Le Clusif, importante association française qui regroupe 540 professionnels de la sécurité informatique, a présenté ce matin les résultats de son étude 2014 MIPS (Menaces Informatiques et Pratiques de Sécurité en France). Plutôt en demi-teinte.
Cette enquête s’intéresse, dans le monde professionnel, aux entreprises de plus de 200 salariés (350 répondants) ainsi qu’aux hôpitaux publics de plus de 200 lits (150 répondants). En outre, elle reprend, comme en 2012, le volet consacré aux pratiques des particuliers utilisateurs d’Internet à domicile (1 000 interviewés). L’enquête téléphonique a été réalisée entre janvier et mars de cette année par le cabinet GMV Conseil et Survey Sampling International. En voici une synthèse en ce qui concerne les entreprises de plus de 200 salariés.
Entreprises : une maturité inchangée
« La sécurité est de plus en plus prise en compte, mais la maturité globale n’augmente pas », a indiqué Lionel Mourer, responsable de l’étude. Elle stagne, et même régresse dans certains domaines. En cause, « le budget restreint, et le manque de connaissance des nouveaux responsables de la sécurité des systèmes d’information, principalement issus du secteur technique, souvent DSI auparavant », souligne-t-il. Le nombre d’entreprises ayant formalisé leur politique de sécurité de l’information est demeuré quasi-inchangé depuis 2010 (64 % en 2014 contre 63 % en 2010 et 2012), alors même que le nombre de RSSI a fortement augmenté : il a doublé dans les entreprises de plus de 200 salariés depuis 2008. Un RSSI encore rattaché à la DSI (46 %), plutôt qu’à la direction générale, ce qui peut empêcher une véritable politique de sécurié, « qui n’est pas que technique, remarque Lionel Mourer, mais aussi juridique, organisationnelle, etc. ».
Dans l’analyse des risques, le Clusif relève un point négatif : sa stagnation, après une nette progression en 2012.
Des appareils nomades en augmentation, mais…
L’accès nomade aux ressources de l’entreprise continue de se généraliser. La maturité des solutions technologiques de connexion, de contrôle des postes nomades et des informations qui transitent permet un meilleur contrôle des risques associés.
PDA, tablettes et smartphones, fournis par l’entreprise, sont toujours en augmentation et aujourd’hui, l’accès au SI avec ces équipements est autorisé dans plus de la moitié des entreprises. En revanche les appareils personnels sont majoritairement interdits en enteprise aujourd’hui (à 66 %). « Il y a eu presque un doublement de l’interdiction en deux ans », signale Lionel Mourer.
L’entreprise s’ouvre aux réseaux sociaux et à la messagerie instantanée, qui sont de plus en plus pris en compte dans les chartes informatiques mises en place, mais ces deux moyens restent majoritairement interdits (à 52 %).
Une sinistralité en hausse
Du côté des technologies de protection, globalement, rien ne bouge entre 2012 et 2014… Les outils de chiffrement sur PC portables ne sont utilisés que par 24 % des entreprises (25 % en 2012). Un point négatif pour Lionel Mourer qui a rappelé que chaque semaine 600 PC portables étaient volés dans les deux aéroports de Paris. Les tablettes et téléphones sont également peu sécurisés (14 %). Même constat pour les dispositifs de contrôle d’accès mis en œuvre qui stagnent voire régressent, à l’exception du SSO et du web SSO.
Le Clusif regrette également le manque de mise en place d’indicateurs de sécurité et d’audit, ce qui est valable aussi pour les entreprises qui font appel à l’infogérance pour leur sécurité. Quant à la formalisation des procédures opérationnelle des mises à jour des correctifs de sécurité, elle est en stagnation (60 % vs 60 % en 2012)
Enfin, il faut remarquer un net repli dans la gestion des incidents de sécurité. Seules 45 % des entreprises ont une cellule dédiée contre 53 % en 2012. La sinistralité est en forte reprise avec, en tête des incidents, les pertes de services essentiels (39 % vs 26 % en 2012) : perte de climatisation, d’électricité, etc. Les vols augmentent fortement (37 % vs 19 %) ainsi que les pannes d’origine interne (35 % vs 25 %).
En ce qui concerne les incidents d’origine malveillante, les infections par virus restent en pole position (14,4 incidents de sécurité dus à des virus dans l’année), suivi par les attaques logiques ciblées (10,5) et les vols (7,1).
Du côté de la continuité d’activité « aucun processus n’ets mis en place pour 27 % des répondants, soit un quart des entreprises », s’alarme Lionel Mourer. Qui ajoute que « parmi les plans de continuité existants, 25 % ne sont jamais testés par les utilisateurs ». Mais il remarque que l’impact sur les métiers (Bilan d’Impact sur l’Activité) est bien davantage pris en compte (55 %, +12 % vs 2012).