Des PSI soutenues par la DG et appuyées sur des standards

Cela ne signifie toutefois pas que la Direction Générale se désintéresse de la sécurité, bien au contraire. Ainsi, bien que seulement 63% des entreprises aient formalisé une politique de sécurité de l’information (un taux inchangé en deux ans), la quasi-totalité de celles-ci est soutenue par la DG (93%). Ceci se fait toutefois au détriment de la DSI et du RSSI, moins directement impliqués dans son élaboration (la DSI l’était à 80% il y a deux ans et ne l’est plus que dans 60% des cas aujourd’hui, tandis que le RSSI passe de 46% à 34% d’implication directe). L’on retrouve ici probablement l’effet d’une approche plus globale de la sécurité.

Enfin 75% de ces PSI sont désormais appuyées sur des standards ou des normes. Il s’agit alors essentiellement de la norme ISO 27001 ou d’un référentiel interne.

L’analyse de risque, oui. La classification, non !

Curiosité de l’étude : la pratique de l’analyse de risque semble fortement progresser au sein des entreprises (54% des entreprises en font de manière totale ou partielle, contre seulement 38% en 2010). En revanche dans le même temps la pratique de la classification des données recule : 38% des entreprises ne la pratiquent pas, contre 34% il y a deux ans.

L’on peut alors se demander comment analyser le risque sur ce que l’on ne connaît pas ? Ces résultats illustrent probablement une attention trop portée sur le matériel (les solutions, les machines) et pas assez sur l’immatériel (l’organisation, l’information, la sensibilisation).

Dans le cas de l’analyse de risque sans classification des données l’on pourrait suspecter que ces analyses en particulier ne portent que sur les ressources matérielles (serveurs, applications) et non sur la sensibilité de l’information elle-même (et considérant la difficulté d’un projet de classification des données, on le comprend aisément).