Les organes de gouvernance des organismes se sont désormais bien saisis des problématiques SSI, notamment en termes de définition d’une stratégie. Toutefois, la fonction SSI n’est pas encore systématiquement consultée lors des décisions clés. De même, si le dispositif de gestion des risques SSI s’est renforcé dans l’ensemble, l’identification comme la gestion adéquates des actifs critiques, ou la définition de la tolérance aux risques, restent des axes à approfondir.
La généralisation du recours à l’externalisation, avec notamment l’utilisation croissante voire massive de services en nuage (cloud) à l’origine de risques spécifiques, ne fait que renforcer les enjeux de sécurité associés, et donc la nécessité de suivre et maîtriser efficacement ces prestations externalisées. En l’espèce, le bilan reste contrasté. Les progrès se poursuivent en matière de recensement des prestataires et de contractualisation avec eux. Mais des dispositifs de sécurité spécifiques au cloud ne sont pas toujours mis en œuvre et la substituabilité/réversibilité (capacité à remplacer un prestataire par un autre, si besoin) n’est pas forcément encore vérifiée.
Enfin, l’enquête aborde pour la première fois la préparation à l’entrée en vigueur du cadre réglementaire de résilience numérique DORA et montre que les organismes y travaillent. Les constats de terrain mettent toutefois en évidence des marges de progression pour pleinement intégrer ces nouvelles exigences.
Le déploiement de ces changements majeurs sera suivi attentivement par les services de contrôle, qui adapteront en conséquence leurs outils et actions de supervision.
Pour en savoir plus, consultez l'Analyse et synthèse N° 168