Une étude démontre que les budgets visant à lutter contre des risques n'étaient pas affectés là où les risques étaient jugés les plus importants.
Alors que l'erreur humaine est la plus grosse source de risques pour le système d'information selon 51% des responsables interrogés, elle n'est prioritaire que dans 13% des budgets de la sécurité informatique. Cette dichotomie entre la gravité des risques et l'affectation des budgets est le centre d'une récente étude publiée par l'éditeur BalaBit IT Security à l'occasion du Gartner Identity & Access Management Summit 2014.
Les menaces à auteurs externes sont ainsi jugées comme les menaces principales par 18% des répondants à l'étude mais sont prioritaires dans 30% des budgets sécurité. Enfin, les menaces à auteurs internes sont prioritaires pour 15% et drainent 13% des priorités budgétaires.
Les risques liés à l'infrastructure sont également sur-représentés dans les priorités budgétaires par rapport aux risques prioritaires : les dysfonctionnements du système sont prioritaires du point de vue des menaces dans 9% des cas mais du point de vue des budget dans 28% des cas. Les attaques automatiques sont jugées comme des menaces prioritaires dans 7% des cas mais comme des budgets prioritaires dans 17%.
Concernant le cas particulier des « utilisateurs à privilèges », les plus susceptibles de commettre des erreurs ou des fautes à fortes conséquences, 83% des répondants ont admis que ces utilisateurs bénéficiaient d'une réduction des mesures de sécurité. Cette réduction serait obligatoire dans de nombreux cas, les solutions de sécurité étant souvent insuffisamment flexibles pour s'adapter aux besoins ponctuels.
La gestion des risques sera l'objet de la prochaine conférence stratégique CIO le 20 mai 2014. En amont de cette conférence, CIO réalise une enquête sur la gestion des risques.
Suivez-nous