Le Clusif vient de dévoiler les résultats 2014 de son enquête sur les menaces informatiques et les pratiques de sécurité en France. Synthèse du volet consacré aux entreprises de plus de 200 salariés.

 

De début janvier à mi-mars 2014, le Clusif a interrogé 350 entreprises de plus de 200 salariés sur leurs pratiques de sécurité informatiques. Voici les principaux résultats de cette enquête réalisée en collaboration avec le cabinet spécialisé GMV Conseil.

Le budget sécurité reste encore mal cerné pour un quart des répondants (35% en 2012). Quand ils savent l’estimer, la majorité des répondants (57%) l’évaluent entre 1% et 6% du budget informatique. Globalement, le pourcentage des budgets « constants » diminue (54% contre 64% en 2012) tandis que 27% des budgets sont en augmentation forte ou moyenne (22% en 2012).

Un budget en augmentation mais essentiellement pour la mise en place de solutions techniques

Toutefois, le Clusif constate que le poste ayant eu la plus grosse augmentation est la mise en place de solution, avec 26% (37% en 2012). « Pour beaucoup la sécurité reste une histoire de mise en place de solution(s) technique(s) », commente le Clusif.

Le manque de budget et de connaissances du RSSI, sont les deux principaux freins cités par les répondants à la conduite des missions de sécurité dans leur entreprise.

Le nombre d’entreprises ayant formalisé leur politique de sécurité de l’information (PSI) est quasi-inchangé depuis 4 ans (64% cette année pour 63% en 2012 et 2010). De plus en plus, cette PSI s’appuie sur un référenciel de sécurité (79% des répondants contre 55% en 2010). Le guide PSSI de l’ANSSI devient marginal (2%) s’effaçant devant la norme ISO 2700x (32%) ou un référenciel interne (16%).

De plus en plus de RSSI

La fonction de Responsable de la Sécurité des Systèmes d’Information (RSSI ou RSI) est de plus en plus clairement identifiée et attribuée au sein des entreprises, passant de 37% en 2008 à 62% en 2014. Seuls 47% des RSSI sont dédiés à cette tâche à temps plein (vs 63% en 2012). Lorsque le RSSI n’existe pas, cette mission reste fortement attachée à la Direction des Systèmes d’Information.

97% des entreprises ont en permanence une équipe sécurité (elles étaient 100% en 2012 !). Toutefois, dans 27% le RSSI (ou son équivalent) est « partagé » et dans 43% des cas il est encore un homme ou une femme seul(e) ou en binôme seulement.

Le nombre d’entreprises réalisant l’inventaire (66% vs 59% en 2012) de leur patrimoine informationnel et/ou la classification des informations (66% vs 56% en 2012) est en légère augmentation depuis 2012. Mais seules 31% des entreprises ont inventorié tout leur patrimoine informationnel. « Cela signifie que 69% des entreprises ne peuvent dire avec précision sur quel périmètre et avec quelle priorité il est indispensable de déployer des outils, d’augmenter les contrôles ou de renforcer les actions de sensibilisation », écrit le Clusif.

Après une forte progression des analyses de risques entre 2012 et 2012 (54% totale ou partielle vs 38%), celles-ci stagnent, voire régresse légèrement.

Le BYOD n’a pas bonne presse

L’accès au SI par des postes nomades contrôlés ou non contrôlés est généralisé (90% des répondants) mais reste interdit dans 66% des cas pour les tablettes ou smartphones personnels. Le BYOD est encore loin d’être généralisé.

Côté protection et gestion des vulnérabilités, les choses évoluent peu. « Alors que les PC portables sont systématiquement équipés d’anti-virus et d’anti-malware, les smartphones et tablettes ne sont pratiquement pas traités bien que leur nombre augmente », souligne ainsi le Clusif. Même tendance concernant les pare-feu sur PC portables comparés aux pare-feu sur smartphones et tablettes. Seules un tiers des entreprises utilisent les outils de chiffrement sur PC portables.

Si le nombre de sondes IDS/IPS est pratiquement stable depuis la dernière enquête, les outils de contrôle des périphériques sont en régression, le NAC (Network Access Control) est stable, les outils de DLP (Data Leak Protection) sont en régression et les SIEM (Security Information and Event Management) augmentent très faiblement. Seuls les SSO et les outils web SSO progressent. « Tous ces outils, bien que globalement matures, restent complexes et couteux à déployer, ce qui peut expliquer leur faible pénétration au sein des entreprises… », décrypte le Clusif.

L’utilisation de la messagerie instantanée (non fournie par l’entreprise) et des réseaux sociaux, bien qu’en augmentation, est encore majoritairement interdite par les politiques de sécurité dans les entreprises (interdite à 70% en 2012 vs 56% en 2014).

Un tiers des entreprises sous infogérance ne mettent pas en place d’indicateurs de sécurité

« 44% des entreprises ont placé leur SI en tout ou partie sous infogérance (9% en totalité et 35% partiellement). Mais quand c’est le cas, 32% ne mettent pas en place d’indicateurs de sécurité et 44% ne réalisent aucun audit sur cette infogérance (+11 points vs 2012) », signale le Clusif qui note l’augmentation importante de l’utilisation du Cloud (38%, + 24 points vs 2012).

La formalisation des procédures opérationnelles de mise à jour des correctifs de sécurité (patch management) stagne et la Sécurité dans le cycle de développement progresse, « mais reste toujours trop insuffisante (prise en compte à 24%) », juge le Clusif.

Ce dernier note également une régression dans la gestion des incidents de sécurité par les entreprises. Du coup, les types d’incidents rencontrés par les entreprises repartent fortement à la hausse par rapport à l’étude 2012. En trio de tête, le Clusif signale les pertes de services essentiels qui passent de 26% (2012) à 39%, les vols qui passent de 19% (2012) à 37%, et les pannes d’origine interne qui passent de 25% (2012) à 35%.

Un peu plus du quart (en légère hausse) des entreprises ne prennent pas en compte la continuité d’activité. Et 25% des plans de continuité existants ne sont jamais testés par les utilisateurs. Toutefois, 71% (- 3 point vs 2012) des entreprises interrogées ont réalisé au moins un audit ou contrôle de sécurité du Système d’Information par an. Ces audits sont motivés principalement par le respect de la PSSI (43%), des exigences contractuelles ou règlementaires (33%) ou des exigences externes, comme les assurances ou les clients (32%).

 

Consulter l’étude complète.