Sécurité informatique des entreprises: le Clusif dresse un bilan mitigé

« A l’heure où la sécurité de l’information reste sous les feux de l’actualité, tous les acteurs ont-ils pris conscience des risques et mis en oeuvre en conséquence les mesures qui s’imposent ? En réponse à cette question, nous dressons un constat mitigé ». Telle est la conclusion de l’étude sur la sécurité informatique dans les entreprises française en 2005 réalisée par GMV pour le Clusif, le Club de la Sécurité de l’Information Français. 400 entreprises d’au moins 200 salariés ont été interrogées afin de réaliser cette synthèse. Premier constat, le système d’information est devenu critique et stratégique pour 98% des entreprises. Preuve que le SI est devenu l’épine dorsale des entreprises. Pour autant, les niveaux de dépense en matière de sécurité sont encore hétérogènes. Pire, 21% des entreprises interrogées ne sont pas capables de cerner ou de mesurer cette dépense. D’un autre côté, la tendance des dépenses est à la hausse pour 38% des entreprises. Mais 46% d’entre elles déclarent que ces budgets stagnent et 4% concèdent même que les investissements baissent! Un résultat inquiétant compte tenu de la hausse des menaces et des attaques… D’ailleurs, 37% des entreprises estiment être freinées dans leurs politiques de sécurité par le manque de ressources financières. Le deuxième frein est le manque de personnel qualifié. Le budget est une chose, la politique de sécurité en est un autre. La PSI (politique de sécurité de l’information) est « une étape importante dans la mise en place des règles de bonne gouvernance du SI en entreprise », souligne Laurent Bellefin qui a piloté l’étude. Là encore, le bilan du Clusif inquiète. Seulement 56% des entreprises interrogées sont dotées de PSI. La proportion augmente dans les grands comptes (+ de 1.000 salariés) avec 72% mais elle est de 52% dans les entreprises de 200 à 499 salariés. Pour être efficace, toute politique de sécurité doit être pilotée par un RSSI. Mais l’existence de cette fonction n’est pas une constante. Loin de là. Malgré la complexité des SI et la hausse des menaces, seules 41% des entreprises font travailler un RSSI. Elles sont 72% dans les structures de plus de 1.000 salariés. Par ailleurs, le RSSI travaille souvent seul et ce poste n’implique pas une fonction à temps complet. Une politique de sécurité doit également être relayée auprès des salariés, sous peine d’inefficacité totale. Pour ce faire, les entreprises peuvent mettre en place des chartes de sécurité. « Un passage obligé », selon le Clusif. 55% des entreprises interrogées déclarent être dotées de telles chartes. Dans les entreprises de 200 à 499 salariés, le taux est de 49%. Il n’est que de 75% dans les sociétés de plus de 1.000 salariés, ce qui est plutôt inquiétant. Par ailleurs, dans une très grande majorité des cas, ces politiques de sensibilisation ne sont absolument pas mesurées. Que contiennent ces politiques de sécurité ? Dans la plupart des cas, la stratégie se résume à une action: l’interdiction. Une méthode qui va vite montrer ses limites: comment se passer des nouvelles technologies en entreprise ? 73% des entreprises déclarent interdire la VoIP, 56% interdisent le Wi-Fi indoor, 43% interdisent les PDA. La volonté de contrôle côtoie également une ouverture sans limites ! Ainsi, 12% des entreprises autorisent sans aucune condition l’accès au SI depuis des postes non maîtrisés, 6% la VoIP et 9% les PDA communicants alors que ces deux technologies constituent des maillons faibles en terme de sécurité. Par ailleurs, si les entreprises utilisent en très grande majorité les outils classiques de protection des postes de travail (antivirus, firewall, antispam), elles sont aujourd’hui très en retard en matière de nouvelles technologies de sécurité. Plus d’une entreprise sur deux déclare qu’elles n’envisagent pas de déployer ces nouvelles solutions à court terme. On pense notamment aux solutions de chiffrement et d’authentification forte pour les terminaux mobiles. Nous reviendrons prochainement sur ce sujet: 44% des entreprises se disent victimes de vol ou de pertes de matériel informatique (lire notre encadré), d’où l’importance de chiffrer ces terminaux nomades. Dans le même temps, les menaces exigent une veille quotidienne. Cette pratique est aujourd’hui intégrée par les entreprises, mais reste encore trop parcellaire. 36% des entreprises pratiquent une veille systématique, 22% ne réalisent pas de veille… Même constat pour la gestion des patchs, une procédure aujourd’hui stratégique pour les entreprises. 42% d’entre elles reconnaissent ne pas avoir formalisé de procédures. Enfin, seulement 58% des entreprises collectent et traitent les incidents de sécurité. 24% procèdent à une évaluation financière de ces incidents. On comprend alors pourquoi seulement 5% des entreprises déposent plainte après avoir été victime d’un incident. Les principaux incidents de sécurité rencontrés par les entreprises

58% : erreurs dans la mise en oeuvre des logiciels ou procédures 47% : pertes de services essentiels dus à des coupures 46% : erreurs humaines d’utilisation 44% : vols ou disparition de matériel 37% : pannes d’orgine interne 36% : infection virale 8% : événements naturels 6% : accidents physiques 4% : divulgations d’informations 4% : attaques logiques (Ddos…) ciblées 3% : actes de dénigrement en ligne (défiguration de sites) 3% : sabotages physiques 2% : intrusions dans la SI 2% : fraudes informatiques ou télécoms 1% : actes de chantage