Le Clusif s'inquiète de la sécurité informatique des entreprises

La situation n’a guère évolué depuis 2006. Près de la moitié des entreprises n’ont pas de vraie politique de sécurisation de leur système d’information

Malgré des dizaines de campagnes de prévention et d’information de la part des fournisseurs et des autorités publiques, les entreprises françaises continuent, semble-t-il, de négliger la sécurité de leur système d’information.

C’est ce qui ressort d’une étude bi-annuelle publiée ce 19 juin par le Clusif (Club de la Sécurité de l’Information Français).

Dans un panorama exhaustif intitulé « Menaces informatiques et pratiques de sécurité en France« , le Clusif s’est penché sur le comportement des internautes, des collectivités locales et surtout des entreprises.

354 entreprises de plus de 200 employés représentatives d’un échantillon national ont répondu à un questionnaire détaillé et le résultat n’est pas glorieux. Certes, plus de 80% d’entre elles possèdent un anti-virus, un anti-spam et un pare-feu. Mais hormis ces accessoires de base, 55% des entreprises seulement déclarent avoir mis en place, une vraie politique de sécurité soit la même proportion qu’en 2006.

Pourtant, plus des deux tiers (73%) reconnaissent qu’elles ont une dépendance forte vis-à-vis de leur système d’information. Et elles ont pris conscience que la sécurité informatique était quelque chose de sérieux puisque dans 45% des entreprises, le responsable de la sécurité est directement rattaché à la direction générale. Le taux était de 39% en 2006.

Par ailleurs, 55% d’entre elles reconnaissent au moins un incident de sécurité (ça peut être un vol de portable ou une panne).

Alors quand on aime, on ne protège pas ? Et bien pas trop si l’on en croit les autres statistiques.

D’abord, se pose la question des moyens financiers. Dans 37% des cas, le budget dédié à la sécurité est en hausse mais généralement il est resté constant depuis 2006 voire, dans quelques cas, il a baissé.

La situation se détériore un peu plus quand on étudie les programmes d’évaluation des risques et de sensibilisation. 40% des entreprises n’ont pas réalisé d’analyse globale des risques et 30% ne l’ont fait qu’en partie. En clair, 70% ne savent pas vraiment ou pas du tout d’où viennent les risques et les conséquences que cela peut avoir sur leur système d’information. Quant à la sensibilisation auprès des collaborateurs, plus de la moitié de l’échantillon (55%) déclare ne pas avoir mis en place de programme spécifique. Enfin, il s’avère que 40% des entreprises n’ont pas de plan de continuité d’activité et que donc en cas de pépin, elles peuvent se retrouver complètement bloquées.

En conclusion, les experts du Clusif soulignent qu’après une belle progression entre 2004 et 2006, la sécurisation des SI marque un pas depuis deux ans car selon eux « les démarches de sécurité des entreprises sont devenues trop larges et elles n’ont pas su définir des priorités« .

___

Le lien vers le document de synthèse: https://www.clusif.asso.fr/fr/production/sinistralite/docs/CLUSIF-rapport-2008.pdf