Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Enquête 2012 du CLUSIF sur les menaces informatiques : le niveau de sécurité progresse lentement

juin 2012 par Lionel MOURER, Pour le Groupe de Travail « Enquête sur les menaces informatiques et les pratiques de sécurité » du CLUSIF

Au travers de l’édition 2012 de son enquête sur les menaces informatiques et les pratiques de sécurité
(MIPS), le CLUSIF réalise, comme tous les 2 ans, un bilan approfondi des usages en matière de sécurité de
l’information en France.} Après l’introdution de Lazaro Pejsachowicz, le Président du CLUSIF, la parole a été laissée aux trois responsables du Groupe de travail du CLUSIF.

Lionel MOURER

Cette enquête se veut être une référence de par la taille et la représentativité des échantillons
d’entreprises (351 ont répondu) et des collectivités territoriales (205 ont répondu) interrogées. Par
ailleurs, elle se veut relativement exhaustive, puisque cette année, elle passe en revue l’ensemble des 11
thèmes de la norme ISO 27002, relative à la sécurité des Systèmes d’Information.

Enfin, cette année comme en 2008 et 2010, elle reprend le volet très complet consacré aux pratiques des
particuliers utilisateurs d’Internet à domicile (1 000 répondants).
Cette synthèse reprend l’une après l’autre chacune des thématiques abordées et en précise les tendances
les plus remarquables.

Thierry HENNIART

Entreprises : une évolution « tranquille... » dans un contexte financier et
organisationnel toujours très contraint

La mise en place d’une « organisation » et de « structures » de la SSI (Responsable de la Sécurité des
Systèmes d’Information (RSSI ou RSI), Correspondant Informatique et Libertés (CIL), Politique de Sécurité
des Systèmes d’Information (PSSI ou PSI), charte, etc.) continue à se mettre en oeuvre, mais la mise en
application concrète de ces « politiques » ne décolle toujours pas réellement !…

Côté budget, on constate une légère reprise, pondérée par le fait que le poste le plus augmenté est la
mise en place de solution, avec 37 %. Pour beaucoup, la sécurité reste une histoire de mise en place de
solutions techniques.
Le nombre d’entreprises ayant formalisé leur PSI est demeuré inchangé en deux ans (63 %). Les normes de
sécurité poursuivent leur influence grandissante sur la PSI des entreprises, passant de 55 % en 2010 à 75 %
en 2012.

La fonction de RSSI est de plus en plus clairement identifiée et attribuée au sein des entreprises (54 %, vs
49 % en 2010 et 37 % en 2008), ce qui va dans le sens de l’histoire. Enfin, à présent, 100 % des entreprises
ont en permanence une « équipe sécurité », marquant l’importance du sujet et cela en quatre ans
seulement (43 % n’en n’avaient pas en 2010) !

Point positif : il y a une forte progression des analyses de risques (54 % totale ou partielle vs 38 % en 2010) !

L’accès nomade aux ressources de l’entreprise est de plus en plus généralisé. La maturité des solutions
technologiques de connexions, de contrôle des postes nomades et des informations qui transitent
permettent un meilleur contrôle des risques associés.

Les PDA, tablettes et smartphones connaissent toujours une augmentation importante de leur usage :
aujourd’hui, l’accès au SI avec ces équipements est autorisé dans plus de la moitié des entreprises
interrogées.

L’utilisation de la messagerie instantanée (MSN, Skype, etc., non fournie par l’entreprise) et des réseaux
sociaux est aujourd’hui majoritairement interdite par les politiques de sécurité dans les entreprises.

Seules 12 % des entreprises ont placé leur SI sous infogérance et quand c’est le cas, plus d’une sur trois ne
met pas en place d’indicateurs de sécurité !…

De même, après plusieurs années d’augmentation régulière, la formalisation des procédures
opérationnelles de mise à jour des correctifs de sécurité (patch management) est, en 2012, en régression
(59 % vs 64 % en 2010).

Ces deux dernières années marquent un palier dans la gestion des incidents de sécurité par les
entreprises. En 2012, 53 % (+1 point vs 2010) d’entre elles ont une cellule (dédiée ou partagée) à la
gestion de ces incidents de sécurité.

Baisses des incidents de sécurité par rapport aux années précédentes

Les types d’incidents rencontrés par les entreprises connaissent des taux beaucoup plus faibles que les
années précédentes :
 forte baisse des erreurs d’utilisation (17 %, -29 points vs 2010),
 les infections par virus restent toujours la première source d’incidents d’origine malveillante pour les entreprises (13,7 incidents de sécurité dus à des virus sur l’année 2011).

Un peu moins d’un tiers des entreprises ne prennent pas en compte la continuité d’activité. Ceci reste
relativement stable au regard des résultats de l’étude réalisée en 2010. Sans surprise l’indisponibilité des
‘systèmes informatiques’ représente le scénario le plus couvert (59 %).

À 88 % (idem 2010), les entreprises se déclarent en conformité avec les obligations de la CNIL.

Sur une période de deux ans, deux tiers des entreprises interrogées ont réalisé au moins un audit ou
contrôle de sécurité du Système d’Information par an (chiffres globalement équivalents à ceux de 2010).

Une large proportion d’entreprises (79 %) ne mesure pas régulièrement son niveau de sécurité liée à
l’information (pas de tableau de bord de la sécurité de l’information).
Collectivités territoriales : et si les exigences règlementaires étaient le
moteur de l’évolution des pratiques de sécurité ?…

Quels sont les facteurs déclenchant de vos projets sécurité ? À cette question, les collectivités auraient
probablement répondus à l’unisson : la règlementation suivie de près par les impacts des incidents de
sécurité. Preuve en est, les obligations de santé publique et de service minimum relatives à la pandémie
de 2009 ont déclenché de nombreux projets et impliqués des ressources importantes. Une conséquence
directe : l’accès à distance au Système d’Information. Seulement voilà, qui dit accès distant dit sécurité et
plus particulièrement confidentialité.

Toujours sur le périmètre de la confidentialité, les exigences de la CNIL et les programmes de contrôle
associés ont amené les collectivités à maintenir voir augmenter les ressources engagées. Il semble qu’une
partie des intentions de 2008 se soient concrétisées, puisque nous constatons aujourd’hui 39 % de
Correspondants Informatique et Libertés (CIL) nommés ou prévus (décision prise) par rapport à 37 % en
2008.

Un autre enseignement de cette étude fait apparaître des pratiques inégales entre les différents profils de
collectivités. Les Conseils Généraux et les Conseils Régionaux font preuve d’une plus grande mise en
oeuvre des pratiques de sécurité. Il en est de même pour les métropoles qui ont pour la plupart
structurées leur activité sécurité alors que les communautés ou les mairies de taille moyennes, par
manque de ressources ou de connaissances, sont dans une approche plus empirique de ces pratiques.
Quels vont être les impacts de la rigueur budgétaire sur la sécurité ? Tous les interlocuteurs s’interrogent
pour répondre à l’objectif de rationalisation. Porter l’effort sur les actifs les plus critiques de la
collectivité ? C’est probablement la bonne réponse. Mais pour y arriver, celles-ci vont devoir renforcer la
tendance en matière d’analyse de risque, seul dispositif permettant d’appliquer le principe de
proportionnalité et de répondre à l’objectif de rationalisation.

Quelques éléments chiffrés :

 les statistiques de sinistralité sont globalement en net recul : conséquences des nouvelles
mesures ou manque de traçabilité ? Les pertes de services essentiels (27 % vs 44 % en 2008),
les infections virales (27 % vs 44 % en 2008) et les pannes d’origine interne (24 % vs 40 % en
2008) représentent toujours les principales causes de sinistralité,
 plus d’une Collectivité sur deux (54 %) ne dispose d’aucun processus de gestion de la
continuité d’activité,
 40 % de collectivités mènent un audit au moins une fois par an, alors que 56 % n’en mènent pas
du tout (idem 2008). Les audits réalisés traitent plus souvent des aspects techniques que des
aspects organisationnels,
 l’utilisation de tableau de bord n’a pas progressé depuis la dernière enquête.
Ainsi, seule une
collectivité sur 10 annonce avoir mis en place des outils de ce type.

Olivier Caleff

Données personnelles, vie privée, réseaux sociaux, Cloud, mobilité et
BYOD : les internautes commenceraient-ils à changer de comportement ?

Données personnelles, vie privée, réseaux sociaux, Cloud, mobilité et
BYOD : les internautes commenceraient-ils à changer de comportement,
auraient-ils enfin intégrés les nouveaux usages et les menaces ?
L’échantillon d’internautes français consulté est constitué de façon à être représentatif de la population
française.

De son côté, le taux d’équipement en informatique continue à augmenter dans les foyers et l’ordinateur
reste l’outil principal pour se connecter sur Internet, avec toutefois le raccordement d’un nombre
croissant d’équipements sur Internet dont les télévisions et les consoles de jeux de salon.

Le wifi se généralise comme mode d’accès au réseau local et l’on note de nouvelles tendances dans les
usages informatiques au sein des foyers, avec l’arrivée des tablettes et l’utilisation de services de Cloud Computing pour le stockage de données.

Par ailleurs, les deux tiers des internautes se connectent aussi sur Internet en dehors du domicile avec
leur équipement mobile.

Du point de vue de la perception et de la sensibilité aux menaces et aux risques, les internautes disent
avoir une conscience aigüe des problématiques de sécurité, notamment quant aux risques liés à
l’utilisation d’Internet… Mais à y regarder de plus près, on constate des écarts notables en fonction des
tranches d’âge, un sentiment de risque qui aurait tendance à diminuer grâce à une plus grande confiance
dans les outils de sécurité, une perception accrue des risques liés à la vie privée, Internet toujours vu comme un risque pour les mineurs…

Les tablettes apparaissent bien comme plus exposées aux risques que les ordinateurs.

Peu de problèmes de sécurité sont remontés par les internautes, et lorsque c’est toutefois le cas, il s’agit
plus d’accidents de sécurité (fausse manipulation, panne matérielle), que d’incidents liés à des charges
virales ou des piratages… Il est toutefois légitime de se demander si les internautes sont réellement
conscients des problèmes qui se produisent et s’ils en font une analyse.

Côté usage, l’ordinateur familial sert aussi bien à des activités professionnelles et vice-versa (point
constaté également dans le thème « Entreprises »).

Le paiement en ligne n’est pas encore rentré dans les moeurs depuis un smartphone ou une tablette, mais
il est plus fréquent depuis un ordinateur, avec une vigilance accrue.

Les internautes expriment d’ailleurs clairement certains des facteurs les confortant dans leur démarche
de paiement en ligne, tels que : le chiffrement des données des transactions, la renommée du site ou sa
marque, la confirmation par un moyen tiers (e-mail, SMS), la possibilité d’utiliser des moyens de
paiements spécifiques à Internet (e-carte). En revanche, un agrément par des organismes indépendants ou
la localisation du site sont moins importants.

En termes de « moyens de protection », les solutions de protection gratuites sont toujours plébiscitées, les
outils à couvertures multiples (anti-malware, anti-spam, anti-phishing, etc.) ne sont malheureusement pas
aussi populaires que les outils à périmètre unitaire (anti-virus seul, etc.) ce qui peut conduire à un faux
sentiment de sécurité.

Certaines actions considérées par les spécialistes de la sécurité comme des pré-requis, telle les
sauvegarde ou l’application des correctifs, ne sont pas correctement prises en comptes et réalisées par les
internautes.

En revanche, l’automatisation des recherches de mises à jour, voire du téléchargement et de l’installation
des correctifs de sécurité, est d’une grande aide et est largement mise en oeuvre.

Globalement les comportements s’améliorent, les mots de passe et le verrouillage d’écran étant surtout
mis en oeuvre… lorsqu’il s’agit d’une configuration par défaut de l’éditeur ou du constructeur.

Il y a un très net décalage entre les efforts faits en matière de sécurité par les internautes sur leurs
équipements, selon qu’il s’agisse d’ordinateurs – outils plutôt « pas trop mal » gérés - ou des équipements et pratiques de sécurité en France mobiles comme les smartphones et les tablettes pour lesquels l’existence d’outils de sécurisation sont peu, voire pas, connus.

Quant à l’utilisation de la messagerie, les aspects de confidentialité et de chiffrement ne sont quasiment
pas rentrés dans les moeurs des internautes.

A la lumière de ces résultats, on peut considérer que plus les niveaux d’automatisation des opérations de
sécurité et des mises à jour seront élevés de la part des éditeurs et des fournisseurs, mieux ce sera pour
le niveau de sécurité global des équipements des internautes.

En conclusion…

Même si la menace faiblit globalement, notre enquête montre de nouveau que les malveillances et les
incidents de sécurité sont bien présents : attaques virales, vols de matériel, accroissement des problèmes
de divulgation d’information et attaques logiques ciblées sont toujours au menu !

Dans un écosystème numérique où les frontières entre l’entreprise, ses clients, ses partenaires, ses
fournisseurs et ses propres collaborateurs sont de plus en plus floues, il est plus que jamais nécessaire de
positionner le cadre de la sécurité du Système d’Information.

Les résultats de cette étude serviront, le cas échéant, de levier pour convaincre une direction concernée
mais pas encore impliquée. Ils serviront également à apprécier les pratiques au regard du marché.

Alors, « au boulot » ! Pour les entreprises ou collectivités qui n’ont encore « rien fait », il est plus que
jamais nécessaire de positionner le « cadre de la SSI ». Pour celles qui l’ont mis en place, reste à mettre
en oeuvre et jusqu’au bout des pratiques concrètes, ancrées dans les processus de la gestion de
l’information. Ceci leur permettra de sécuriser leur capital informationnel et cela à la hauteur de leurs
enjeux !

Pour les plus courageux d’entre vous, l’étude détaillée et argumentée vous attend dans le reste de ce
document…

Pour le télécharger cliquez ici : http://www.clusif.fr/fr/production/ouvrages/pdf/CLUSIF-Rapport-2012.pdf


Voir les articles précédents

    

Voir les articles suivants