Soyons chauvins un instant : les entreprises Françaises ne se débrouillent pas si mal en matière de sécurité de leur système d’information. C’est en tout cas l’image renvoyée par l’étude que vient de publier Ernst & Young , réalisée auprès d’un panel de 53 entreprises Françaises, dont un peu moins de la moitié dans le secteur de la banque et des finances (ceci explique peut-être cela).L’étude montre des entreprises Françaises plutôt conscientes des risques, qui bénéficient d’une forte implication de la Direction Générale et qui mettent un point d’honneur à respecter les réglementations en vigueur.Ainsi, 90% d’entre elles disent respecter totalement ou partiellement la législation, contre 66% pour le reste du monde.Nos Directions Générales reçoivent un rapport sur la sécurité de l’entreprise chaque trimestre ou mieux (à 48% contre 36% dans le monde) et, chose plus étrange, il y a en France deux fois plus de Directeurs Généraux directement responsables de la sécurité que dans le reste du monde (11% contre 5%). Un réflexe peut-être issu de notre vieille habitude de la centralisation à outrance…Des lacunes, aussi…Mais tout n’est pas parfait dans le paysage des RSSI français, loin de là. Les entreprises hexagonales demeurent par exemple à la traîne lorsqu’il s’agit de former leur personnel à la sécurité (15% seulement le font, contre 28% dans le monde).D’un point de vue opérationnel, seulement 39% d’entre elles estiment être en mesure de détecter une attaque en cours, alors qu’elles sont 66% a avoir cette capacité dans le reste du monde. Pire, les entreprises françaises ne sont pas organisées et boudent les plans de continuité d’activité : seules 28% d’entre elles investissent dans le domaine des procédures et des processus (contre 48% à l’étranger) et elles sont 47% à disposer d’un plan de continuité d’activité, contre 67% dans le monde.Enfin, seules 32% des entreprises françaises contrôlent les plans de continuité de leurs partenaires, alors que la pratique est généralisée à l’étranger (54%).Conséquence de ce manque d’organisation ou simple anecdote, les arrêts de systèmes critiques à la suite d’erreurs d’exploitation (mauvais logiciel installé, mauvaises manipulations) sont deux fois plus nombreuses en France qu’à l’étranger (30% contre 15%). L’étude aborde aussi l’éternelle quête du ROI (que seules 18% des entreprises estiment savoir calculer), et la recherche de la cohérence entre la politique de sécurité et les impératifs métier, un exercice plutôt délicat.Le tableau que nous présente Ernst & Young est ainsi une lecture instructive qui a le mérite de montrer le chemin qui reste à parcourir aux entreprises Françaises… et là où elles peuvent servir de modèle !