Enquête sur la sécurité de l'information

Nos enquêtes- Enquête sur la sécurité de l'information




Enquête sur la sécurité de l'information Sommaire Principaux résultats • Profil des entreprises • Gouvernance • Investissements dans la sécurité • Gestion du risque • Gestion des incidents • Qualité de l'exploitation • Protection des renseignements personnels Pour en savoir plus... Nos partenaires
SOMMAIRE
L'Enquête sur la sécurité de l’information, réalisée au printemps 2004 par le CEFRIO avec la collaboration de Samson Bélair/Deloitte & Touche et de Symantec, a recueilli les propos de 147 responsables de la sécurité informatique des 500 plus grandes entreprises du Québec. Cette étude a permis de mesurer les pratiques actuelles des grandes entreprises québécoises en matière de sécurité informatique et de protection des renseignements personnels.



PRINCIPAUX RÉSULTATS

Profil de l'entreprise

•	La moitié des entreprises ayant participé à l’étude comptent moins de 1000 employés (52,1 %). Plus d’un quart des entreprises sondées ont des revenus annuels de moins de 100 millions de dollars (26,4 %), alors que 20,1 % obtiennent des revenus annuels de plus d’un milliard de dollars.
•	Plus de sept entreprises sondées sur dix (72,2 %) ont un responsable de la sécurité de l’information alors que 9,0 % en ont plus d’un.
•	Parmi les entreprises ayant un responsable de la sécurité de l’information, plus du tiers affirment que celui-ci doit se rapporter au directeur principal de l’information (36,3 %) et le quart d’entre elles disent qu’il doit se rapporter au chef de la technologie (26,5 %).
•	La plupart des entreprises sondées comptent dix professionnels de la sécurité ou moins (80,7 %) dans leurs rangs, alors que seulement huit d’entre elles (5,9 %) en ont plus de 50.
•	Deux tiers des entreprises sondées (67,4 %) affirment que leurs systèmes informatiques ont été victimes d’une attaque - virus, tentatives d’intrusion, hackers ou autres - au cours des 12 derniers mois. Cette attaque provenait surtout de sources externes (47,7 %), mais également de sources internes (5,3 %) ou d’une combinaison de sources internes et externes (14,4 %).


	A-t-on porté atteinte à vos systèmes au cours des 12 derniers mois (virus, d'intrusion, hackers, ...) ? Dans l'affirmative, où ?




Gouvernance

•	En tout, 63,8 % des entreprises sondées sont dotées d’une stratégie formelle de sécurité de l’information.



Investissement dans la sécurité

•	Plus du quart des entreprises interrogées (27,5 %) consacrent entre 1 et 3 pour cent de leur budget global en TI à la sécurité, alors que 12,5 % y dédient 4 à 6 pour cent de ce budget. À noter : 43,3 % des personnes sondées n’ont pas répondu à la question.



Gestion du risque

•	Plus de sept entreprises sondées sur dix (71,6 %) s’estiment très ou extrêmement confiantes que le réseau interne de télécommunication de leur organisation est protégé contre les attaques.
•	Les entreprises se disent encore plus confiantes face à la protection de leur réseau externe, alors que près de huit entreprises sur dix (79,3 %) déclarent être très ou extrêmement confiantes.

Dans quelle mesure croyez-vous que les réseaux INTERNE/EXTERNE de télécommunication de votre organisation sont protégés contre les attaques ?


•	Près de trois répondants sur dix (28,4 %) mentionnent que leur organisation a classé ses actifs de TI cruciaux selon leur valeur et le risque qu’ils représentent. Toutefois 39,7 % ont préféré ne pas répondre à la question.



Gestion des incidents

•	La majorité des répondants (60,3 %) affirment que leur organisation possède un système pour détecter si leur infrastructure technologique fait l’objet d’une attaque.
•	Lorsque des incidents liés à la sécurité surviennent, plus de deux tiers (67,8 %) des entreprises sondées procèdent à une enquête par la suite.



Qualité de l’exploitation

•	Au cours des 12 derniers mois, pour favoriser la sécurité informatique, plus de la moitié des entreprises ont mis en place des outils pour mieux sécuriser leurs systèmes (53,6 %). Environ la moitié (48,2 %) dispose d’une politique en matière de sécurité et 40 % de moyens de protection reliés à la sécurité physique.
•	Près de deux entreprises sondées sur trois (62,7 %) affirment que leurs employés ont accepté leur responsabilité en matière de protection de l’information de l’entreprise.
•	En tout, 44,5 % des entreprises sondées disent être dotées d’un programme de gestion de la continuité des opérations à l’échelle de l’entreprise.



Protection des renseignements personnels

•	Un peu plus du tiers des entreprises ayant répondu au sondage ont un responsable de la protection des renseignements personnels (34,0 %).
•	Moins du quart des entreprises interrogées (23,6 %) ont dit être dotées d’un programme de gestion de la conformité à la protection des renseignements personnels. Fait à noter par contre : 39,6 % des répondants n’ont pas répondu à la question.
•	Plus d’une entreprise sur trois (34,9 %) dit avoir adopté une politique écrite en matière de protection des renseignements personnels, de pratique équitable de traitement de l’information ou de collecte des données. Toutefois, 42,5 % n’ont pas répondu à la question.
•	Parmi les entreprises interrogées, seulement 14,4 % ont effectué un inventaire des renseignements personnels. Encore une fois, 41,3 % ont préféré ne pas répondre à la question.

	En matière de protection des renseignements personnels, l'entreprise...




POUR EN SAVOIR PLUS
	Téléchargez gratuitement sur le site du CEFRIO les faits saillants de l’enquête sur la sécurité de l'information :

	http://www.cefrio.qc.ca/pdf/DépEnquêteSéc2004F.pdf

	Ou communiquez avec les personnes responsables de cette enquête:

	Isabelle Vachon, analyste-conseil, coordination du projet et auteure Éric Lacroix, directeur, supervision du projet Direction enquêtes et veille stratégique, CEFRIO Téléphone: (418) 523-3746 Télécopieur: (418) 523-2329


Merci à nos partenaires: