L’édition 2014 du rapport Clusif sur les menaces informatiques et pratiques de sécurité en France illustre les nombreuses contraintes auxquelles sont confrontées les PME et grandes entreprises.
Quand bien même elles se montrent globalement conscientes des enjeux liés à la protection des systèmes d’information, les entreprises sont confrontées à des contraintes budgétaires et organisationnelles qui restent des freins majeurs à la conduite de missions de sécurité.
C’est l’une des principales conclusions établies par le Clusif dans l’édition 2014 (document PDF, 118 pages) de son rapport bisannuel intitulé « Menaces informatiques et pratiques de sécurité en France ». Réalisée auprès de 350 entreprises de plus de 200 salariés, de 150 hôpitaux publics et de 1009 particuliers utilisateurs d’Internet à domicile, cette étude vise avant tout à alimenter la réflexion des professionnels, en complément au Panorama de la cybercriminalité.
Le taux de réponse relativement faible – environ 90% des 3500 entreprises interrogées n’ont pas souhaité témoigner – dénote une certaine réticence à communiquer sur le thème de la sécurité de l’information. Et pour cause : il subsiste encore de nombreuses zones grises, malgré une évolution tangible de la maturité des responsables informatiques.
Que ce soit par la mise en place d’organisations ou de structures (Correspondants informatique et libertés, chartes internes/externes…), le nombre d’acteurs de la sécurité des systèmes d’information continue d’évoluer positivement, mais le manque de budgets et de connaissances se fait ressentir : le nombre d’entreprises ayant formalisé leur plan de sécurité du SI demeure quasi inchangé entre 2010 (63%) et 2014 (64%). Parmi les autres freins évoqués figurent la réticence de la Direction générale des métiers ou des utilisateurs (19% des sondés), ainsi que le manque de personnel qualifié (16% des répondants).
De même, si l’informatique est perçue comme stratégique par une très large majorité des entreprises, les responsables de la sécurité des systèmes d’information peinent encore à cerner la part du budget qui leur est allouée. Leur fonction est tout de même de plus en plus clairement identifiée et attribuée (dans 62% des cas, contre 37% en 2008). Ils sont fréquemment rattachés à la DSI, ce qui, d’après le Clusif, pose la question de leur « pouvoir d’arbitrage »…
Un point positif : alors que l’accès nomade aux ressources de l’entreprise continue de se généraliser, la maturité des solutions technologiques de connexion, de gestion des terminaux et de contrôle des flux d’informations permet une meilleure maîtrise des risques associés. Dans le même temps, les entreprises font preuve d’une méfiance accrue envers les équipements personnels issus de la tendance BYOD (« Bring Your Own Device ») : en deux ans, le taux d’interdiction est passé de 38% à 66%. Autre usage encore majoritairement proscrit à des fins personnelles : la messagerie instantanée (dans 56% des cas).
Peu d’évolution, en revanche, au niveau des technologies de protection : les outils de chiffrement sur PC portables sont toujours délaissés par environ deux tiers des entreprises. Idem pour les dispositifs de contrôle d’accès, à l’exception de SSO et Web SSO. L’intégration du cloud dans la stratégie de sécurité est plus fréquente : elle augmente sensiblement en deux ans, à 38%. Mais si 44% des entreprises ont placé tout ou partie de leur SI sous infogérance, près de la moitié ne réalisent aucun audit sur cette infogérance. De même, moins d’un quart d’entre elles intègrent les problématiques de sécurité dans le cycle de développement de leurs solutions. Ce qui laisse la porte ouverte à des failles applicatives.
Parmi les incidents rencontrés, 39% impliquent des pertes de services essentiels ; 37%, des vols ; 35%, des pannes d’origine interne. Concernant les événements d’origine malveillantes, il s’agit essentiellement « d’infections par virus » (14 à 15 fois en moyenne dans l’année) et « d’attaques logiques ciblées » (10 à 11).
Dans le secteur public, les exigences réglementaires semblent devoir s’imposer comme le moteur de l’évolution des pratiques de sécurité. Avec le développement de l’informatisation de la production des soins naissent, au-delà de la confidentialité de l’information médicale personnelle, des enjeux d’intégrité, de continuité et « d’auditabilité ». Le rôle de l’État est déterminant, notamment à travers le programme « Hôpital Numérique » lancé fin 2011 et qui vise à moderniser, en l’espace de 5 ans, le SI des établissements sanitaires, avec plusieurs prérequis : identité/mouvement, fiabilité/disponibilité et confidentialité. Tous ces indicateurs entrent en ligne de compte dans la certification délivrée par la Haute Autorité de Santé.
A noter également l’initiative de la CNIL, qu a publié son Guide des Professionnels de santé pour aider les responsables des traitements métier et les référents sécurité SI à protéger les informations nominatives. L’ASIP Santé a pour sa part mis au point, en 2012, un espace de confiance pour les messageries sécurisée de santé.
Pour autant, il reste du chemin à parcourir : la moitié des hôpitaux n’ont toujours pas formalisé leur PSI. Et à peine un tiers ont un programme de sensibilisation à la sécurité de l’information. Enfin, si les ordinateurs (fixes et portables) maintiennent un niveau de protection très élevé vis-à-vis des risques « classiques » (antivirus, pare-feu, antispam), les équipements mobiles ne semblent pas être particulièrement pris en compte. En revanche, la veille en vulnérabilités progresse significativement : 77% des hôpitaux déclarent désormais l’effectuer systématiquement ou en partie. La gestion de la continuité d’activité progresse aussi : 65% des hôpitaux traitent l’indisponibilité du SI et 41% prennent en compte les enjeux métier.
Du côté des internautes, le taux d’équipement en informatique continue d’augmenter (4,6 appareils par foyer en moyenne). Le Wi-Fi poursuit sa progression comme mode d’accès au réseau local, bien que 22% des sondés en proscrivent l’utilisation… pour des raisons de sécurité. Parmi les autres usages en forte croissance, la connexion à Internet hors du domicile, le recours au stockage en ligne (pour 38% des interrogés) et le commerce électronique (91%). Autant de pratiques motivées par plusieurs facteurs « sécurisants » : protocole HTTPS, technologies de protection des paiements, confiance envers certains sites, etc.
La prise de conscience quant aux problématiques liées à l’utilisation du Net est globale, avec les plus jeunes en tête de gondole. Les moyens classiques de protection restent très utilisés : antivirus (81%), pare-feu (80%), anti-spyware (77%), antispam (76%), mais aussi sécurisation du Wi-Fi par clé de chiffrement (77%), protection des terminaux par mot de passe (60%) et sauvegarde sur différents supports (69%). Ce dernier point est d’autant plus crucial que 35% des internautes interrogés ont déclaré avoir subi « au moins une perte de données » sur leur ordinateur au cours des 24 derniers mois (25% sur leur smartphone). L’erreur de manipulation reste le motif le plus évoqué (à 27% et 30% respectivement), devant la panne (27% et 25%) et le piratage (21% et 15%).
Clément Bohic
Source