Clusif : Les RSSI plus nombreux pour gérer plus d’incidents de sécurité

L’édition 2014 du rapport du Clusif sur les menaces informatiques et pratiques de sécurité en France (MIPS) témoigne de la recrudescence du nombre d’incidents de sécurité et de la stagnation de la « maturité SSI » des organisations.

Laboratoire de réflexion regroupant entreprises et collectivités, le Club de la sécurité de l’information français (Clusif) publie tous les deux ans son rapport sur les menaces informatiques et pratiques de sécurité en France (MIPS). L’enquête statistique a été réalisée entre janvier et mars 2014, pour le Clusif, par le cabinet GMV Conseil et Survey Sampling International. Elle témoigne d’une stagnation de la « maturité SSI » des 350 entreprises de plus de 200 salariés interrogées et d’une hausse significative des dépôts de plaintes.

Les attaques ciblées sous-évaluées ?

Le taux d’entreprises ayant déposé plainte à la suite d’incidents de sécurité est passé de 6% en 2012 à 15% en 2014. Par ailleurs, le pourcentage des vols de matériel a pratiquement doublé par rapport à 2012. Et ce parallèlement à la hausse du taux d’équipements des organisations en tablettes et smartphones. L’accès au SI avec ces équipements est autorisé dans plus de la moitié des entreprises interrogées. À l’inverse, le taux d’interdiction des équipements personnels (BYOD ou Bring Your Own Device) est passé de 38% à 66%.

Dans un environnement en mutation, 39% des organisations ont déploré des incidents de sécurité informatique à la suite d’une perte de services essentiels (par exemple, une coupure d’alimentation électrique), contre 26% en 2012. Par ailleurs, 37% d’entre elles déclarent aussi que des vols ou des disparitions de matériel ont été à l’origine d’incidents informatiques (contre 19% lors de la précédente enquête).

35% ont déploré des failles à la suite d’une panne d’origine interne, soit 10 points de plus qu’en 2012. Enfin, 11% évoquent des attaques logiques ciblées qui visent des données sensibles de l’organisation concernée. Cette proportion ne dépassait pas 3% en 2012. Quoi qu’il en soit, elle reste faible par rapport à celle enregistrée aux États-Unis, où les organisations sont dans l’obligation de déclarer les attaques dont elles ont fait l’objet. Outre-Atlantique plus de 50% des entreprises seraient victimes de ces attaques informatiques chaque année.

Les RSSI dans l’ombre de la DSI

Pour mieux répondre aux attaques, les entreprises étoffent leurs équipes dédiées à la sécurité des systèmes d’information (SSI), mais les analyses des risques stagnent, voire régressent dans certains domaines. Des bugdets encore limités et l’approche purement  « technique » de responsables de la sécurité des systèmes d’information (RSSI) expliquent la tendance.

La forte progression du nombre de RSSI est indéniable. 62% des entreprises de plus de 200 salariés interrogées déclarent avoir pourvu la fonction, alors qu’elles n’étaient que 37% en 2008. Ces RSSI sont le plus souvent rattachés à la DSI, ce qui peut limiter leur pouvoir d’arbitrage… Par ailleurs, le nombre d’entreprises ayant formalisé leur politique de sécurité de l’information (PSI ou PSSI) a peu évolué depuis 4 ans (63% en 2010 et 2012, 64% en 2014).

Dans un contexte économique incertain, les budgets informatiques « constants » diminuent encore (54% des budgets en 2014, 64% en 2012), mais 27% des budgets augmentent (contre 22% en 2012). « On constate une légère reprise, pondérée par le fait que le poste ayant eu la plus grosse augmentation, cette année encore, est la mise en place de solutions, avec 26% (contre 37% en 2012) », expliquent les auteurs du rapport. « On reste toujours dans la technique : pour beaucoup la sécurité demeure une histoire de déploiement de solutions techniques », ajoutent-ils.

Une forte dépendance aux services IT

La dépendance aux services informatiques est une réalité pour 77% des entreprises interrogées. Ces structures ne peuvent supporter plus de 24 heures d’interruption. Pourtant, plus du quart (27%) des organisations concernées ne prennent pas en compte la continuité d’activité. Et 25% des plans de continuité d’activité (PCA) ne sont jamais utilisés…

Par ailleurs, certains ignorent encore les garde-fous que le Parlement européen veut imposer sur le transfert de données de citoyens européens hors de l’UE. Ainsi, plus d’un tiers des 100 responsables informatiques français interrogés dans le cadre d’une étude menée en avril 2014 par le cabinet Vanson Bourne pour Trend Micro, n’ont pas conscience qu’une réforme de la législation européenne sur la protection des données est en cours.

Rappelons-le, dans le cadre de cette réforme qui pourrait être actée d’ici la fin 2014, les entreprises devraient recevoir l’autorisation préalable d’une autorité nationale avant de transmettre toute information hors de l’Union européenne et en informer les personnes concernées. Pour les entreprises qui ne respecteraient pas ces règles, les amendes infligées pourraient atteindre jusqu’à 100 millions d’euros ou 5% de leur chiffre d’affaires annuel mondial.


Lire aussi

RSSI : Le Clusif éclaire la gestion des vulnérabilités