Lundi 23 octobre 2017
NASDAQ : 6629.0532 23.9863   nasdaq0.36 %
RECHERCHE
OK
 
NEWSLETTER
newsletter
Abonnez-vous gratuitement
à notre newsletter
hebdomadaire - Cliquez ICI
Indexel
  • DOSSIERS
  • PRATIQUE
pub Publicité
 

SECURITE, SUR LE TERRAIN

La sécurité, parent pauvre du budget informatique ?

Imprimer Envoyer à un ami Contacter la rédaction
Par Rédaction le 04/04/2002 - indexel.net
 

Quelle place pour la sécurité dans les budgets des entreprises ? Selon les études, elle souffre d´un manque d´attention. Sauf si l´entreprise a une activité particulièrement sensible. Témoignage de quatre responsables aux pratiques différentes.

 

Seulement 1,6 % des budgets informatiques consacrés à la sécurité : le résultat de l´étude publiée par le cabinet IDC au mois de février est alarmant. Car si l´importance accordée à la sécurité informatique est minime, les menaces sont de plus en plus fréquentes. Une entreprise sur trois a été victime d´une attaque en 2001, selon la même étude. Les directions informatiques commencent à se rendre compte de l´urgence et mettent en place des projets de sécurisation. N´est-ce pas alors trop tard ? "Quand il y a un projet de sécurité dans une entreprise, ça ne veut pas dire qu´on donne une importance à ce sujet. Au contraire, il s´agit souvent de l´aveu d´une grande lacune", souligne Alain Vielpeau, responsable de la sécurité des systèmes d´information au Crédit Lyonnais. "La sécurité doit être prise en compte dans tous les projets de l´entreprise et non isolée dans un projet à part".

Mais cette "omniprésence" de la sécurité demande des effectifs et des moyens. Frédéric Hanriot, directeur d´Euro Assurance, assureur spécialisé en motos, a pour cette raison choisi d´externaliser son informatique, y compris la sécurité. "Nous sommes une petite société et nous n´avons pas d´informaticien en interne", explique-t-il. Mais dans cette externalisation totale, la sécurité est un peu noyée dans la masse. Les prestataires qui sont chargés de la gestion du parc, du maintien du site web et de l´hébergement s´occupent aussi de la mise à jour des antivirus et la configuration du firewall.

Un coût supplémentaire

"Nous avons un budget global de 152 500 euros pour l´informatique. La sécurité doit représenter entre 1% et 5% selon l´évolution des besoins. Mais ces dépenses sont totalement transparentes pour nous. Nous n´avons pas de ligne dédiée à la sécurité dans notre budget", avoue Frédéric Hanriot. "Mais ce n´est pas pour cela que la sécurité n´est pas une priorité pour nous", poursuit-il. "Nous pourrions choisir une offre d´hébergement non sécurisé et moins chère. La sécurité a un coût supplémentaire pour nous".

Ce "coût supplémentaire" prend d´autres dimensions dans une entreprise particulièrement soucieuse de la sécurité. Fabricant de pinces de soudage utilisées dans l´industrie automobile, la société Aro veille sur son patrimoine d´informations. L´entreprise a même un service dédié à la sécurité informatique, qui représente 10 % du budget informatique global, soit près de 230 000 euros. "Nous sommes au-dessus des moyennes car nous avons des secrets professionnels à protéger", explique Vincent Trely (photo), responsable de la sécurité informatique. Le budget consacré à la sécurité comprend donc les salaires de deux informaticiens dans le service (contrairement à 12 dans toute l´équipe informatique), les investissements matériels et logiciels (près de 60 000 euros) et les services confiés à un prestataire externe, comme l´audit et la détection d´intrusion (près de 45 000 euros).

L'impossible retour sur investissement

Parmi ces différentes dépenses, les outils de base occupent une grande partie : antivirus, firewall ou sonde de détection. La protection des communications - via un réseau privé virtuel - vient ensuite. L´analyse des logs, études et veille sur les nouvelles technologies comme la signature électronique ou la TéleTVA y prennent également leur place. Même la sécurité physique -caméras de surveillance, gardiens- est comptabilisée, en partie, dans le budget du service. "Nous avons aussi un budget pour les nouveaux projets, comme le déploiement des clés USB (outil physique d´authentification, ndlr) et des mots de passe uniques", explique Vincent Trely.Quand le budget est conséquent, il faut aussi savoir le justifier. "Or dans la sécurité, le retour sur investissement n´existe pas", lance Vincent Trely. "On peut uniquement mesurer le coût de la non sécurité. Mais nous privilégions une autre approche pour justifier le budget : montrer que le niveau de la sécurité s´est amélioré d´une année à l´autre, grâce à un audit interne". Difficile, le métier du responsable sécurité : les dépenses ne semblent pas indispensables quand il n´y a pas de problème. Mais lorsqu´il y a une attaque, tout le monde se tournera vers lui. "Si avec tous les moyens qu´on a mis en place, nous ne pouvons pas empêcher ou stopper une attaque, je commence à chercher du boulot !", sourit-il.

Dans une moindre mesure, la même pression pèse aussi sur Christophe Adet. Responsable informatique de Total Energie, il est le seul informaticien de la filiale spécialisée en énergie solaire du groupe TotalFinaElf. "Nous avons un effectif de 250 personnes et le budget de l´informatique est adapté à cette taille, donc petit", explique-t-il. La sécurité est incluse dans d´autres coûts informatiques, mais il y a parfois de nouveaux besoins qui justifient une dépense supplémentaire. Il faut alors un budget "extensible", qui évolue au fur et au mesure. "Par exemple, nous n´avions pas prévu d´acheter un nouveau firewall cette année. Mais la mise en place de l´Intranet a révélé un besoin dans ce domaine", raconte le responsable. En dehors de ces imprévus, les dépenses pour la sécurité concernent essentiellement les mises à jour des antivirus. "Nous avons subi plusieurs attaques de virus. Mais le piratage ou les risques internes ne sont pas notre première préoccupation", souligne-t-il. "Nous accordons de l´importance à la sécurité, mais sans se laisser gagner par la psychose".

 
Partager :
 
pub Publicité

CloudStack by IkoulaCloudStack by Ikoula

Cloud Computing : Atouts et freins, acteurs du marché, conseils et témoignages