TORONTO, le 27 Septembre 2006 — Les entreprises canadiennes se soucient davantage de protéger leur réputation que leurs concurrentes à l’échelle mondiale lorsqu’elles engagent des dépenses liées à la sécurité de l’information. C’est l’une des conclusions du plus récent sondage mondial sur la situation en matière de sécurité de l’information, intitulé Global State of Information Security (GSIS), qui a été mené en 2006 par les publications CIO et CSO et PricewaterhouseCoopers (PwC). Cinquante-trois pour cent des entreprises canadiennes qui ont participé au sondage ont affirmé que c’est dans le but de préserver leur réputation qu’elles investissent dans la sécurité de leur information, ce qui est un taux beaucoup plus élevé que la moyenne mondiale, qui s’établit à 4 %.
« Les relations avec les clients et la rentabilité à long terme d’une entreprise peuvent dépendre de sa réputation », affirme Robert Riemer, leader du groupe Sécurité et protection des renseignements personnels de PwC pour la région du Grand Toronto. « La perte de données, comme des profils de clients, attribuable à des lacunes en matière de sécurité de l’information peut entacher l’image de marque d’une entreprise. Les problèmes de relations publiques liés à la perte de renseignements relatifs à l’identité des clients peuvent entraîner des conséquences désastreuses sur le plan des coûts, mais il est possible de les prévenir en adoptant des mesures d’ensemble en matière de sécurité de l’information. »
Le sondage GSIS, le plus important du genre, a permis de recueillir les réponses de près de 7 800 cadres supérieurs de sociétés de tous les secteurs qui exercent leurs activités dans plus de 50 pays. Deux cent cinquante entreprises canadiennes de tailles diverses et représentant un large éventail de secteurs ont participé au sondage.
Le sondage révèle que 67 % des entreprises canadiennes font appel activement tant aux responsables des groupes fonctionnels qu’à ceux de la TI lorsqu’elles doivent prendre des décisions en matière de sécurité de l’information; cette proportion est de 52 % à l’échelle mondiale. Cette constatation très positive démontre que les entreprises canadiennes sont de plus en plus conscientes que la sécurité de l’information représente aujourd’hui un enjeu commercial clé.
Cependant, les entreprises comptent encore trop sur les budgets alloués à la TI pour financer leur sécurité. Dans certains secteurs, note M. Riemer, les entreprises canadiennes ont compris que toutes les unités fonctionnelles devraient contribuer au budget de la sécurité de l’information. Malheureusement, nombre de sociétés continuent à financer la sécurité à même les fonds prévus pour la TI, et un meilleur équilibre doit être atteint. Les manquements en matière de sécurité de l’information ont des répercussions sur tous les services; c’est une question qui va bien au-delà de la TI, c’est un enjeu commercial.
Les entreprises établies au Canada ont répondu dans une proportion de 87 % que leurs budgets au chapitre de la sécurité de l’information sont englobés dans le budget de la TI. Par comparaison, cette proportion s’établit à 79 % à l’échelle mondiale. Pour ce qui est des dépenses totales, 48 % des entreprises ont déclaré prévoir une augmentation de leurs budgets en matière de sécurité de l’information en 2006, tandis que 42 % ne prévoient aucun changement sur ce chapitre. Les répondants ont révélé que les deux principaux obstacles à l’amélioration de la sécurité étaient les budgets limités et le nombre restreint de membres du personnel affectés à cette fonction.
Le sondage GSIS 2006 a également examiné la sécurité de l’information par rapport à l’impartition et a permis de découvrir que la confiance n’est pas élevée à l’égard de la sécurité des impartiteurs. Quarante-trois pour cent des répondants ont déclaré n’avoir pas du tout confiance ou seulement quelque peu confiance en la sécurité de leurs impartiteurs, tandis que 20 % seulement ont dit avoir une grande confiance en eux à cet égard. Selon M. Riemer, lorsque les entreprises évaluent les coûts et les avantages de l’impartition, elles doivent considérer la sécurité comme un facteur clé de leur décision.
« Avant d’externaliser de l’information, il est essentiel de disposer de tous les éléments permettant de prendre une décision éclairée, affirme M. Riemer. Les entreprises doivent comprendre à quel point leur information est sensible, et établir des normes et des lignes directrices appropriées que leurs impartiteurs doivent accepter de respecter. »
Le sondage révèle, de façon inattendue, que 6 % des répondants canadiens n’offrent qu’une formation restreinte ou aucune formation sur la sécurité aux utilisateurs finaux de leur technologie, soit les membres de leur personnel. « À long terme, les entreprises doivent créer une culture de sécurité en milieu de travail afin que le personnel reconnaisse les menaces à la sécurité de l’information interne et sache comment s’y opposer, précise M. Riemer. C’est une tâche qui peut être longue, mais c’est l’un des meilleurs mécanismes de défense qu’une entreprise puisse mettre en place. »
En ce qui a trait à la dotation en personnel, le sondage a permis d’apprendre que 64 % des entreprises canadiennes affectent deux employés ou moins à temps plein ou l’équivalent à la sécurité de l’information, un résultat supérieur à la moyenne mondiale, qui est de 55 %. Vingt et un pour cent des entreprises qui ont participé au sondage comptent dans leur rang un chef de la sécurité informatique. « Bien que cette tendance se compare à celle que l’on constate dans les autres pays, il s’agit cependant d’un faible pourcentage, et une amélioration est nécessaire sur ce plan, ajoute M. Riemer. Définir le rôle d’un chef de la sécurité informatique peut aider les entreprises à mieux comprendre les menaces et les risques visant leurs actifs informationnels, à améliorer de façon durable leur situation en matière de sécurité et à s’adapter à la réglementation complexe et croissante relative à l’information et aux renseignements personnels. »
Dans le sondage de 2006, on a également demandé aux entreprises s’il existait un lien entre leurs politiques en matière de sécurité et leurs dépenses. Moins du tiers des répondants canadiens ont déclaré que leurs fonctions responsables de la sécurité physique et de la sécurité en matière de TI relevaient du même cadre supérieur, comparativement à 40 % à l’échelle mondiale.
« Les équipes chargées de la sécurité de l’information doivent collaborer avec le personnel responsable de la sécurité physique afin de protéger une entreprise. Les deux secteurs ne peuvent plus travailler indépendamment l’un de l’autre, affirme M. Riemer. Si une ressource comme un ordinateur portatif est perdue ou volée, l’entreprise perd non seulement l’ordinateur, mais également l’information qu’il contient, ce qui peut représenter une bien plus grande valeur. Un des moyens à prendre pour harmoniser le travail des équipes responsables de la sécurité physique et de la sécurité de l’information est d’offrir une formation interéquipes à des membres du personnel travaillant dans des services distincts. L’essentiel est de veiller à la collaboration entre les deux équipes. »
Le fait de travailler en collaboration pour assurer la sécurité physique et la sécurité informatique peut aussi aider les entreprises à mieux planifier la poursuite des activités et la reprise après un sinistre. De ce point de vue, les répondants canadiens se plaçaient en tête du peloton. Soixante-quatorze pour cent des entreprises canadiennes ont déclaré que la continuité et la reprise des activités étaient les principaux facteurs qui justifiaient leurs dépenses au chapitre de la sécurité de l’information, comparativement à 57 % de leurs concurrentes ailleurs dans le monde.
Pour obtenir plus de renseignements sur le sondage GSIS 2006, rendez-vous à l’adresse www.pwc.com/ca/security.
PricewaterhouseCoopers (www.pwc.com) fournit des services de certification et de conseil ainsi que des services fiscaux adaptés aux secteurs d’activité afin de renforcer la confiance du public et de créer la valeur ajoutée que recherchent les clients et les parties prenantes. Plus de 130 000 personnes réparties dans 148 pays utilisent Penser interactif pour offrir de nouvelles perspectives et des conseils pratiques. Au Canada, PricewaterhouseCoopers s.r.l./s.e.n.c.r.l. (http://www.pwc.com/ca/fra) et ses entités apparentées comptent plus de 4 300 associés et employés. PwC offre des solutions en matière de sécurité et de protection des renseignements personnels à de nombreuses entreprises réparties un peu partout au pays, notamment à Vancouver, Calgary, Winnipeg, Toronto, Ottawa, Montréal, Québec et Halifax.
(Sauf indication contraire, « PricewaterhouseCoopers » s’entend de PricewaterhouseCoopers s.r.l./s.e.n.c.r.l., Canada, société à responsabilité limitée de l’Ontario. PricewaterhouseCoopers s.r.l./s.e.n.c.r.l., Canada, est une société membre de PricewaterhouseCoopers International Limited.)
