Les entreprises françaises ont mal à leur sécurité IT
Selon une récente étude PwC, près des deux tiers des entreprises françaises ont subi un incident de sécurité en 2011, environ 50 % de plus qu’en 2010. Une situation préoccupante qui explique la chute considérable du niveau de confiance des entreprises dans la sécurité de leur système d’information. Mais les réactions concrètes peinent encore à venir.
Plus de 60 % des entreprises françaises auraient eu à souffrir d’un «incident» de sécurité informatique cette année, selon PwC. L’an passé, seules 39 % d’entre elles déploraient cela. Multiplication des incidents ou prise de conscience accrue ? L’étude ne le dit. Peut-être faut-il y voir un peu des deux. Une chose semble acquise, dans tous les cas, la confiance des entreprises dans la sécurité de leurs systèmes d’information recule : elles se déclaraient sereines à 87 % en 2010 contre 55 % en 2011.
En France, le cabinet estime que 20 % des entreprises ont subi des pertes financières l’an passé suite à un incident de sécurité. Un chiffre encore en progression : elles n’étaient que 15 % l’an passé, et 8 % en 2008. Dans 17 % des cas, on parle de «vols de propriété intellectuelle.» Et dans 13 %, des «atteintes à l’image.» Un chiffre qui pose plus de questions qu’il n’apporte de réponses : cette année, des attaques comme celles dont ont été victimes un Sony ou un RSA ont entraîné des pertes financières et provoqué de grave préjudice d’image.
Mais le préjudice d’image peut aussi être causé par des attaques externes sans impact sur la sécurité du système d’information, de la même manière qu’une communication de crise soignée peut limiter l’impact d’une intrusion même significative sur l’image de l’entreprise. Et cela, l’étude de PwC ne le détaille pas.
Des pratiques efficaces ?
L'étude du cabinet de conseil n’en est pas moins riche d’enseignements. PwC s’est notamment attaché à définir les points communs des entreprises qui s’en tirent le mieux, face aux menaces sur leur cyber-sécurité. C’est-à-dire celles qui «subissent deux fois moins d’incidents de sécurité que les autres entreprises.» De quoi confirmer que le risque zéro n’existe plus. S’il a jamais existé.
Reflet de cette situation, le premier enseignement : selon PwC, l’entreprise doit établir une «stratégie de sécurité de l’information», visant tant la «protection de l’information» que la «façon dont l’entreprise peut et veut exploiter les opportunités des nouvelles technologies». En clair, il faut identifier, à l’intérieur du périmètre de l’entreprise et de son système d’information, ce qu’il convient de protéger. Et le faire bien. À l’extérieur, il faut penser soigneusement l’ouverture de son système d’information et gérer avec tout autant d’application son utilisation des réseaux afin de travailler son image et de la protéger. Un message récurrent des spécialistes de la sécurité qui, manifestement, à en croire les chiffres, ne manque pas de pertinence.
Second enseignement : la fonction sécurité doit être intimement liée aux directions - de l’informatique et générale. Gageons que les événements majeurs du premier semestre auront permis d’éveiller les consciences.
Le troisième enseignement ne manquera pas d’éveiller l’intérêt : pour PwC, une stratégie de sécurité informatique, comme un plan de continuité ou de reprise l’activité, ou un plan de gestion des risques, doit vivre et être évaluée et révisée régulièrement. Un élément manifestement difficile à intégrer : en France, seulement 39 % assurent ce suivi, «un pourcentage qui stagne depuis 3 ans.»
Enfin, PwC abonde, sans le dire ouvertement, en faveur des SIEM, les systèmes de gestion des incidents de sécurité, au travers de la promotion d’un «processus permettant d’identifier les incidents de sécurité qui peuvent survenir, leurs causes et leurs conséquences.» Mais encore dans une approche post mortem pour permettre «d’adapter si nécessaire le dispositif.» Et pas de manière proactive ni dans une logique de suivi régulier, déploreront certains.
Reste que ces pratiques vertueuses ne sont, selon le cabinet, mises en œuvre que par 11 % des entreprises françaises. Une paille. Mais tout le monde se rassure : seules 13 % des entreprises du monde entier figurent parmi les bons élèves. Les pirates et autres espions industriels et commerciaux peuvent être rassurés.
L’humain, maillon faible de la base au sommet
Clairement, PwC n’est pas tendre, dans ses conclusions. Le cabinet relève que la fonction sécurité de l’information est rattachée «au top management» dans 47 % des cas. Mais de manière superficielle : elle «n’est pas encore complètement intégrée dans le corps décisionnel des entreprises.» La sécurité en cache-sexe, comme disait récemment Patrick Pailloux, patron de l’Anssi ? Peut-être. En tout cas, le «top management» ne semble pas trop impliqué dans 25 % des cas. L’investissement semble à la peine dans 27 %. Les RSSI se plaignent quant à eux du «manque de compréhension et de vision (37 %) et de la complexité des SI (30 %).»
Surtout, PwC pointe «une zone de risque croissant : les incidents causés par des tiers, qu’ils soient client ou partenaires». Ceux-ci auraient ainsi doublé en 3 ans, parallèlement à la «dégradation» des moyens «affectés à la gestion de ces types de risques.» Bref, clients et partenaires entrent sur les systèmes d’information des entreprises, mais les moyens de protection ne suivent pas.
Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)
-
Ransomware : l’évasif ThreeAM commence à divulguer les données de ses victimes
-
Campagne MOVEit : SYNLab, Cegedim, Nuance, PwC… la litanie des victimes de Cl0p
-
Incidents cyber : le risque principal pour des entreprises qui n’en ont pas conscience
-
Supervision de la sécurité et externalisation : les raisons d’un besoin crucial