Sécurité informatique en entreprise: un sentiment de stagnation

La prise de conscience de l’importance de la sécurité des systèmes d’information s’impose en entreprise. Mais il reste du travail, selon le dernier rapport du Clusif.

« Il y a un étonnant sentiment de stagnation. » C’est en ces termes que Lionel Mourer, coordinateur de l’étude 2010 du Clusif (Club de la sécurité de l’information français) sur les Menaces informatiques et pratiques de sécurité (MIPS) en France, a conclu sa présentation sur l’évolution des entreprises face aux problématiques de sécurité. « On est loin de ce qu’on pouvait attendre en regard des enjeux », ajoute l’intervenant par ailleurs salarié d’ESR Consulting, tout en constatant néanmoins « une très légère amélioration » par rapport à 2008, date de la précédente étude MIPS.

Premier indicateur de cette stagnation, sur les 350 entreprises de plus de 200 salariés interrogés pour l’enquête (assurée par GMV Conseils), seules 29% d’entre elles disposent d’un Responsable de la sécurité des systèmes d’information (RSSI). Un taux qui monte cependant à 40% dans les grands comptes. La majorité (43%) des personnes aptes à répondre à l’enquête était issue du cercle des responsables informatiques. Pourtant, dans 80% des cas, les organisations reconnaissent leur forte dépendance au SI.

Autre constatation étonnante, le budget IT sécurité est mal cerné: 30% des responsables déclarent ne pas le connaître. Un taux inchangé depuis 2008. Néanmoins, pour ceux qui le connaissent, les investissements consacrés à la sécurité inférieurs à 1% du budget IT total se réduisent de 14% en 2008 à 7% en 2010. Globalement, le budget sécurité est resté constant pour 48% des entreprises (contre 43% en 2008). Mais les régressions budgétaires touchent 10% des sociétés en 2010 contre 5% deux ans plus tôt.

Le RSSI mieux identifié

Néanmoins, la prise de conscience avance. En deux ans, le nombre d’organisations ayant formalisé leur politique de sécurité informatique (PSI) a augmenté de 10% pour se stabiliser à 63% d’entres-elles aujourd’hui (contre 55% précédemment). Conséquence, la sécurité se déplace vers la direction générale. Pour 73% des sondés, la PSI est «totalement» soutenue par la direction générale contre 59% en 2008 (mais respectivement 21% contre 36% pour un soutien «partiel»).

D’ailleurs, la fonction de RRSI (ou RSI) est mieux identifiée, pour 49% des entreprises contre 37% en 2008. Néanmoins, le rattachement de la RSSI à la direction générale accuse une baisse de 11% (34% en 2010 contre 45% précédemment) au profit, notamment, de la direction financière (12% contre 5%) et de la DSI (36% contre 32%). Au final, près de 80% des entreprises de plus de 200 salariés disposent d’une équipe dédiée à la sécurité (contre 57% en 2008) même si l’équipe en question est constituée d’une ou deux personnes seulement pour 61% des cas.

Si l’organisation humaine se met en place, il reste à appliquer une politique de sécurité en correspondance. A commencer par l’inventaire des informations à protéger. 34% des entreprises n’ont pas effectué cette démarche. Et parmi les 66% qui ont pris la peine de le faire (dont seulement 30% totalement), seulement 27% ont réalisé une classification des informations. Au total, à peine 7% des entreprises savent ce qu’elles doivent protéger précisément.

Le nomadisme progresse

La politique d’accès au SI évolue peu dans l’ensemble. Seuls les postes contrôlés y sont totalement ou partiellement autorisés globalement. On note toutefois une évolution du nomadisme avec l’usage autorisé des PDA et smartphones (essentiellement des BlackBerry mais aussi des iPhone désormais) qui passe de 34% en 2008 à 53% en 2010 ainsi que de la VoIP/ToIP qui s’envole de 27% à 52%. La messagerie instantanée (MSN, Skype…) reste cependant prohibée dans 75% des cas.

Les outils de protection traditionnels restent dominants. L’antivirus, le pare-feu et l’antispam sont respectivement mis en place (totalement et partiellement cumulés) au sein de 100%, 97% et 100% des entreprises. Ce qui n’empêche pas 40% d’entre elles d’avouer avoir été victimes d’incidents (dont 40% dû à Conficker). Si le chiffrement des échanges (VPN) compte dans 53% des cas, le chiffrement des données locales se limite à 39% (il est néanmoins en hausse, 30% en 2008). Quant aux systèmes de prévention des fuites de données (DLP), il convainc moins de 15% des sondés, probablement victimes de l’immaturité des solutions. Notons également la progression (de 10%) des système de protection réseau IDS/IPS pour s’imposer auprès de la moitié des organisations.

Les contrôles d’accès progressent également. Les SSO et Web-SSO décollent enfin auprès de 21% et 8% respectivement des sondés (en hausse de 14% et 5% en deux ans). Ce qui simplifie l’accès aux utilisateurs et permet notamment une meilleure traçabilité. La tendance devrait logiquement se poursuivre. Les politiques de veilles et gestion des incidents évoluent également. A 34%, la première gagne 13 points tandis que 64% des entreprises ont formalisé leur procédure de déploiement des correctifs (+16%). Il n’en reste pas moins qu’un tiers (33%) des entreprises ne dispose toujours pas d’un plan de reprise ou continuité de l’activité en cas d’incident. Un chiffre qui diminue néanmoins de 6 point par rapport à 2008.

Sécuriser l’essentiel

Enfin, nombre d’aspects liés à la conformité reste à faire progresser. Près de 9 entreprises sur 10 (+5%) se disent désormais «conformes» avec les obligations de la Commission nationale de l’informatique et des libertés. Des déclarations à relativiser avec des CIL (correspondants informatiques et liberté) présents dans moins d’un tiers des organisations (+7%). Une situation qui devrait évoluer avec la multiplication annoncée par la CNIL du nombre de contrôles pour 2010. Notons par ailleurs que 25% des entreprises se passent des audits de sécurité et que seules 34% d’entre elles disposent d’un tableau de bord de la sécurité (en hausse de 11% néanmoins).

Malgré le sentiment de stagnation qui ressort de l’étude (laquelle se penche par ailleurs sur les centres hospitaliers publiques et, nouveauté, les internautes), la prise de conscience globale de l’importance de la sécurité de l’entreprise s’affiche clairement. D’autant plus que la crise économique est passée par là. « Les entreprises ne peuvent pas tout traiter mais il faut traiter les risques critiques de A à Z », conseille donc Lionel Mourer. Autrement dit, bien sécuriser l’essentiel.