L’échantillon interrogé était composé de décideurs informatiques seniors, de responsables de la gestion des risques ou de la conformité ainsi que de CEO, COO et CIO de sociétés de services financiers implantées au Royaume-Uni, en Espagne, en Italie, en France, en Allemagne et au Benelux. L’objectif de cette étude était d’obtenir une vision détaillée de la façon dont les établissements bancaires gèrent les risques pesant sur les informations dans un contexte où, chaque semaine, de nouvelles atteintes à leur intégrité sont révélées – et où les standards de sécurité conditionnent grandement la fidélisation de la clientèle et la réputation des établissements. Cette étude révèle que la gestion des risques informationnels occupe une position élevée dans les priorités des décideurs qui, pour 67 % d’entre eux, doit faire l’objet d’une approche globale d’entreprise. Néanmoins, les résultats démontrent également que les progrès réalisés sont plutôt lents – puisque seulement 32 % des sondés ont déjà mené à bien la première phase consistant à supprimer les « silos » informationnels pour adopter une approche globale de la sécurité.
Une approche globale est impérative
Pour les répondants, les barrières organisationnelles internes restent l’obstacle majeur pour gérer les risques pesant sur les informations – qui ne sont généralement pas considérés dans le cadre d'une stratégie globale et cohérente (la moitié des répondants reconnaissant que la conformité avec les exigences réglementaires est traitée au cas par cas et non dans le cadre d’une approche stratégique).
Cette approche fragmentaire va de pair avec une vision plutôt étroite de la sécurité des informations – et de la façon dont elle peut être obtenue. Seulement 19 % des décideurs interrogés reconnaissent que la sécurisation du périmètre n’est pas suffisamment efficace pour protéger les informations bancaires. Alors que presque la moitié des répondants (47 %) se focalise sur la sécurisation des informations plutôt que du périmètre, seulement 43 % comprennent la nécessité d’étendre la sécurisation au-delà des frontières de leurs propres systèmes (par exemple au niveau des partenaires, consultants ou sous-traitants) révélant une nette distorsion entre la réalité et la vision stratégique.
Andrew Moloney, Directeur des services financiers pour la région EMEA de RSA, ajoute : « Les établissements interrogés sont en règle générale persuadés qu’ils savent parfaitement de quelles informations ils disposent ; où elles se trouvent ; comment elles sont stockées et de quelle façon on y accède. Cependant, leur approche par silos ne leur permet pas de comprendre pleinement les risques auxquels elles sont exposées tout au long de leur cycle de vie. Les informations sont en effet de plus en plus mobiles et "polymorphes" (e-mails, pièces jointes, bases de données, etc.) de sorte qu’une approche basée sur la notion de périmètre de sécurité n’est plus adaptée pour contrôler les risques associés. Plus spécifiquement, pour les établissements financiers dont les activités dépendent de la sécurisation de flux électroniques, l’administration et la sécurité ne peuvent plus être de la seule responsabilité du département informatique – et doivent également devenir des enjeux métier à part entière. Les établissements financiers ne doivent plus considérer isolément les risques informationnels mais commencer à les gérer dans le cadre d’une approche globale et consolidée au niveau de toute l'entreprise. Les informations – et la façon dont elles sont administrées – ont en effet la potentialité de devenir un vecteur clé de différentiation pour les établissements financiers. »
Martha Bennett, Directrice de recherche pour les services financiers de Datamonitor, ajoute : « La sécurité des informations obéit aux mêmes principes que la sécurité physique : quel que soit le niveau de sophistication des alarmes, un voleur suffisamment "motivé" trouvera toujours un moyen de les contourner… Une approche fédératrice de la sécurité des informations constitue une robuste ligne de défense mais les résultats de cette étude suggèrent que les établissements bancaires font toujours preuve d’un optimisme excessif dans ce domaine. En effet, il est aujourd’hui crucial qu’ils s’attaquent aux processus et autres silos organisationnels qui les empêchent encore de maîtriser les risques de sécurité pesant sur les informations et qu’ils adoptent une approche vraiment globale, de niveau entreprise. »
Andrew Moloney poursuit :« Les établissements financiers doivent adopter une approche stratégique de la gestion des risques informationnels pour faire de leurs bases de données une source de création de valeur et non un "passif potentiel". En effet, les risques de perte, de vol ou d’utilisation frauduleuse des informations bancaires mettent en péril la réputation et l’image de marque des établissements qui les détiennent. Seule l’adoption d’une approche globale de la sécurité et des risques informationnels permet de réaliser les objectifs de marché stratégiques, de maintenir la focalisation sur les clients et le développement commercial et de construire un climat de confiance favorable au développement des affaires. »
À propos de l’étude sur la gestion des risques informationnels de RSA
Cette étude commanditée par RSA a été menée en octobre 2007 par le cabinet Datamonitor auprès de Directeurs informatiques (CIO), de Responsables de la sécurité des systèmes d’information, de décideurs informatiques seniors et de COO au Royaume-Uni, en Espagne, en Italie, en Allemagne, en France et au Benelux. Parmi les établissements sondés figurent ceux dont les actifs sont situés entre 10 et plus de 250 milliards de dollars.
Pour consulter l’intégralité de cette étude :
www.rp-net.com/online/filelink/104/Datamonitor-RSA%20white%20paper_Final.pdf
La solution RSA de gestion des risques informationnels
RSA a pour objectif d’aider les acteurs des services financiers à implémenter une approche orientée solution de la gestion des risques informationnels. En s’appuyant sur les technologies de RSA et d’EMC, sur de nouveaux services et bonnes pratiques et sur son écosystème de partenaires, RSA aide les entreprises à maximiser leurs niveaux de conformité et de sécurité et à protéger les différents modes d’accès (distants, Web, entreprise, clients, etc.) aux informations sur les comptes. Cette stratégie globale de contrôle des risques informationnels s’appuie sur les technologies exclusives de RSA et d’EMC pour aider les établissements financiers à répondre plus efficacement aux cinq impératifs suivants :
- Sécuriser la continuité métier
- Répondre aux challenges réglementaires et de gouvernance
- Étendre la présence sur de nouveaux marchés
- Améliorer la confiance des clients
- Réduire les coûts de réalisation des affaires
La solution de gestion des risques informationnels de RSA intègre notamment les nouveaux services suivants :
Service de développement d’un programme de sécurisation des informations. Cette prestation est destinée à aider les entreprises à organiser leurs différentes initiatives de maîtrise du risque dans une feuille de route stratégique de niveau projet permettant de répondre aux exigences de conformité réglementaire. Cette offre est ciblée sur les entreprises moyennes ou grandes ayant déjà une compréhension de leurs failles et risques éventuels de sécurité – un élément fondamental consistant à réaliser une évaluation des « gaps » de sécurité ou une revue, suivie d’une consolidation des résultats d’évaluations précédentes pour faciliter le développement d’une feuille de route de réduction des risques à 18/24 mois répondant aux exigences de conformité réglementaire et aux impératifs métier. Cette prestation priorise les activités de correction des failles – en les reliant à des initiatives spécifiques de contrôle de sécurité de niveau projet afin de produire un programme de sécurité « packagé » associant les grands standards de l’industrie et la trame de bonnes pratiques définies par RSA pour le développement de programmes avancés de sécurisation.
Service d’évaluation des risques informationnels. Il s’agit d’une évaluation globale de l’état de sécurisation des informations permettant de constituer une vue systématique des capacités de sécurisation d’entreprise et une feuille de route de réduction des risques. Cette prestation s'appuie sur une méthodologie éprouvée de bonnes pratiques intégrant l’évaluation de la gouvernance, des politiques, de la protection des données, de l’authentification, des modalités d’accès et des contrôles de sécurité des infrastructures métier et techniques.
À propos de Datamonitor
Datamonitor est une société leader de fourniture de services d’information spécialisée dans l’analyse des tendances industrielles. Elle assiste plus de 5 000 entreprises leaders dans le monde à résoudre leurs enjeux stratégiques essentiels. À travers ses bases de données propriétaires et son expertise exclusive, Datamonitor fournit à ses clients des analyses avancées et objectives et des prévisions approfondies sur six secteurs industriels : Automobile, Grande consommation, Énergie, Services financiers, Santé et Hautes technologies. Le siège social de Datamonitor est situé à Londres avec des implantations à New York, Francfort, Hong Kong, Shanghai, Sydney et Tokyo.
À propos de RSA
RSA, La Division Sécurité d’EMC, est le premier fournisseur de solutions de sécurité pour l’accélération des activités métiers. La société aide les organisations du monde entier à répondre avec succès à leurs enjeux de sécurité les plus sensibles et complexes. Grâce à son approche de la sécurité centrée sur l’information, RSA est le garant de l’intégrité et de la confidentialité des données tout au long de leur cycle de vie – quels que soient leur évolution, les personnes qui y accèdent ou leur mode d’utilisation. RSA propose des solutions leaders sur leur marché dans le domaine de la sécurisation des identités et du contrôle d’accès ; du cryptage et de la gestion de clés ; de l’administration de la conformité et des informations liées à la sécurité ainsi que de la protection contre la fraude. Ces solutions garantissent l’identité de millions d’utilisateurs, de leurs transactions et des données qu’ils génèrent.
www.RSA.com et www.EMC.com
Une approche globale est impérative
Pour les répondants, les barrières organisationnelles internes restent l’obstacle majeur pour gérer les risques pesant sur les informations – qui ne sont généralement pas considérés dans le cadre d'une stratégie globale et cohérente (la moitié des répondants reconnaissant que la conformité avec les exigences réglementaires est traitée au cas par cas et non dans le cadre d’une approche stratégique).
Cette approche fragmentaire va de pair avec une vision plutôt étroite de la sécurité des informations – et de la façon dont elle peut être obtenue. Seulement 19 % des décideurs interrogés reconnaissent que la sécurisation du périmètre n’est pas suffisamment efficace pour protéger les informations bancaires. Alors que presque la moitié des répondants (47 %) se focalise sur la sécurisation des informations plutôt que du périmètre, seulement 43 % comprennent la nécessité d’étendre la sécurisation au-delà des frontières de leurs propres systèmes (par exemple au niveau des partenaires, consultants ou sous-traitants) révélant une nette distorsion entre la réalité et la vision stratégique.
Andrew Moloney, Directeur des services financiers pour la région EMEA de RSA, ajoute : « Les établissements interrogés sont en règle générale persuadés qu’ils savent parfaitement de quelles informations ils disposent ; où elles se trouvent ; comment elles sont stockées et de quelle façon on y accède. Cependant, leur approche par silos ne leur permet pas de comprendre pleinement les risques auxquels elles sont exposées tout au long de leur cycle de vie. Les informations sont en effet de plus en plus mobiles et "polymorphes" (e-mails, pièces jointes, bases de données, etc.) de sorte qu’une approche basée sur la notion de périmètre de sécurité n’est plus adaptée pour contrôler les risques associés. Plus spécifiquement, pour les établissements financiers dont les activités dépendent de la sécurisation de flux électroniques, l’administration et la sécurité ne peuvent plus être de la seule responsabilité du département informatique – et doivent également devenir des enjeux métier à part entière. Les établissements financiers ne doivent plus considérer isolément les risques informationnels mais commencer à les gérer dans le cadre d’une approche globale et consolidée au niveau de toute l'entreprise. Les informations – et la façon dont elles sont administrées – ont en effet la potentialité de devenir un vecteur clé de différentiation pour les établissements financiers. »
Martha Bennett, Directrice de recherche pour les services financiers de Datamonitor, ajoute : « La sécurité des informations obéit aux mêmes principes que la sécurité physique : quel que soit le niveau de sophistication des alarmes, un voleur suffisamment "motivé" trouvera toujours un moyen de les contourner… Une approche fédératrice de la sécurité des informations constitue une robuste ligne de défense mais les résultats de cette étude suggèrent que les établissements bancaires font toujours preuve d’un optimisme excessif dans ce domaine. En effet, il est aujourd’hui crucial qu’ils s’attaquent aux processus et autres silos organisationnels qui les empêchent encore de maîtriser les risques de sécurité pesant sur les informations et qu’ils adoptent une approche vraiment globale, de niveau entreprise. »
Andrew Moloney poursuit :« Les établissements financiers doivent adopter une approche stratégique de la gestion des risques informationnels pour faire de leurs bases de données une source de création de valeur et non un "passif potentiel". En effet, les risques de perte, de vol ou d’utilisation frauduleuse des informations bancaires mettent en péril la réputation et l’image de marque des établissements qui les détiennent. Seule l’adoption d’une approche globale de la sécurité et des risques informationnels permet de réaliser les objectifs de marché stratégiques, de maintenir la focalisation sur les clients et le développement commercial et de construire un climat de confiance favorable au développement des affaires. »
À propos de l’étude sur la gestion des risques informationnels de RSA
Cette étude commanditée par RSA a été menée en octobre 2007 par le cabinet Datamonitor auprès de Directeurs informatiques (CIO), de Responsables de la sécurité des systèmes d’information, de décideurs informatiques seniors et de COO au Royaume-Uni, en Espagne, en Italie, en Allemagne, en France et au Benelux. Parmi les établissements sondés figurent ceux dont les actifs sont situés entre 10 et plus de 250 milliards de dollars.
Pour consulter l’intégralité de cette étude :
www.rp-net.com/online/filelink/104/Datamonitor-RSA%20white%20paper_Final.pdf
La solution RSA de gestion des risques informationnels
RSA a pour objectif d’aider les acteurs des services financiers à implémenter une approche orientée solution de la gestion des risques informationnels. En s’appuyant sur les technologies de RSA et d’EMC, sur de nouveaux services et bonnes pratiques et sur son écosystème de partenaires, RSA aide les entreprises à maximiser leurs niveaux de conformité et de sécurité et à protéger les différents modes d’accès (distants, Web, entreprise, clients, etc.) aux informations sur les comptes. Cette stratégie globale de contrôle des risques informationnels s’appuie sur les technologies exclusives de RSA et d’EMC pour aider les établissements financiers à répondre plus efficacement aux cinq impératifs suivants :
- Sécuriser la continuité métier
- Répondre aux challenges réglementaires et de gouvernance
- Étendre la présence sur de nouveaux marchés
- Améliorer la confiance des clients
- Réduire les coûts de réalisation des affaires
La solution de gestion des risques informationnels de RSA intègre notamment les nouveaux services suivants :
Service de développement d’un programme de sécurisation des informations. Cette prestation est destinée à aider les entreprises à organiser leurs différentes initiatives de maîtrise du risque dans une feuille de route stratégique de niveau projet permettant de répondre aux exigences de conformité réglementaire. Cette offre est ciblée sur les entreprises moyennes ou grandes ayant déjà une compréhension de leurs failles et risques éventuels de sécurité – un élément fondamental consistant à réaliser une évaluation des « gaps » de sécurité ou une revue, suivie d’une consolidation des résultats d’évaluations précédentes pour faciliter le développement d’une feuille de route de réduction des risques à 18/24 mois répondant aux exigences de conformité réglementaire et aux impératifs métier. Cette prestation priorise les activités de correction des failles – en les reliant à des initiatives spécifiques de contrôle de sécurité de niveau projet afin de produire un programme de sécurité « packagé » associant les grands standards de l’industrie et la trame de bonnes pratiques définies par RSA pour le développement de programmes avancés de sécurisation.
Service d’évaluation des risques informationnels. Il s’agit d’une évaluation globale de l’état de sécurisation des informations permettant de constituer une vue systématique des capacités de sécurisation d’entreprise et une feuille de route de réduction des risques. Cette prestation s'appuie sur une méthodologie éprouvée de bonnes pratiques intégrant l’évaluation de la gouvernance, des politiques, de la protection des données, de l’authentification, des modalités d’accès et des contrôles de sécurité des infrastructures métier et techniques.
À propos de Datamonitor
Datamonitor est une société leader de fourniture de services d’information spécialisée dans l’analyse des tendances industrielles. Elle assiste plus de 5 000 entreprises leaders dans le monde à résoudre leurs enjeux stratégiques essentiels. À travers ses bases de données propriétaires et son expertise exclusive, Datamonitor fournit à ses clients des analyses avancées et objectives et des prévisions approfondies sur six secteurs industriels : Automobile, Grande consommation, Énergie, Services financiers, Santé et Hautes technologies. Le siège social de Datamonitor est situé à Londres avec des implantations à New York, Francfort, Hong Kong, Shanghai, Sydney et Tokyo.
À propos de RSA
RSA, La Division Sécurité d’EMC, est le premier fournisseur de solutions de sécurité pour l’accélération des activités métiers. La société aide les organisations du monde entier à répondre avec succès à leurs enjeux de sécurité les plus sensibles et complexes. Grâce à son approche de la sécurité centrée sur l’information, RSA est le garant de l’intégrité et de la confidentialité des données tout au long de leur cycle de vie – quels que soient leur évolution, les personnes qui y accèdent ou leur mode d’utilisation. RSA propose des solutions leaders sur leur marché dans le domaine de la sécurisation des identités et du contrôle d’accès ; du cryptage et de la gestion de clés ; de l’administration de la conformité et des informations liées à la sécurité ainsi que de la protection contre la fraude. Ces solutions garantissent l’identité de millions d’utilisateurs, de leurs transactions et des données qu’ils génèrent.
www.RSA.com et www.EMC.com
Autres articles
-
Résultats de l'UBS très attendus ce mardi matin 30 octobre
-
Lancement du cycle 'Emploi-pouvoir d’achat'
-
Paul Steiner, Directeur Europe d’Accellion
-
Les métiers de la finance : des postes chers à pourvoir, une enquête de Robert Half Finance et Comptabilité
-
Antoine Rizk Directeur Solutions Marketing programmes avancés et eGouvernement chez Axway