Pour le Clusif, la sécurité des systèmes d’information des entreprises a cessé de progresser

Ce n’est pas un signal d’alarme, mais ça en a tout l’air : avec l’édition 2008 de son étude sur les menaces informatiques et les pratiques de sécurité des entreprises françaises, le Club de la Sécurité de l’Information Français (Clusif) dresse un état des lieux peu reluisant.

Dès l’introduction du rapport consultable sur Internet, Laurent Bellefin, directeur de l’activité Sécurité de Solucom et responsable du groupe de travail « Enquête sur les menaces informatiques et les pratiques de sécurité » du Clusif, donne le ton : « côté entreprise, cette édition 2008 fait ressortir un inquiétant sentiment de stagnation. » Et de préciser que, « entre 2004 et 2006, des progrès notables avaient été faits, en particulier dans le domaine de la formalisation des politiques et des chartes de sécurité. Mais depuis, il semble bien que la mise en application concrète de ces politiques soit restée un vœu pieu. »

Pour son étude, le Clusif a sollicité quelques 2000 entreprises françaises entre janvier et mars derniers, pour obtenir les réponses de 354 d’entre elles à des questions inspirées des grands thèmes de la norme ISO 27002. Les résultats ont ensuite été redressés pour obtenir des valeurs représentatives. Et le résultat n’est effectivement pas brillant.

Premier constat : le sentiment de dépendance à l’outil informatique est grand, avec 73 % des entreprises qui estiment qu’une indisponibilité de moins de 24h de cet outil aurait de lourdes conséquences pour leur activité. Mais les choses tournent à l’aigre dès la question du budget consacré à la sécurité de cet outil.

L’inquiétante question des budgets

Près d’un tiers des entreprises ne savent pas identifier ce budget qui ne représente que moins de 3 % du budget informatique total de près d’un quart des entreprises. Surtout, ce budget sécurité stagne ou recule dans près de la moitié des entreprises. Il n’y a guère que dans le monde des services bancaires et financiers qu’il augmente dans une large part des entreprises, 48 %. Et pour 28 % d’entre elles, cette augmentation est supérieure à 10 %.

budgets

Les principaux freins à la progression des budgets sécurité sont les contraintes organisationnelles et… le manque de moyens financiers, « dont nous n’avons pas fini de nous alarmer », précisent les auteurs du rapport.

Des politiques de sécurité mises à la trappe ?

Les politiques de sécurité commencent à être bien diffusées dans les entreprises, à commencer par les plus grandes : elles sont définies dans 66 % des entreprises de plus de 1000 salariés, 59 % entre 500 et 999 salariés, et 50 % en dessous. Mais, dans 45 % des cas, cette politique ne s’appuie sur aucune norme.

Surtout, elle n’est que relativement suivie de ses prolongements logiques. L’analyse globale des risques liés à la sécurité du SI n’est conduite en totalité que dans 30 % des cas. L’analyse des risques pour les nouveaux projets n’est systématique que dans 36 % des cas. Les trois quarts des entreprises ne disposent pas d’un tableau de bord de sécurité.

La proportion d’entreprises dotées d’une charte de sécurité à destination des salariés n’évolue plus, restant à 50 % en moyenne. Surtout, les moyens de sensibilisation semblent bien inadaptés, reposant principalement sur une démarche volontaire des salariés. En outre, aucune métrique n’est là pour mesurer l’impact des opérations de sensibilisation.

Qui plus est, 40 % des entreprises ne disposent toujours pas d’un plan de continuité de l’activité (PCA). Heureusement, lorsqu’il existe, le PCA est testé et mis à jour au moins une fois par an dans 72 % des cas.

Globalement, Laurent Bellefin tend à considérer que les entreprises se sont lancées dans des « démarches de sécurité trop larges et mal pilotées. » Et de recommander une analyse des risques en amont puis le lancement d’opérations de traitements des risques majeurs, en priorité, « et de les traiter jusqu’au bout ! »

Des technologies limitées

Le constat n’est pas plus reluisant du côté des technologies mises en œuvre pour sécuriser le système d’information. L’anti-virus, l’anti-spam et le pare-feu sont bien, voire très bien implantés, mais c’est tout. Les dispositifs de détection d’intrusion sont ignorés par 53 % des entreprises ; les IPS (Intrusion prevention system) par 62 % ; le chiffrement par 60 % ; le contrôle des clés USB par 64 %...

technos

Le contrôle des accès logiques est encore largement négligé : 52 % des entreprises n’ont pas recours à l’authentification par certificat logiciel ; 71 % ignorent l’authentification par support physique ; 72 % font l’impasse sur les mots de passe à usage unique ; 77 % n’utilisent pas la biométrie ; 59 % laissent de côté l’habilitation par rôle ou profil métier ; 73 % et 80 % des entreprises n’ont pas recours aux SSO et SSO Web, respectivement.

Les auteurs de l’étude soulignent tout de même l’avance des secteurs financiers et des services en matière d’authentification forte. L’effet Kerviel ?

Omerta sur les incidents

incidents

Et malgré tout, les incidents existent. 56 % des entreprises reconnaissent en avoir rencontré au moins 1 dans l’année écoulée ; 7 % en aurait rencontré plus de 50. Mais à 91 %, elles n’ont pas porté plainte. Pire, à 72 %, elles n’ont pas évalué l’impact des incidents rencontrés. Et 60 % des entreprises ne disposent pas de cellule dédiée ou partagée pour la collecte et le traitement des incidents d’origine malveillante.

Pas étonnant dans ces conditions que les impacts des incidents ne soient pas évalués et que les mesures de prévention restent aussi limitées.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)