Le CLUSIF publie son étude annuelle sur l’évolution des pratiques SSI dans les entreprises françaises. Le document est une mine d’or statistique concernant notamment l’organisation de la sécurité au sein des entreprises, le positionnement du RSSI dans l’organisation, la dépendance au système d’information et bien d’autres critères encore, sur lesquels nous reviendrons au cours des semaines à venir.
Mais l’enseignement général de cette étude 2014 est ailleurs : à la lecture de ce rapport l’on note surtout que les entreprises françaises laissent encore des trous étonnants dans leur raquette SSI.
L’étude note ainsi, par exemple, à la fois une régression de la pratique des analyses de risque (tant partielles que totales) et une forte augmentation des incidents rencontrés par les entreprises.
Concernant les analyses de risque, 47% des entreprises interrogées n’ont mené aucune analyse formelle (basée sur une méthode ou un référentiel), contre 45% lors de la dernière étude. Elles étaient cependant 60% lors de l’étude 2010, ce qui peut laisser croire à un plafonnement de la pratique.
Et bien que l’on ne puisse évidemment pas en déduire un rapport de cause à effet direct, les incidents repartent à la hausse : les pertes de services essentiels passent de 26% (en 2012) à 39%, les vols passent de 19% (2012) à 37% et les pannes d’origine interne passent de 25% (2012) à 35%.
Au delà de la (légère) régression de la pratique de l’analyse du risque, ces chiffres s’expliquent certainement par d’autres « trous » dans la raquette des entreprises. Car l’on découvre dans cette étude des comportements pour le moins inquiétants.
Ainsi 44% des entreprises disent avoir placé leur système d’information sous infogérance (9% en totalité et 35% partiellement). Pour autant, elles sont 32% à n’avoir aucun indicateur de sécurité pour mesurer cette prestation d’infogérance, et 44% ne réalisent même aucun audit !
En clair : une part importante des entreprises qui externalisent tout ou partie de leur système d’information le font dans le noir. Elles ne disposent d’aucun contrôle sur le niveau de sécurité offert par leur prestataire !
Et cela risque de ne pas aller en s’arrangeant : la migration vers le Cloud, même si ce dernier ne concerne encore que 50% des entreprises en France, augmente fortement depuis 2012 (+38%). Or l’on sait que la capacité de négociation et de contrôle des entreprises clientes vis-à-vis des grands fournisseurs de Cloud est plus limitée encore que vis-à-vis de leur infogéreur local.
En interne, en revanche, la situation semble mieux maîtrisée : 71% des entreprises disent avoir réalisé un audit ou un contrôle de la sécurité de leur système d’information.
Mais ce chiffre cache lui aussi des déceptions : non seulement est-il en régression de trois points, mais surtout les audits réalisés sont avant tout (à 65%) destinés à assurer le respect des exigences contractuelles, règlementaires ou externes, telles les assurances. Autrement dit les entreprises semblent surtout faire de la sécurité pour être conformes…
En outre un peu plus d’un quart des entreprises interrogées (27%) n’ont pas de plan de continuité d’activité. L’on peut certes imaginer qu’il s’agit des plus petites, mais ramené au nombre important de nos PME (99,9% des entreprises françaises, 52% de l’emploi, 38% du CA du pays), il s’agit là à l’échelle de la Nation d’une vulnérabilité importante.
Autre handicap : même si la fonction de RSSI est de plus en plus clairement identifiée au sein des entreprises (62% aujourd’hui contre 37% en 2008), elles sont tout de même encore 38% à ne pas avoir désigné de RSSI. Et lorsque c’est le cas, la fonction est prise en charge majoritairement par le DSI ou le responsable informatique (52%), ce qui n’aide pas évidemment à intégrer le risque SI dans une vision globale des risques de l’entreprise (bien qu’il s’agisse probablement ici de petites entreprises pour qui la « vision globale du risque » est encore un concept lointain…).
Mais techniquement aussi, il reste des trous dans la raquette : les outils de chiffrement sur les PC portables, par exemple, ne sont encore utilisés que par seulement un tiers des entreprises, alors qu’il s’agit d’une mesure de sécurité désormais facile à mettre en oeuvre et très efficace contre la perte ou le vol d’information.
Enfin, plus globalement, la prise en charge des incidents de sécurité régresse : la part des entreprises disposant d’une cellule de gestion des incidents de sécurité passe de 53% (2012) à 45%. Certes, cela est probablement lié à des contraintes budgétaires : selon l’étude bien que les budgets SSI semblent repartir légèrement à la hausse, le poste ayant connu la plus forte augmentation (26%) est celui dédié à l’achat de solutions…
Evidemment, l’étude offre aussi quelques raisons de se réjouir. Ainsi, la classification de l’information, ce vieux serpent de mer, progresse légèrement (+6%). Et les analyses de risque, lorsque l’on y regarde de plus près, sont certes en régression, mais c’est surtout la part des analyses sur un périmètre purement SI qui régresse. Les analyses de risque globales, elles, ont tendance à augmenter et passent de 19 à 21%, ce qui va dans le bon sens d’un décloisonnement en matière de risque.
Jerome Saiz
Source