sécurité, sécurité informatique, IT, attaques, systèmes informatiques, attaques internes, attaques externes, institutions financières, Deloitte

Les attaques internes des systèmes informatiques dépassent en importance les attaques externes dans les plus importantes institutions financières du monde. C’est ce que révèle le sondage mondial sur la sécurité 2005 mené par les praticiens des sociétés membres du secteur des Services financiers de Deloitte Touche Tohmatsu (DTT). Trente-cinq pour cent des répondants ont confirmé avoir subi des attaques de l’intérieur au cours des 12 derniers mois (par rapport à 14 % en 2004), comparativement aux 26 % des répondants, qui ont été l’objet d’attaques de sources externes (par rapport à 23 % en 2004). Le troisième sondage annuel sur la sécurité constitue une mesure internationale de l’état de la sécurité informatique dans le secteur financier.

« Les institutions financières ont fait de grands progrès dans la mise en œuvre de solutions technologiques qui les protègent contre les menaces externes directes. Toutefois, l’intensification et le raffinement accru des attaques qui ciblent les clients et des attaques internes sont le signe que nous faisons face à une nouvelle menace », explique Marcel Labelle, associé responsable des Services en sécurité de l’information chez Deloitte.

Faits saillants canadiens
La moitié des répondants canadiens ont reconnu avoir été victimes d’un bris de sécurité sous une forme ou sous une autre. À l’inverse, comme la conformité à la Loi sur la protection des renseignements personnels et à la Loi Sarbanes-Oxley stimule les initiatives en matière de réglementation au Canada, la majorité des répondants (78 %) ont indiqué qu’ils pouvaient compter sur l’engagement de la direction et un financement permettant de répondre à ces exigences.

Des menaces croissantes à la sécurité
L’hameçonnage et le détournement de données (leurrer les gens pour les amener à divulguer des renseignements sensibles en utilisant des adresses de courriel et des sites Web fictifs) se sont ajoutés l’an dernier aux principales menaces à la sécurité que doivent affronter les institutions financières. Ces procédés ont montré que le facteur humain représente un nouveau maillon faible dans la chaîne de la sécurité. Le déplacement de la tendance des attaques externes vers les attaques internes et les tactiques qui exploitent le comportement humain plutôt que les failles technologiques s’expliquent par la meilleure utilisation des techniques de sécurité informatique, et notamment par le recours accru aux solutions antivirus, aux réseaux privés virtuels et au filtrage et à la surveillance du contenu.

La formation à la sécurité et la sensibilisation ne reçoivent pas encore une grande attention de la part des responsables de la sécurité informatique. Ainsi, moins de la moitié (46 %) des répondants ont des initiatives de formation et de sensibilisation à leur programme des 12 prochains mois. La formation et la sensibilisation demeurent à la fin de la liste des initiatives en matière de sécurité, loin derrière la conformité à la réglementation (74 %) et la production de rapports et les mesures (61 %). En outre, ces résultats cadrent bien avec les plans d’investissement futurs en sécurité des institutions financières, où les fonds sont pour la plupart destinés aux dispositifs de sécurité (64 %), la sensibilisation et la formation des employés récoltant seulement 15 %. Les institutions financières dotées de plans de sensibilisation à la sécurité des clients sont très peu nombreuses.

« Afin de réduire au maximum le facteur de risque humain, les institutions financières ont privilégié les solutions intégrées, ajoute Marcel Labelle. Compte tenu de la progression des menaces comme le vol d’identité, l’hameçonnage et le détournement de données, les entreprises devraient mettre en œuvre des solutions de gestion de l’identité comprenant la gestion de l’accès, de la vulnérabilité, des corrections et des incidents compromettant la sécurité. Il faudrait que la formation en sécurité et la sensibilisation complètent ces solutions si les institutions financières veulent réduire au maximum le nombre de menaces liées au comportement humain. »

Méthodologie
Les praticiens des sociétés membres du secteur des Services financiers de DTT ont effectué le sondage, mené sous forme d’entrevues individuelles et de questionnaires en ligne, auprès de dirigeants de services informatiques (chef de la sécurité informatique, chef des services informatiques, équipe de gestion de la sécurité, etc.) de plusieurs des 100 services financiers les plus importants du monde. Les questions portaient sur la gouvernance, les investissements, la valeur, le risque, l’utilisation des techniques de sécurité, la qualité des activités et la confidentialité. Les répondants provenaient d’entreprises ouvertes et fermées de toutes les régions du monde, incluant les Amériques, l’Europe, le Moyen Orient, l’Afrique, l’Asie, le Pacifique et l’Amérique latine.

Téléchargez la version intégrale du sondage 2005 Global Security Survey. (en anglais seulement)