Sergey Nivens - Fotolia

Sécurité informatique en France : peut décidément mieux faire (Clusif)

Suite à la multiplication des attaques et des fraudes, on pouvait espérer percevoir une amélioration de la sensibilisation à la cybersécurité dans le rapport biennal du Clusif. Malheureusement, les chiffres montrent que ni la perception des risques ni les mesures prises pour se protéger n'ont progressé.

Comme tous les deux ans, le Club de la sécurité de l'information français (Clusif) vient de publier son rapport MIPS, « Menaces informatiques et pratiques de sécurité en France », qui analyse les usages et les tendances en la matière dans les entreprises, les collectivités territoriales et auprès du grand public. A la lecture de ce rapport, un constat s'impose : qu'il s'agisse des budgets, de la sensibilisation, des rôles, de la perception des risques ou des mesures mises en œuvre, les évolutions sont minimes, à peine perceptibles pour certains points. A croire que les attaques virales, les vols de données et autres rançonnages, qui se multiplient pourtant de façon inquiétante, laissent tout le monde de marbre.

L'étude est basée sur des entretiens par téléphone, réalisés entre janvier et mars 2016, auprès de responsables sécurité ou directeurs informatiques de 334 entreprises de plus de 200 employés et de 203 collectivités territoriales. La partie grand public a été réalisée par des questionnaires en ligne auprès de 1008 internautes.

Une inertie inquiétante 

En ce qui concerne les entreprises, le rapport MIPS distingue 5 secteurs : banque-assurance, commerce, services, transports-télécom et industrie-BTP. Premier point, si les attaques et les menaces progressent, les budgets quant à eux sont stables ou en très légère augmentation. En 2016, 18 % des répondants estiment la part allouée à la sécurité entre 3 et 6 % du budget informatique global ; 15 % seulement l'évaluent à plus de 6 %. Le secteur Transports-télécom fait un peu mieux que les autres avec 33 % des répondants qui affirment avoir un budget en augmentation  (< 10 %) ou en forte augmentation (> 10 %). Ce mieux est vraisemblablement lié à l'application de la loi de programmation militaire 2014 – 2019, mise en place en 2015 pour les opérateurs d'importance vitale (OIV).

Sinon, en ce qui concerne le rattachement du responsable sécurité, ses missions, la mise en place d'une Politique de sécurité de l'information (PSI), l'utilisation des différents outils disponibles sur le marché, les écarts avec le rapport de 2014 sont de l'ordre du pour-cent. Sans parler des processus de développement sécurisé, mis en place dans seulement 17 % des entreprises.

De même, seules 15 % des entreprises réalisent des analyses de risques complètes et… ce pourcentage est en baisse par rapport aux années précédentes ; 30 % n'ont pas de solution de gestion de la continuité ; 44 % n'ont pas de plan de gestion de crise. Seul point positif, 80 % des entreprises ont une charte d'usage du système d'information, ce taux monte à 100 % pour les banques et les assurances.

De son côté, la sinistralité a progressé : 44 % des entreprises ont subi des attaques virales, contre 30 % en 2014 ; 11 % ont été victimes de chantage ou d'extorsion (5 % il y a deux ans), autant ont subi des fraudes ou des détournements (8 % en 2014). Mais près de 3 entreprises sur 5 (59 %) n'évaluent pas l'impact financier d'un sinistre, et 3 sur 4 n'ont pas de police d'assurance.

Des internautes un peu plus conscients

 Les données relatives aux collectivités territoriales sont assez proches de celles des entreprises. Du côté du grand public, on observe un léger mieux. Un foyer possède en moyenne 3,55 équipements capables de se connecter à Internet. Les particuliers pensent à hauteur de 47 % qu'Internet fait courir des risques importants ou très importants à leurs données, et 69 % pensent qu'Internet met leur vie privée en danger. Ils étaient respectivement 43 % et 70 % en 2014. Leur taux d'équipement est relativement élevé sur ordinateur (88 % ont un antivirus, 80 % un pare-feu, 77 % un anti-spam…), il l'est moins sur tablette ou smartphone (respectivement 58 % ; 43 % ; 44 %.

Ces comportements rappellent ceux communément appelés le « syndrome de l'assurance », à savoir que tant que l'on n'a pas subi de sinistre, on ne perçoit pas la nécessité de s'assurer ou de se protéger.

 

Pour approfondir sur Backup