Déterminer quelle somme dépenser en matière de sécurité des TI

Transcription

1 Déterminer quelle somme dépenser en matière de sécurité des TI Un InfoDossier d IDC 2015

2 Introduction Les organisations peinent à déterminer quelle somme dépenser en matière de sécurité des TI, un investissement que beaucoup comparent aux assurances : personne ne veut payer plus que le strict nécessaire. Ce rapport IDC vous offre des conseils pour vous aider à déterminer la taille appropriée de votre budget en matière de sécurité, de même qu à évaluer les options grandissantes qui s offrent à vous, des services sur les lieux aux services gérés, en passant par l infonuagique. Pour ce faire, IDC a établi le profil des investissements en matière de sécurité d organisations canadiennes, aux côtés de leurs succès et leurs échecs, créant ainsi un point de comparaison pour vous permettre de dresser des parallèles avec vos propres activités. Les résultats de cette étude proviennent d une recherche effectuée par IDC au Canada, en Les organisations canadiennes disent dépenser en technologie de sécurité en moyenne un peu moins de 10 % de leur budget en matière de TI, sans compter les dépenses liées aux services et aux employés. La somme investie en TI par une organisation dépend d un éventail de critères. Ainsi, les organisations qui s adressent aux consommateurs, qui ont une importante surface d attaque, une marque reconnue, une propriété intellectuelle bien gardée et qui doivent être en conformité avec les exigences réglementaires de l industrie et avec la législation gouvernementale ont tendance à dépenser plus que leurs pairs. Toutefois, la réalité est que des organisations de tous types ont connu des brèches de sécurité. Il existe encore parmi les organisations aux marques moins connues, ayant une surface d attaque réduite et des exigences réglementaires moins strictes, une confiance injustifiée en la «sécurité par l obscurité». Les organisations canadiennes disent dépenser en technologie de sécurité en moyenne un peu moins de 10 % de leur budget en matière de TI, sans compter les dépenses liées aux services et aux employés. p. 2

3 Votre budget en matière de sécurité mis en perspective IDC a étudié les budgets, les brèches récentes, les niveaux de maturité et plusieurs autres critères clés de plus de 200 organisations canadiennes, ce qui lui a permis de tracer quatre profils de sécurité distincts. Les diagrammes suivants illustrent le large fossé qui existe entre les organisations qui réussissent bien et qui obtiennent une note élevée en matière de sécurité des TI et celles qui ont une faible sécurité. Même si toutes les organisations ne se valent pas et que par conséquent leurs investissements dans la sécurité varient, le fossé entre les entreprises performantes et peu performantes en matière de sécurité ne devrait pas être aussi grand. Les défaitistes Les autruches Les réalistes Les égoïstes Ce groupe d organisations souffre d un manque de financement en matière de sécurité des TI. Un sous-financement et une planification inadéquate ont augmenté les dommages en rendant ces organisations plus vulnérables aux brèches de sécurité. Ces organisations sont dites «défaitistes» puisque leurs intervenants et professionnels en matière de TI/sécurité ont tendance à cesser tout lobbyisme auprès des chefs d entreprise afin d obtenir du soutien. Les industries du secteur manufacturier et du secteur primaire prédominent dans ce profil, mais IDC y a trouvé des exemples d organisations de toute taille et de tout secteur. Ces organisations ont financé de manière modérée la sécurité des TI, mais ont de mauvaises pratiques de sécurité. Leur véritable défi repose sur le fait que, souvent, elles ne se rendent pas compte de la gravité de la situation. Elles sont plus susceptibles que la moyenne de souffrir d atteintes à la protection des données, et pourtant elles conservent un niveau de confiance élevé en leur sécurité. Même si elles achètent la bonne technologie, elles négligent les compétences et la formation en matière de sécurité, de même que les processus pour une meilleure gestion des risques; il s agit là de l un de leurs problèmes manifestes. On retrouve dans ce profil des organisations du secteur public et du secteur des télécommunications, mais aussi des organisations de différents secteurs et de différentes tailles. Ces organisations font un assez bon travail en matière de sécurité des TI. En fait, elles dépensent peut-être même trop sans le savoir. Elles ne passent pas assez de temps à travailler sur un processus de gestion des risques officiel afin d évaluer et de mesurer correctement leur performance continue en fonction d un montant donné d investissements. Les détaillants prédominent dans ce profil, mais on retrouve également ceuxci parmi les défaitistes et les autruches. On trouve dans ce profil l élite en matière de sécurité. Ces organisations ont aligné leurs dépenses sur leur niveau de risque, subissent moins de brèches, se concentrent sur le recrutement et la conservation d excellents professionnels en matière de sécurité et ont atteint un degré élevé de maturité en ce qui concerne le personnel, les processus et la technologie. Elles n ont qu un point faible potentiel : leur confiance inébranlable. Cette confiance, bien que sans doute justifiée, ne devrait pas nuire à la vigilance. Le secteur bancaire et financier canadien prédomine dans ce profil. De plus, on y retrouve de nombreux exemples d organisations du secteur public et de fournisseurs de services. p. 3

4 Votre budget en matière de sécurité mis en perspective (suite) Les défaitistes Les autruches Les réalistes Les égoïstes La sécurité en matière de TI de ces organisations est faible et sous-financée Ces organisations ont une sécurité en matière de TI faible, mais elles n en ont pas pleinement conscience Ces organisations ont une bonne sécurité en matière de TI et elles cherchent à l améliorer encore Ces organisations ont une excellente sécurité en matière de TI, mais elles courent le risque d un excès de confiance Pourcentage des organisations 23 % 37 % 23 % 17 % Brèches comparativement à la moyenne Plus Plus Moins Moins Pourcentage du budget en TI consacré à la sécurité 6 % 8 % 14 % 12 % Confiance en leurs défenses de sécurité Faible Élevée Faible Élevée Priorités Essais-erreurs/ peu d importance accordée au processus de gestion des risques Technologie avant le personnel/processus Formation des employés/analyse comparative avec les pairs externes Processus de gestion des risques officiel/ embauche de personnel de qualité Niveau de maturité, échelle de 1 à Profil d industrie Secteur manufacturier/ primaire Secteur public/ infrastructure/ télécommunications Vente au détail/ distribution Finances Dépenses actuelles en matière de sécurité des TI 9,8 % du budget alloué aux TI Dépenses IDÉALES en matière de sécurité des TI 13,7 % du budget alloué aux TI Sur le marché intermédiaire en 2015, IDC a noté une augmentation plus élevée que la moyenne du budget en matière de sécurité des TI, ce qui est une excellente nouvelle pour un segment de marché qui a particulièrement besoin d améliorer sa sécurité. IDC reconnaît que, pour certaines organisations, le budget alloué à la sécurité ne fait pas partie du budget des TI. Nous avons utilisé les dépenses totales en TI comme point de référence commun à appliquer dans la plupart des cas. p. 4

5 Investir l argent là où les besoins sont les plus grands IDC a demandé aux organisations canadiennes d estimer la probabilité que leurs divers actifs physiques et que leurs ressources humaines soient compromis, puis d évaluer les conséquences d une brèche. Il est étonnant de constater que les tablettes, les téléphones intelligents et les applications Web sont peu considérés comme de potentielles failles de sécurité, ce qui a pour conséquence d entraîner un sous-financement dans ces secteurs. Probabilité Probabilité plus élevée, impact plus faible Probabilité plus faible, impact plus faible USB Ordinateur portable Courriel Téléphone intelligent Wi-Fi Tablette Applis Web Infonuagique Ordinateur de bureau Réseau câblé Impact Employés Probabilité plus élevée, impact plus élevé Serveur Probabilité plus faible, impact plus élevé Il est étonnant de constater que les tablettes, les téléphones intelligents et les applications Web sont peu considérés comme de potentielles failles de sécurité, ce qui a pour conséquence d entraîner un sous-financement dans ces secteurs. p. 5

6 Investir l argent là où les besoins sont les plus grands (suite) Les employés sont considérés comme un maillon faible en matière de sécurité. Beaucoup d organisations souhaiteraient allouer une plus grande part de leur budget en sécurité à la formation des employés (principalement les employés des services non liés aux TI, tels que les ventes, le marketing et les ressources humaines). En moyenne, les organisations voudraient dépenser un important 24 % de leur budget en matière de sécurité des TI pour l élaboration de meilleures pratiques, la sensibilisation et l éducation. Toutefois, en réalité, le pourcentage du budget consacré au renforcement des connaissances des employés en matière de sécurité continuera à être bien en deçà de ce pourcentage. Pour offrir un point de vue différent sur la question, IDC a additionné tous les produits de sécurité achetés au Canada dans huit catégories différentes afin d obtenir un aperçu de la façon dont une organisation canadienne moyenne répartit son budget en sécurité. La figure à droite illustre comment ce budget est réparti, en fonction des actifs technologiques qui sont sécurisés. Répartition du budget en sécurité en fonction de huit technologies 6,3 % Serveur 5,2 % Courriel 3,7 % Appareil mobile 14,0 % GSV 16,9 % GIA 32,8 % Réseau 8,6 % Web 12,5 % Ordinateurs GSV : gestion de la sécurité et de la vulnérabilité GIA : gestion des identités et des accès p. 6

7 Les investissements dans la sécurité se font moins traditionnels Il existe une pénurie de compétences en matière de sécurité des TI, et cela est en train de transformer le marché de la sécurité. De plus en plus, les organisations comblent ce manque de compétences avec des services de sécurité gérés et/ou des services de sécurité infonuagiques. Le pourcentage total du budget en sécurité alloué à l infonuagique et montré dans la figure ci-dessous se rapporte aux actifs traditionnels sécurisés au moyen de l infonuagique plutôt que dans l infonuagique. Avec le temps, IDC prévoit une forte croissance des dépenses canadiennes en matière de sécurité afin de protéger les applications et les données exploitées dans l infonuagique. Par exemple, les organisations ont besoin d une visibilité du trafic entrant et sortant des infrastructures, des plateformes ou des logiciels sous forme de service. Les fournisseurs de services d infonuagique s occupent en partie de la sécurité, mais votre organisation continuera à superviser la prévention des pertes de données, la gestion de l identification et ainsi de suite. L infonuagique est un sujet épineux au Canada, en raison surtout des craintes liées à la loi antiterroriste américaine Patriot Act qui permet aux forces de l ordre américaines d imposer la divulgation des données stockées dans un centre de données américain. Le vent commence toutefois à tourner; en effet, près de 7 organisations canadiennes sur 10 estiment maintenant que les fournisseurs de services d infonuagique sont plus sûrs que leurs propres TI. Attribution optimale du budget désirée par les organisations canadiennes Serveur Réseau Ordinateurs Web GIA GSV Appareil mobile Courriel Sur les lieux 82 % 81 % 73 % 59 % 57 % 54 % 51 % 49 % Services gérés 9 % 11 % 15 % 22 % 25 % 29 % 24 % 25 % Infonuagique/SaaS 9 % 8 % 12 % 19 % 18 % 17 % 25 % 26 % p. 7

8 Calculer la somme à investir en matière de sécurité des TI Il ne faut pas commencer par la fixation d un montant en dollars, mais plutôt par l élaboration d un processus de gestion des risques. Malgré cela, la plupart des organisations choisissent une approche ad hoc, basant leurs décisions budgétaires sur l essai et l erreur ou réagissant aux problèmes à mesure qu ils surviennent, au lieu d adopter une approche proactive du cadre de sécurité. Ce processus proactif est surveillé et répété, de sorte que les lacunes sont comblées avec le temps. Seulement un tiers des organisations canadiennes de moyenne et de grande taille, et beaucoup moins de petites entreprises, s engagent dans ce processus facile (mais qui demande beaucoup de temps). Le processus de gestion des risques est relativement simple : 4 Découvrez et faites l inventaire de vos actifs (dispositifs des utilisateurs, applications, périphériques réseau, référentiels d entreprise, chaînes d approvisionnement/ partenaires). Détectez les vulnérabilités/faiblesses de ces actifs et établissez quelles menaces pourraient compromettre chacun d entre eux 4 Déterminez vos investissements en matière de technologies, de compétences et de processus (appelés contrôles et contre-mesures) et établissez vos priorités. Basez vos décisions sur la matrice de probabilité et d impact créée à l étape Découvrir et détecter 4 Déployez les contrôles afin de réduire la vulnérabilité des actifs et de les protéger contre des menaces données Processus simplifié de gestion des risques de sécurité Recommencer Déterminer l efficacité des contrôles. Évaluer le profil de risque. Répéter. Découvrir et détecter Identifier les actifs/établir leur valeur. Identifier les vulnérabilités et les menaces. Créer une matrice d impact et de probabilité des risques. Déployer Établir le calendrier/la responsabilité en ce qui concerne la mise en œuvre. Mettre en œuvre les contrôles. Déterminer Identifier les contrôles. Comparer le coût des contrôles et les bénéfices/ le retour. Établir les priorités en matière de contrôle. 4 Recommencez et répétez ce processus de manière continue (au moins une fois par année), tout en mesurant l efficacité de vos investissements (de préférence en temps réel) p. 8

9 Planifier au-delà de l exercice financier Élaborez un plan sur plusieurs années afin de prévoir les progrès de votre organisation en matière de gestion des risques de sécurité, de sélection de la technologie, de recrutement/conservation des professionnels en sécurité, de formation des employés, d intervention en cas d incident et d un éventail d autres domaines prioritaires. Établissez un point de comparaison pour vos activités de sécurité afin d avoir une référence qui vous permettra de mesurer vos progrès futurs. Les organisations faisant partie de nos profils de sécurité gagnants «Réalistes» et «Égoïstes» ont tendance à suivre un plan d action mesurable afin d atteindre un niveau de sécurité plus élevé que la moyenne. La maturité en matière de sécurité en cinq niveaux Niveau 5 Optimale Niveau 1 Ad Hoc Les processus de sécurité, les technologies, la formation et les compétences sont incohérents au sein de l entreprise. Niveau 2 Gérée Pour certains secteurs et certaines applications et données clés au sein de l entreprise, il existe une approche officielle concernant les processus, le perfectionnement de la technologie et des compétences, la surveillance et les interventions en cas d incident. Niveau 3 Définie Au sein de l entreprise, il existe un processus de gestion des risques officiel pour l application des technologies, des politiques, des compétences, des interventions en cas d incident, etc. Niveau 4 Quantitative Visibilité constante afin de comparer la performance continue aux indicateurs de risque pour les technologies, les politiques, la formation, les compétences en matière de sécurité, etc. La sécurité n est jamais «optimale», mais l atteinte de ce niveau signifie que les compétences fondamentales en matière de sécurité sont dignes d être vendues à d autres entreprises. p. 9

10 Étapes suivantes 4 Établissez votre budget en fonction du coût des contre-mesures et des contrôles définis durant votre processus de gestion des risques 4 Référez-vous aux organisations qui ont réussi à garder les brèches de sécurité à un minimum tout en dépensant pour la sécurité 12 % de leur budget en matière de TI 4 Élaborez un plan sur plusieurs années afin d examiner le retour obtenu sur le montant investi en sécurité Auteurs : David Senf, vice-président du programme, Solutions d infrastructure Kevin Lonergan, analyste, Solutions d infrastructure Dave Pearson, directeur de recherche, Stockage et réseautage Commanditaire : IBM À propos d IDC International Data Corporation (IDC) est le principal fournisseur mondial en matière d information commerciale, de services de conseils et d événements sur les marchés des technologies de l information, des télécommunications et des technologies grand public. IDC aide les professionnels des TI, les chefs d entreprise et les membres de la communauté financière à prendre des décisions basées sur des données factuelles pour leurs achats de produits et services technologiques et leurs stratégies d affaires. Plus de analystes d IDC partagent leur expertise mondiale, régionale et locale au sujet de la technologie, des possibilités et tendances de l industrie dans plus de 110 pays. Depuis 50 ans, IDC formule des conseils stratégiques pour aider ses clients à atteindre leurs principaux objectifs opérationnels. IDC est une filiale d IDG, chef de file mondial du marché de l information, de la recherche et de l organisation d événements consacrés aux technologies de l information. p. 10