2.3. Pratiques et enjeux en matière de sécurité des systèmes d ...

Exploration de nouvelles pratiques en matière de sécurité
dans les systèmes d'information interorganisationnels ____________________________________________________________________________
______________ RESUME
Cet article synthétise les résultats d'une enquête par questionnaire
centrée sur les pratiques et enjeux en matière de coopération et de
sécurité des systèmes d'information, menée en octobre 2007 auprès de dix
grands groupes français représentatifs des secteurs d'activité de
l'industrie, de la recherche, des banques et assurances. Il confirme
notamment la tendance de coopération par l'intermédiaire du Web, ainsi que
les récents efforts des organisations en management de la sécurité
(protections techniques, politiques de sécurité conformes aux normes ISO du
domaine, budget, etc.). Mots-clés: enquête, système d'information, coopération, sécurité,
pratiques.
ABSTRACT
This article analyses the results of a questionnaire survey, the aim of
which was to study the practices employed, and the issues involved in the
cooperation and security of information systems. This survey was conducted
in October 2007 with ten leading French companies representing the sectors
of industry, research, banking and insurance. It confirms the trend of Web
cooperation, as well as the recent efforts of the organizations to manage
their security (technical protections, security policies that conform to
ISO standards in the field, budget, etc.). Key-words: survey, information system, cooperation, security, practices. INTRODUCTION Des enquêtes et statistiques pouvant être trouvées à l'heure actuelle dans
la littérature traditionnelle et électronique sur la sécurité des systèmes
d'information, deux problèmes majeurs se dégagent : d'une part, les
chiffres avancés peuvent provenir de sources douteuses ou d'enquêtes pas
assez rigoureusement menées, générant des résultats parfois
contradictoires ; d'autre part, les enquêtes recensées peuvent ne pas
concerner notre zone géographique, ne pas porter sur les points souhaités,
ou tout simplement être obsolètes (vu l'évolution rapide des technologies
de l'information, particulièrement en matière de sécurité). Dans le cadre d'un projet d'étude sur les pratiques et enjeux de la
sécurité des systèmes d'information en France, nous avons entrepris
d'interroger directement les Directeurs des Systèmes d'Information (DSI) de
dix grands groupes français ; nous nous sommes intéressés en particulier à
deux sujets d'actualité, qui sont (i) la coopération des systèmes
d'information de l'organisation avec d'éventuelles organisations
partenaires, et (ii) la sécurité des systèmes d'information
(interorganisationnels) déployés. Cet article est organisé de la manière suivante : la section 1 présente le
cadre de l'étude, renseignant sur le contexte de la consultation,
l'échantillon des organisations consultées et la mise en ?uvre de l'étude.
Puis les résultats de l'enquête sont dévoilés dans la section 2, en mettant
successivement l'accent sur les pratiques et enjeux en matière de
coopération et de sécurité des systèmes d'information des organisations
consultées. Enfin, la section 3 analyse et discute les résultats obtenus,
avant de conclure dans la section 4.
CADRE DE L'ETUDE
1 Contexte de la consultation et échantillon d'organisations consultées Cette étude a été menée dans le cadre d'un projet de recherche au sein de
l'Université de Nancy2 (France). Elle s'appuie sur un questionnaire
d'enquête (fourni en Annexe) diffusé en octobre 2007 à 114 grandes
entreprises françaises (d'après une liste fournie par le CIGREF[1]). Seules
une douzaine d'organisations ont répondu à notre sollicitation, la sécurité
des systèmes d'information étant généralement perçue comme un sujet
extrêmement sensible sur lesquelles les organisations refusent de
communiquer. Parmi cette douzaine d'organisations intéressées par la
question de la sécurité, dix d'entre elles ont finalement été retenues
selon trois critères essentiels : leur position favorable vis-à-vis de
notre enquête (i.e., leur accord explicite quant à leur contribution sur la
totalité du questionnaire), leur crédibilité en tant qu'acteur important de
leur secteur d'activité, et enfin l'hétérogénéité apparente de leur
environnement de travail (hétérogénéité culturelle, hétérogénéité des
outils, etc.), pressentie comme un facteur représentatif de l'évolution de
nombreuses organisations.
2 Mise en ?uvre de l'étude L'étude a débuté par une revue de la littérature récente française et anglo-
saxonne en matière de sécurité des systèmes d'information
interorganisationnels (littérature encore peu abondante), destinée à
repérer précisément les besoins en sécurité des organisations coopératives,
les notions maîtrisées et celles restant à maîtriser. Puis le questionnaire
d'enquête a été rédigé, de sorte que les réponses obtenues puissent
confirmer ou infirmer les éléments appris dans la littérature. Le
questionnaire réalisé a été envoyé en date du 17 octobre 2007 aux DSI des
organisations ciblées. Le délai de réponse, initialement fixé au 30 octobre
2007, a été prolongé jusqu'au 7 novembre 2007 pour permettre à une
organisation de répondre tardivement. Nous avons précautionneusement suivi
les organisations répondantes dans leur compréhension du questionnaire,
afin que les réponses fournies soient pertinentes et exploitables. Durant
le traitement des résultats, peu de corrections ont été nécessaires sur les
retours obtenus. Conscients de la confidentialité et de la criticité des
informations de sécurité confiées par ces organisations, nous nous sommes
engagés à protéger ces informations pour préserver leur intégrité durant
leur traitement et empêcher qu'elles soient communiquées à des tiers sans
l'autorisation de l'organisation. Nous nous sommes également engagés à
n'exploiter les résultats du questionnaire que dans le cadre d'une enquête
générale de manière anonyme, sans jamais divulguer ceux-ci individuellement
et/ou nominativement.
PRESENTATION DES RESULTATS L'enquête soumise comporte quatre parties : la première a pour but de
collecter quelques données générales sur les organisations interrogées, la
seconde évalue leurs pratiques en matière d'ouverture et de coopération
éventuelle avec d'autres organisations partenaires, la troisième évalue
leurs pratiques en matière de sécurité des systèmes d'information, et enfin
la quatrième a pour but de recueillir l'opinion des organisations
interrogées sur le questionnaire soumis (les résultats de cette partie
seront présentés dans la section suivante). Les résultats des trois
premières parties de l'enquête sont détaillés dans cette section.
1 Données générales sur les organisations interrogées En termes de taille de l'organisation (effectif), nous avons interrogé une
organisation de 500 à 999 salariés, une organisation de 1000 à 4999
salariés, et huit organisations de 5000 salariés et plus. Elles font toutes
partie d'un groupe de 5000 salariés et plus. Six organisations appartiennent au secteur d'activité de l'industrie, deux
au secteur bancaire, une au secteur des assurances et une au secteur de la
recherche.
2 Pratiques et enjeux en matière de coopération des systèmes d'information 2.2.1 Données générales sur la coopération La totalité des organisations interrogées coopèrent de manière habituelle
avec un (ou plusieurs) partenaires : toutes coopèrent en effet avec un (ou
plusieurs) fournisseur(s), neuf d'entre elles coopèrent avec une (ou
plusieurs) filiale(s) du groupe, huit avec un (ou plusieurs) client(s), et
cinq avec d'autres partenaires tels que des partenaires scientifiques ou
d'externalisation, des organismes de recherche ou gouvernementaux, ou
encore des cabinets de notation boursière. Considérant le fait que plusieurs systèmes d'information
interorganisationnels peuvent être utilisés par les organisations
interrogées, la fréquence de coopération est pluri-journalière pour neuf
d'entre elles, journalière pour trois, hebdomadaire pour deux, mensuelle
pour deux, et trimestrielle ou inférieure pour deux d'entre elles. Les systèmes d'information interorganisationnels utilisés par ces
organisations pour coopérer avec leurs partenaires sont les suivants (par
ordre décroissant d'utilisation) : toutes utilisent une application Web,
neuf utilisent un site Web, huit utilisent une application propriétaire,
huit utilisent un extranet, sept utilisent des marchés en ligne (place de
marché électronique, plate-forme d'achat et approvisionnement, portail
spécialisé), sept utilisent un système EDI (Electronic Data Interchange),
cinq utilisent un progiciel de gestion intégré (ERP pour Enterprise
Resource Planning) tel que SAP R/3 par exemple, cinq utilisent des services
Web intégratifs basés sur XML, trois utilisent un collecticiel
(groupeware), trois utilisent un système EAI (Enterprise Applications
Integration), trois utilisent un système XML purement documentaire, deux
utilisent un système de workflow intégratif (SGWf pour système de gestion
de workflow), une organisation utilise un système de workflow purement
documentaire, et une organisation utilise une grille informatique (grid
computing). 2.2.2 Les risques liés à la coopération Les principaux risques organi