olly - Fotolia
Etude Clusif : le RSSI, un chef d’orchestre… sans orchestre ?
Les responsables de la sécurité des systèmes d’information semblent encore en peine de faire progresser la maturité de leurs entreprises en la matière. Ils ne paraissent cependant guère bien dotés en moyens pour cela.
La maturité continue de « stagner », pour reprendre les termes de Lionel Mourer, du cabinet Atexio, responsable de l’édition 2018 de l’étude du Club de la sécurité de l’information français (Clusif) sur les menaces informatiques et pratiques de sécurité en France. Le bilan n’apparaît donc guère plus glorieux qu’il y a deux ans.
Si un chiffre contribue à étayer ce propos, c’est le nombre de RSSI (responsable sécurité des systèmes informatiques) dans les entreprises. De fait, la part des entreprises où la fonction RSSI est identifiée et attribuée s’établit cette année à 58 %. En 2016, c’était 67 %. Certes, l’échantillon a quelque peu évolué cette année, mais si cela n’avait pas été le cas, ce chiffre ne serait tout de même que de 63 %, un petit point de mieux qu’en 2014. La taille de l’entreprise est un facteur clairement différenciant : la fonction RSSI est bien là pour 78 % de celles comptant entre 1000 et 1999 collaborateurs, et pour 87 % au-delà. Mais jusqu’à 999 salariés, ce chiffre ne dépasse pas les 60 %.
Une fonction aux moyens mal quantifiés
Les auteurs de l’étude du Clusif précisent que 52 % des RSSI sont dédiés à leur tâche à plein temps, soit autant qu’en 2016. Et là, la taille de l’entreprise ne semble pas jouer. Mais il en va différemment pour le rattachement du RSSI. Dans les entreprises de moins de 1000 salariés, il rapporte directement à la direction générale dans 55 % des cas. Dans les plus grandes entreprises, ce n’est vrai que pour 17 % des cas : là, en majorité (77 %), le RSSI est rattaché à la DSI. Manifestement, certains messages peinent donc à passer. Dans ce contexte, il est presque surprenant que les contraintes organisationnelles ne soient mentionnées que par 29 % des sondés parmi les freins à la conduite des missions de sécurité de l’information.
Le premier frein reste le manque de budget, comme il y a deux ans, mais avec un léger mieux : cette année, il est mentionné par 36 % des sondés, contre 42 % en 2016. Mais la traduction de cette situation ne change pas, voire s’aggrave : « les effectifs rattachés directement au RSSI sont plutôt en baisse, par rapport à 2016 »
Ainsi, dans 30 % des entreprises disposant d’un RSSI, ce dernier doit se contenter d’un équivalent temps plein (ETP) pour l’épauler. Il y a deux ans, cela ne valait que pour 24 % des cas. La part des RSSI entourés de trois à cinq ETP passe de 21 % à 15 %. Et celle de ceux disposant de plus de 5 ETP recule de 8 % à 5 %. En fait, la situation la plus répandue reste celle ou le RSSI n’est accompagné que d’un ou deux ETP.
En outre, seules 20 % des entreprises semblent identifier les coûts liés à la sécurité informatique, « ce qui n’est pas forcément égal un budget », précisent les auteurs de l’étude. Reste que 33 % des sondés « ne savent pas quelle est l’évolution du budget consacré au domaine ! Selon l’étude, « le pourcentage de budgets constants est de 35 % ». Celui des budgets en augmentation s’établit à 30 %, contre 18 % il y a deux ans.
Toujours trop de technique…
Mais les auteurs de l’étude ne peuvent s’empêcher de souligner que le poste avancé comme le plus prioritaire est la « mise en place de solutions ». Et de déplorer que, « une fois de plus, et pour beaucoup d’entreprises, la sécurité est toujours une histoire de mise en place de solutions techniques ». Et encore, il ne s’agit pas forcément de solutions particulièrement innovantes. Les solutions de protection des points de terminaison et anti-spam sont très bien représentées. Mais les systèmes de gestion des informations et des événements de sécurité (SIEM) ne sont mentionnés que par 54 % des sondés, les sondes de détection intrusion réseau (IDS) par 52 %, les outils de contrôle d’accès au réseau (NAC) par 38 %. Les systèmes de prévention des fuites de données (DLP) font quant à eux presque figure de grands absents à 14 %.
Mais alors, quid des pratiques ? Les trois quarts des entreprises réaliseraient une veille permanente sur les vulnérabilités et en solutions de sécurité, notamment les sites spécialisés [puisque vous êtes ici, merci de nous suivre, NDLR]. Mais seulement 56 % des entreprises ont formalisé des procédures de correctifs de sécurité. Et puis seulement 11 % des sondés déclarent avoir mis en place des cycles de développement intégrant la sécurité – contre 17 % il y a deux ans.
Certes, les entreprises semblent mieux identifier les incidents de sécurité qui les affectent, et y réagir plus rapidement : « pour 70 % d’entre elles (58 % en 2016), l’incident le plus sévère en termes de disponibilité de service a été traité en moins de 24 h, et 86 % l’ont traité en moins de 72 h ». Las, tous les enseignements ne sont pas forcément retirés. Ainsi, « si un retour d’expérience peut avoir lieu, l’évaluation des impacts financiers dus à l’incident est réalisée par moins de la moitié des entreprises ».
Et trop peu de pragmatisme
Accessoirement, on relèvera, à l’heure du RGPD, seuls 22 % des sondés se disent pleinement prêts… Mais est-ce vraiment une surprise alors qu’il faut déjà savoir où se trouvent les données concernées ? Plus de la moitié des sondés indique avoir totalement inventorié les actifs informationnels de leur entreprise. C’est considérablement mieux qu’en 2016 (33 %), mais continue d’apparaître insuffisant. Et cela d’autant plus que beaucoup semblent s’être arrêtés là : « le pourcentage d’entreprises ayant classifié totalement leurs actifs [pour indiquer le besoin de protection] demeure faible et atteint à peine 30 % ». Qui plus est, le processus de classification n’est outillé ou industrialisé que par 13 % des entreprises.
Se pose aussi la question de savoir si la stratégie de sécurité s’établit suivant une approche de gestion des risques. Pas vraiment, en fait. Un peu plus de 80 % des entreprises représentées a procédé à un inventaire au moins partiel des risques. Mais « à la suite de cet inventaire des risques, peu d’entreprises, en moyenne, en ont fait une analyse formelle (23 %) ». Le chiffre est inférieur lorsque l’inventaire n’a été que partiel. Dès lors, les plans de réduction des risques apparaissent assurément « déconnectés de l’analyse formelle des risques ».
Enfin, le RSSI se dote-t-il vraiment des moyens nécessaires pour piloter la sécurité informatique de son entreprise ? Pas toujours. Comme il y a deux ans, seuls 25 % des sondés utilisent des tableaux de bord dédiés. En 2016, les auteurs de l’étude soulignaient que ces tableaux de bord « restent un moyen simple et efficace, pour autant qu’on ait choisi les bons indicateurs, de piloter la sécurité de l’information au sein de son entreprise ».