intention de s'impliquer davantage sur les problématiques de sécurité informatique en 2002. La principale raison en est la prise de conscience de l'importance et du degré critique de la sécurité du système d'information de l'entreprise. Il apparaît aussi que 58,7% des directeurs généraux sont d'ores et déjà impliqués dans la stratégie de sécurité et que 56,7% prennent les décisions stratégiques concernant la sécurité informatique.

En analysant plus spécifiquement les résultats par pays, on constate une certaine disparité dans cette intention de s'impliquer dans la stratégie de sécurité de l'entreprise.

  • 51,1% pour l'Italie,
  • 50,9% pour le Royaume-Uni,
  • 48,1% pour la France,
  • 41% pour L'Espagne,
  • 35% pour l'Allemagne

La Sécurité : un problème de spécialistes ?
Alors que l'on constate que les directions générales souhaitent s'impliquer plus amplement dans la problématique de la sécurité, paradoxalement, la sécurité reste pour 59,6% du panel, un problème de spécialistes. Par ailleurs, 40% des entreprises estiment avoir de fortes compétences en interne tout en n'ayant, à 54,5% d'entre elles, aucune ressource interne dédiée à la sécurité.

Une partie des entreprises européennes semble ne pas avoir encore pris conscience des compétences requises afin d'assurer une sécurité optimale du système d'information. Malgré la bonne volonté des directions générales de s'impliquer davantage, les entreprises européennes semblent sous-estimer les ressources nécessaires pour créer un environnement sécurisé de qualité, tant au niveau de ressources humaines qualifiées (avec des équipes dédiées) que de moyens financiers conséquents. En France par exemple, les investissements en matière de sécurité atteignent à peine 1,6% du budget informatique de l'Entreprise.

Une vision optimiste sur la continuité de service

Le plan de continuité de service permet de disposer de garanties techniques, financières et juridiques pour continuer à exploiter son système d'information en cas de sinistre et ne pas mettre en péril le bon fonctionnement de l'entreprise au regard d'une problématique business.

 

Pensez-vous que votre entreprise est suffisamment
sécurisée pour assurer la continuité
de service ? (sur les six pays)

Source : IDC/EDS, 2001 (base : 350 répondants)

 

Les entreprises pensent être suffisamment sécurisées
IDC estime que les entreprises, même si elles ont subi des problèmes de cybercriminalité en 2001 et mis en place de multiples solutions de sécurité, ne sont pas encore totalement conscientes des efforts à engager pour assurer une continuité de service.

Si 78,8% des entreprises interrogées pensent que leur système d'information est suffisamment sécurisé pour assurer la continuité de service, c'est surtout parce que dans un certain nombre de cas elles estiment avoir pris les dispositions nécessaires à une interruption momentanée de leur système d'information (back-up, stockage, redondance des équipements ...). Au sein de ces entreprises, plus de 2/3 (66,9%) d'entre elles ont mis en place un plan de continuité de service. Pour IDC, au regard de la réalité et du retour sur expérience que l'on peut avoir, ce chiffre paraît relativement élevé. Or, aujourd'hui dans les entreprises, c'est un peu comme le passage à l'An 2000 : beaucoup d'entreprises se déclarent prêtes mais à tort au regard d'un examen plus approfondi de leur SI.

 

Parmi les entreprises qui pensent être suffisamment sécurisées,
quelles sont celles qui ont mis en place un plan
de continuité de service ? (sur les six pays)


Source : IDC/EDS, 2001 (base : 350 répondants)

 

La nécessité d'un plan de continuité de service
" EDS préconise que ses clients mettent en place un plan de continuité de service pour prétendre à l'excellence opérationnelle. " affirme Etienne Busnel, Expert en Sécurité des Systèmes d'Information d'EDS Answare. . " Les plans sont mis en œuvre à titre préventif pour assurer la pérennité de l'entreprise et pour éviter toute perte d'exploitation. C'est un élément indissociable d'une politique globale de sécurité et fondamental dans le processus de sécurisation du système d'information. "

Des systèmes d'information peu ou pas assurés

Votre entreprise possède-t-elle une assurance
pour son système d'information (sur les six pays)

Source : IDC/EDS, 2001 (base : 350 répondants)

 

Peu de contrats d'assurance
Moins du quart des entreprises interrogées déclarent avoir contracté une assurance pour leur système d'information.

  • Seulement 18,6% des entreprises au Royaume-Uni,
  • 19,7% des entreprises en Espagne,
  • 21,3% des entreprises italiennes

ont contracté un contrat d'assurance pour leur système d'information en 2001.

55,6% des entreprises interrogées affirment ne pas avoir de contrat d'assurance. Ce résultat est alarmant et mesure la faible prise de conscience des coûts engendrés par la cybercriminalité.

Assurance et plan de continuité
Quand on analyse les résultats de l'étude, il ressort que 73,8% des entreprises possédant une assurance ont aussi mis en place un plan de continuité de service (contre 61,3% sur l'ensemble du panel). Cela indique que les entreprises assurées sont plus conscientes des différents moyens de protéger leur système d'information.

Une personne dédiée à la sécurité
Sur l'ensemble des répondants, 35,8% déclarent avoir au moins une personne dédiée à la sécurité informatique. Il apparaît que cette part passe à 48,8% pour les entreprises possédant une assurance. Deux solutions sont envisageables : soit les entreprises souhaitant s'assurer ont pris conscience de l'importance de posséder une personne dédiée à la sécurité, soit les sociétés les plus mâtures concernant les problèmes de cybercriminalité (celles qui possèdent des ressources spécifiques et qui font appel plus régulièrement à des prestataires) sont aussi celles qui se tournent vers les assureurs.

De la même façon, 83,3% des entreprises qui possèdent une assurance pensent avoir mis en place les solutions de sécurité nécessaires à la continuité de service (contre 75,2% pour celles qui ne sont pas assurées). Les sociétés qui disposent d'une assurance pour leur système d'information ont, la plupart du temps, été soumises à un audit de sécurité par un prestataire partenaire de l'assureur. Il est donc normal qu'elles soient nombreuses à penser être convenablement sécurisées pour assurer la continuité de services. Il reste cependant environ 17% d'entreprises assurées qui ne pensent pas ou ne savent pas si elles sont assez protégées pour garantir la continuité de service.

Cybercriminalité : état des lieux

Les entreprises qui ont subi au moins une attaque de leur système d'information
en 2001 venant de l'extérieur de l'entreprise (sur les six pays)

Source : IDC/EDS, 2001 (base : 350 répondants)

 

35,2% des entreprises interrogées ont été attaquées au moins une fois en 2001

Sur la base des résultats de l'enquête, il ressort que 35,2% des entreprises interrogées déclarent avoir subi au moins une attaque de leur système d'information durant l'année 2001. Au cours de la première étude menée sur le sujet du cybercrime par IDC pour EDS (entre le 13 juin et le 26 juin 2001), seulement 26,5% des entreprises avaient déclaré avoir subi des problèmes de sécurité venant de l'extérieur. Ce chiffre apparaît très élevé d'autant que l'on sait que les entreprises ont plutôt tendance à minimiser les problèmes de sécurité qu'elles rencontrent.

De plus, on constate dans les résultats de l'étude, qu'il ne s'agit pas de problèmes ponctuels puisque près de 70% des entreprises déclarent subir entre 2 et 5 attaques au cours de l'année. Francis Meston, Président d'EDS en France, souligne " les résultats de cette étude montrent que ce sont les entreprises les moins bien organisées dans leur approche des problèmes de sécurité qui sont les premières victimes ". 68% des entreprises ayant souffert de problèmes de cybercriminalité en 2001 ne possèdent pas de responsable dédié à la sécurité informatique.

La destruction des données est perçue désormais comme un risque majeur
Après les virus (78,5% des réponses), les principaux sinistres informatiques auxquels ont été confrontées les entreprises interrogées sont les erreurs d'utilisation (pour 64,2% des répondants) et les pannes internes (pour 37,5% des répondants).

Toutes les entreprises européennes partagent la même crainte à savoir celle d'une destruction de leurs données. 63 % d'entre elles estiment en effet qu'il s'agit d'un risque majeur. La perception de ce risque semble être largement liée à l'effet du 11 septembre 2001 sur les entreprises qui ont pris conscience de la vulnérabilité des systèmes de sécurité dans leur ensemble et de leurs propres systèmes d'information.

 

Les entreprises qui ont subi au moins une attaque de leur système d'information en 2001
venant de l'extérieur de l'entreprise (par pays)

Source : IDC/EDS, 2001 (base : 350 répondants)

 

Répartition de la cybercriminalité en Europe
Quand on analyse les résultats par pays, on constate certaines disparités de la cybercriminalité en Europe :

  • 42,6% des entreprises italiennes ont été attaquées au moins une fois en 2001
  • 36,6% des entreprises espagnoles
  • 30,3% des entreprises françaises
  • tandis que seulement 28,8% des entreprises en UK déclarent avoir été attaquées au moins une fois durant l'année 2001.
  • L'Allemagne, quant à elle, présente le plus fort pourcentage d'attaques venant de l'extérieur de l'entreprisse avec 51,7%

Les principaux sinistres informatiques rencontrés

 

Parmi les sinistres informatiques suivants, quels sont
ceux auxquels vous avez déjà été confrontés ? (sur les six pays)

Source : IDC/EDS, 2001 (base : 350 répondants)

 

Les virus, les erreurs d'utilisation et les pannes internes apparaissent sans conteste comme les trois sinistres identifiés les plus courants avec respectivement 78,5%, 64,2% et 37,5% des réponses.

IDC note cependant dans les résultats de l'étude une disparité par pays.

  • En Espagne, les pannes internes sont plus fréquentes avec 70,5% des réponses que les vols de matériel qui ne représentent que 9,8% des sinistres rencontrés.
  • En Allemagne, IDC constate que les erreurs d'utilisation sont les sinistres les plus largement identifiés (après les virus) avec 73,3% des réponses. Fait particulier, les entreprises allemandes interrogées affirment ne pas avoir été confrontées à un sinistre d'ordre physique en 2001.
  • En Grande-Bretagne les erreurs d'utilisation ont été citées par 54,2% des répondants contre 37,9% pour les vols de matériel.
  • En Italie, les sinistres les plus fréquemment rencontrés (en dehors des virus qui ont touchés 91,5% des entreprises de ce pays) sont les erreurs d'utilisation et les erreurs de conception avec respectivement 70,2% et 48,9% des réponses.

Pour Etienne Busnel, Expert en Sécurité des Systèmes d'Information d'EDS Answare (France), " Les entreprises européennes se montrent très sensibles à la problématique de la cybercriminalité comme fait extérieur venant perturber ou détruire l'entreprise. Or, au regard des pratiques constatées, les entreprises devraient être au moins aussi vigilantes vis-à-vis des problèmes provenant de l'interne. Ces attaques, deux fois plus nombreuses, sont aussi dommageables, voire plus que les attaques provenant de l'extérieur. "

La méthodologie de l'enquête EDS/IDC :
Cette enquête a été conduite entre le 20 novembre et le 14 décembre 2001 par IDC, auprès de 350 entreprises dans six pays (France, Allemagne, Grande-Bretagne, Italie, Espagne et Afrique du Sud). Cette étude a été réalisée principalement auprès des responsables informatiques (75% des personnes interrogées), réseau (7,5%) et sécurité (5%). Le panel d'entreprises interrogées est composé à 43,8% d'entreprises de plus de 500 salariés et à 56,2% d'entreprises de 100 à 500 salariés. L'ensemble des secteurs d'activité était représenté dont 40,4% pour l'industrie, 14% pour les services et 18,3% pour le commerce.

A propos d'EDS :
EDS, leader mondial des services informatiques, apporte à ses clients les éléments de conseil stratégique, de mise en œuvre et d'hébergement qui leur permettent de surmonter les complexités de l'économie numérique. EDS réunit les meilleures technologies mondiales afin de répondre aux impératifs de ses clients, qu'elle aide à dépasser les frontières, à travers de nouvelles voies de coopération, à mériter la confiance de leurs propres clients et à se placer sur la voie de l'amélioration permanente. EDS, avec sa filiale de conseil en management A.T. Kearney, compte parmi ses clients les plus grandes entreprises et administrations mondiales dans 58 pays. En 2000, la société a réalisé un chiffre d'affaires de 19,2 milliards de dollars. L'action EDS est cotée à la Bourse de New-York (NYSE : EDS) et de Londres. Pour en savoir plus, retrouvez EDS sur www.eds.com.

A propos d'IDC

IDC est le premier groupe mondial de conseil et d'étude sur les marchés des technologies de l'information.

La structure conseil du groupe forme un réseau international de 700 consultants répartis dans plus de 50 pays. IDC fournit aux acteurs du marché de l'informatique et des télécommunications l'ensemble des prestations de conseil marketing nécessaires à la définition et la mise en œuvre de leur stratégie et de leur tactique.


Pour plus d'information sur cette étude contactez :

  • IDC : Franck Nassah
    Tel : 01 41 97 64 00 / Fax : 01 41 97 64 01

  • EDS :
    Luca Pescarmona - EDS EMEA
    + 39 02 25 24 322
    luca.pescarmona@eds.com

    Francis Jubert - EDS
    + 33 1 47 29 68 38
    francis.jubert@eds.com

    Camille Chevallier
    Publicis Consultants
    + 33 1 44 43 69 72

 
Mailing list
IDC met à votre disposition un système d'email d'alerte qui vous permet de connaître les dernières publications d'IDC France (nouveaux communiqués de presse disponibles, nouvelles études, etc...). Pour recevoir dans votre messagerie email les annonces des prochains communiqués de presse, inscrivez vous sur le formulaire suivant.

 

 
A propos d'IDC | Contacter IDC | Privacy Policy | IDC dans le monde | Objectivity
Copyright 2008 IDC. Reproduction is forbidden unless authorized. All rights reserved. Trademarks | Terms of Use