Concernant les entreprises, la dépendance au système d’information s’accentue d’année en année. 80% des entreprises interrogées se considèrent même y être aujourd’hui fortement dépendantes. On observe, en 2010, une meilleure prise de conscience de la Direction Générale. La Politique de Sécurité des Systèmes d’Information (PSSI) est de plus en plus formalisée (73%), la charte SSI se généralise (67%) et le nombre de RSSI augmente (49%). Toutefois, ce dernier a rarement un poste à plein temps et dépend de moins en moins de la Direction Générale. Le budget sécurité reste, quant à lui, toujours relativement mal évalué. De plus, ces améliorations théoriques ne se reflètent pas forcément dans les pratiques de sécurité. En effet, 60% des entreprises ne font pas d’analyses de risques ; seules 32% disposent d’un programme de sensibilisation.

L’ouverture du SI, la mobilité et l’utilisation de nouvelles technologies, telles que la ToIP, les smartphones,…, s’accentuent. 51% des entreprises utilisent aujourd’hui des PDA, smartphones, soit une forte progression par rapport à 2008. Les PC portables restent encore assez peu protégés.

L’anti-virus, le pare-feu et l’anti-spam restent très largement en tête (respectivement 97%, 95% et 91%) des technologies utilisées. Les IDS et IPS progressent (34% et 27%), le chiffrement aussi mais dans une moindre mesure (17%, contre 7% en 2008). Côté contrôle d’accès, l’utilisation du SSO se répand (21% contre 14% en 2008). De plus en plus d’entreprises effectuent une veille sur les vulnérabilités et solutions de sécurité, toutefois un tiers d’entre elles n’en font toujours aucune.

74% des entreprises déclarent avoir subi au moins un incident de sécurité, soit une augmentation de 19% par rapport à 2008. Une augmentation qui s’explique certainement par des mécanismes d’alerte plus développés. Néanmoins, le nombre de dépôts de plaintes en cas d’attaque reste toujours aussi bas (5%). Parmi les principales sources de malveillance, arrivent en tête les erreurs d’utilisation, les pertes de services, les pannes et les infections virales. 33% des entreprises ne disposent toujours pas d’un plan de continuité d’activité.

Niveau « conformité », 68% déclarent être conformes à la CNIL ; 20% le seraient pour le traitement des données sensibles. Chiffre peu rassurant : 11% ont répondu « ne sais pas » à cette question. Concernant les audits de sécurité, 63% en font de 1 à 5 par an ; mais 25% des entreprises n’en font jamais. Et seules 34% disposent d’un tableau de bord de la sécurité informatique.

La conclusion de cette étude révèle une certaine stagnation des pratiques de sécurité en entreprises. La légère amélioration observée à certains niveaux reste bien insuffisante au regard des enjeux.

Hôpitaux : les pratiques de sécurité en voie d’amélioration

Au niveau des hôpitaux, les directions informatiques sont de plus en plus convaincues de la nécessité du pilotage médical des projets et de la participation des soignants. Le nombre de RSSI augmente. Toutefois, la part du budget sécurité dans le budget IT a diminué.

63% des hôpitaux ont formalisé une politique de sécurité, et dans 75% des cas sa mise à jour date de moins de 2 ans. La Direction Générale soutient cette politique à 94% (contre 99% en 2006, lors de la dernière enquête du CLUSIF sur les hôpitaux). La charte de sécurité s’est généralisée (63%) et la mise en place du CIL se développe (39%, +10% qu’en 2006). Toutefois, 60% des hôpitaux n’effectuent pas d’analyse de risques et deux tiers d’entre eux n’ont aucun programme de sensibilisation des utilisateurs.

Par contre, ils n’ont pas résisté au nomadisme, au développement des réseaux sans fil et de la téléphonie sur IP. L’usage des PDA – smartphones n’est pas encore très étendue.

59% font de la veille sur les vulnérabilités. 47% formalisent les processus de déploiement des correctifs. La détection des incidents de sécurité progresse. On observe une augmentation des vols de matériels informatiques (44%) et de la perte de services essentiels (46%), mais une diminution des causes accidentelles.

La mise en place de plans de continuité d’activité augmente (54% en tout ou partie, +18% vs 2006), mais près de la moitié ne font aucun audit de sécurité et très peu ont mis en place un tableau de bord de suivi (7%, +1% vs 2006).

En conclusion, il apparaît clairement que les défis à relever par les hôpitaux dans les prochaines années sont encore importants et multiples.

Internautes : « banalisation de l’usage d’Internet »

Concernant les internautes, la perception de la menace résultant de la connexion à Internet est en légère diminution par rapport à l’étude précédente (23% « risque important ou très important », vs 25% en 2008). En revanche, le sentiment de danger concernant la protection de la vie privée augmente (73% « mise en danger de la vie privée - fortement ou un peu », vs 60% en 2008).

90% des internautes déclarent payer leurs achats en ligen : 68% sous conditions (utilisation de https, notoriété de l’enseigne, utilisation d’une e-card), et 22% sans condition…

Seuls 5% des internautes protègent leurs ordinateurs avec un mot de passe, 11% utilisent le contrôle biométrique. Dans 90% des cas, les mises à jour de sécurité semblent être déployées régulièrement qu’il s’agisse de déploiement automatique ou manuel.

Les mesures de protection professionnelles sont très peu utilisées sur l’ordinateur familial : 80% n’utilisent pas de chiffrement, 88% n’ont pas d’antivol physique et 65% n’ont pas de protection de leur alimentation électrique.

Au final, nous observons une banalisation de l’usage Internet, avec un sentiment de sécurité qui ne change pas grâce à une meilleure connaissance de l’outil informatique et de ses dangers.

* Cette étude a été menée début 2010, en collaboration avec le cabinet spécialisé GMV Conseil, sur la base de questionnaires d’enquête élaborés par le Clusif, passant en revue l’ensemble des 11 thèmes de la norme ISO 27002, relative à la sécurité des Systèmes d’Information.

Trois cibles ont été retenues pour cette enquête :
– les entreprises de plus de 200 salariés : 350 entreprises de cette catégorie ont répondu à cette enquête,
– les hôpitaux publics de plus de 200 lits : 151 hôpitaux ont accepté de répondre à cette enquête,
– les internautes, soit 1000 individus issus du panel d’internautes de l’institut spécialisé Harris Interactive, ont répondu à cette enquête via Internet.