La confiance institutionnelle dans la sécurité peut cacher des mesures tout sauf efficaces dans la protection des données. Les risques continuent d'augmenter alors que les entreprises n'évoluent pas toujours pour prévenir la perte de données.
De nombreuses entreprises sont confiantes dans l'efficacité de leur sécurité, mais certains facteurs hors de leur contrôle accroissent le risque comme, par exemple, la diminution des budgets, l'augmentation des incidents et les nouvelles technologies non sécurisées. L'étude Global State of Information Technology réalisée par différentes publications sur la sécurité a demandé à des responsables de différents secteurs leur opinion sur les mesures et pratiques de sécurité de leur entreprise. Les réponses furent largement positives : de nombreux répondants ont confiance dans la sécurité de leur entreprise (42%) et la plupart d'entre eux estiment qu'ils ont distillé dans la culture de leur organisation l'importance de comportements de sécurité efficaces (68%). La plupart ont également déclaré que leurs actions en matière de sécurité informatique sont efficaces (71%) mais ces niveaux de confiance sont bien moins élevés qu'il y a quatre ans (83% en 2008).
Des apparences trompeuses…
L'étude a développé ses propres paramètres pour déterminer les leaders de la sécurité informatique : les entreprises doivent développer une stratégie globale, appointer un CISO qui rapporte au plus haut niveau et avoir mesuré, au courant de la dernière année, l'efficacité de la sécurité et avoir compris « exactement quel type d'événements de sécurité se sont déroulés ». De nombreux répondants qui décrivent leur entreprise comme étant à la pointe (dispose d'une stratégie efficace et l'exécute de façon proactive) ne répondent pas aux critères, seuls 8% y arrivant. Cela signifie que la plupart des entreprises ont de la marge en matière d'améliorations ; cependant, parmi les responsables de la sécurité, les niveaux de bonnes pratiques étaient bien meilleurs. Ces derniers intègrent plus souvent la sécurité dès le début des projets ou alignent les dépenses de sécurité aux objectifs de la business.
Les stratégies efficaces requièrent une évaluation correcte du business
Les dépenses de sécurité ont augmenté lorsque l'économie était au plus bas mais elles n'ont pas évolué avec les besoins. La situation économique a été le principal aiguillon de ce type de dépenses, selon 46%, alors que les business continuity ou disaster recovery plans ont recueilli 31% des réponses. Pour garder leur efficacité, les entreprises doivent s'adapter aux exigences en matière de sécurité : si elles essayent de faire des économies, en ces temps difficiles, elles s'exposent à de grands risques si jamais leur données étaient compromises. Les responsables de la sécurité doivent mettre en place une stratégie d'évaluation du risque et comprendre qui essaye d'obtenir leurs informations, et comment. Avec une stratégie efficace, la sécurité informatique peut aussi bien protéger les données que créer de la valeur ajoutée.