Si les entreprises ont structuré leur approche de la cybersécurité et ont nommé des RSSI ces dernières années, le Clusif tire la sonnette d’alarme : le budget sécurité ne doit plus être une variable d’ajustement.
Le Clusif (Club de la sécurité de l’information français) vient de dévoiler le premier volet de sa grande étude biannuelle sur la cybersécurité en France. Lionel Mourer, administrateur du Clusif et en charge de l’étude MIPS (Menaces Informatiques et Pratiques de Sécurité en France) pour la dixième année et la 5ième édition de cette étude vient de dévoiler les données relatives aux entreprises. L’étude a été menée avant l’épisode du Covid-19, cette édition n’inclut pas les ruptures qu’a entrainées cette crise dans les usages de l’IT, notamment avec la généralisation du télétravail et des outils de mobilité. Menée auprès de 3 cibles distinctes avec les réponses de 350 entreprises de plus de 100 personnes (essentiellement des DSI et des RSSI), celles de 202 collectivités territoriales et enfin 998 internautes.
Le RSSI a su se montrer indispensable dans les grandes entreprises
La première conclusion de cette édition 2020, c’est que 100% des grandes entreprises ont désormais un RSSI en place. L’étude ne précise toutefois pas des moyens humains réellement dédiés à la sécurité ou même s’il occupe cette fonction à temps plein.
Néanmoins l’importance de la fonction est enfin reconnue et ce taux est passé de 87% à 100% en 2 ans, preuve que les grandes fuites de données et blocages dus à des malwares ont marqué les esprits des directions générales. Dans les entreprises de 500 à 1000 personnes, 72% des organisations ont mis en place un tel poste, une progression notable puisqu’en 2 ans, entre 2018 et 2020 ce taux est passé de 58% à 72% et atteint même 93% dans le secteur banque/assurance. Dans 56% des cas, ce RSSI est rattaché à la direction générale, un taux en augmentation et dans 31% des cas il est rattaché à la DSI.
100% des grandes entreprises ont désormais un RSSI
Lionel Mourer détaille la position du Clusif sur ce dernier point : “La Direction Générale est le meilleur rattachement possible pour un RSSI et ce n’est pas la DSI. Il faut que les décisions portant sur la sécurité des systèmes d’information puissent être arbitrées par la direction Générale. Il est bien évidemment préférable que le DSI ne soit pas le supérieur du RSSI. Le fait que le RSSI soit rattaché à la Direction Générale peut montrer que le RSSI dispose d’un pouvoir réel d’arbitrage face au DSI.” Si le RSSI gagne ses galons auprès de la haute direction, en parallèle, il perd en fonctions opérationnelles. Outre les fonctions de sensibilisation, de gestion de la politique de sécurité de l’entreprise, la partie opérationnelle sur sa fiche de poste diminue légèrement. Ces tâches représentaient le quart de son agenda il y a 2 ans de cela, ce n’est plus que le cinquième aujourd’hui. “Cela signifie que le RSSI prend un peu de hauteur dans les organisations, particulièrement dans les petites structures et c’est plutôt positif” commente Lionel Mourer.
Pérenniser le budget sécurité, le grand défi du RSSI en 2020
Si en 2019, avant la survenue de l’épisode Covid-19, les budgets gérés par les RSSI étaient stables voire en augmentation, le budget sécurité reste toujours un vrai sujet de questionnement. En effet, l’étude MIPS 2020 montre que 34% des entreprises identifient bien les coûts liés à la sécurité de l’information. C’est 14 points de plus qu’en 2018 mais cela ne représente encore que le tiers des organisations qui se posent la question du budget de la sécurité de l’information. “Les entreprises restent encore focalisées sur la mise en place de solutions techniques : la sécurité de l’information reste vue comme un sujet de techniciens de la DSI. Il y a encore matière à évoluer sur la question car la sécurité de l’information, c’est bien évidemment de la sécurité informatique, mais pas que !”
Un point-clé soulevé par l’édition 2020 de l’étude MIPS, c’est que seulement 8% des entreprises ont véritablement sanctuarisé leur budget sécurité ! 56% d’entre-elles le remettent en cause chaque année, ce qui sous-entend que la sécurité reste une variable d’ajustement budgétaire. “La position du Clusif, ce n’est pas tellement acceptable. Il serait bien que, parmi les budgets sanctuarisés dans les organisations, le budget de la sécurité en fasse partie. Cela ne veut que quand l’entreprise va bien, elle n’aura pas trop de mal à mettre de l’argent dans sa cybersécurité, mais quand elle ne va pas bien, cela fait partie des premiers budgets qui sautent, au même titre que le budget formation.” Les entreprises savent ce que leur coûte leur sécurité et 55% des entreprises ont déjà procédé à une évaluation des impacts financiers des incidents, un chiffre beaucoup plus élevé qu’il y a une dizaine d’années souligne l’administrateur du Clusif qui pointe néanmoins que 86% des entreprises françaises n’ont toujours pas souscrit à une cyberassurance.
12% d’attaques de ransomware dont 38% à fort impact
Pour la deuxième fois, l’étude MIPS croise les résultats avec ceux du Panorama de la cybersécurité, autre grosse étude menée par le Clusif et présenté pour la dernière fois en janvier 2020. “12% des organisations que nous avons interrogées ont vécu une attaque de ransomware. Pour 48% d’entre elles, cet incident de sécurité n’a pas eu un gros impact avec seulement quelques postes touchés. 15% estiment l’impact comme moyen et 38% considèrent qu’il a été fort, c’est-à-dire dont le coût a été de l’ordre de plusieurs centaines de milliers d’euros, parfois de plusieurs millions d’euros.”
- 9% des entreprises sont parvenues à identifier le vecteur d’entrée,
- 10% ont réussi à récupérer leurs données et, fait nouveau,
- 8% ont communiqué sur cette crise.
“Dans l’absolu, c’est peu” souligne Lionel Mourer qui ajoute : “il y a quelques années, absolument personne ne communiquait sur une attaque informatique et si l’information ne fuitait pas, elle restait secrète. Aujourd’hui, de plus en plus d’organisations expliquent ce qu’il leur est arrivé, ce qui permet aux autres organisations de bénéficier enfin de retours d’expérience et se poser les bonnes questions face au risque d’attaque.”
Avec un tiers des entreprises qui avouent avoir été fortement impactées par une attaque de malware, beaucoup reste encore à faire pour les RSSI afin d’améliorer ce résultat. Outre la mise en œuvre de solutions plus modernes ou plus innovantes, le recours à l’externalisation de certains services de sécurité, mais aussi des améliorations plus organisationnelles en termes de gestion de crise et de réaction à avoir face à ce type d’attaques.
Auteur : Alain Clapaud