Ce guide annuel permet de faire un état des lieux approfondi des menaces et pratiques de sécurité en France, mais aussi de déterminer les tendances futures. « Côté entreprise, cette édition 2008 fait ressortir un inquiétant sentiment de stagnation. Entre 2004 et 2006 des progrès notables avaient été fait, en particulier dans le domaine de la formalisation des politiques et des chartes de sécurité. Mais depuis, il semble bien que la mise en application concrète de ces politiques soit restée un vœu pieu. 40% des entreprises ne disposent toujours pas de plan de continuité d’activité pour traiter les crises majeures, contre 42% en 2006. Et 30% d’entre elles disent ne pas être en conformité avec la Loi Informatique et Liberté… »

– 73% des entreprises connaissent une forte dépendance au Système d’Information et considèrent qu’elles ne peuvent pas s’en passer. La dépendance reste modérée pour 26% d’entre elles. Cette dépendance au SI, quoique légèrement moindre, apparaît également très forte pour les collectivités (68%).

– Le budget sécurité reste assez difficile à évaluer puisque 31% des entreprises sont incapables de l’estimer. Pour 21% des entreprises interrogées, le budget sécurité représente toutefois plus de 6% du budget global. Ce budget connaît une croissance plus importante au sein des collectivités.

– 55% des entreprises sont dotées d’une politique de sécurité, ce qui ne représente pas une évolution par rapport à l’an passé. 95% de ces politiques sont soutenues par la Direction Générale. 47% d’entre elles s’inspirent d’une norme ou d’un standard.

– 37% des entreprises disposent d’une fonction RSSI clairement identifiée. 41% d’entre elles n’ont pas d’équipe sécurité, tandis que dans 43% des cas, 1 ou 2 personnes représentent cette équipe. Au sein des collectivités, la fonction de RSSI reste encore peu identifiée.

– 30% des entreprises réalisent une analyse globale des risques liés à la sécurité du SI. 39% ne le font pas. Ce chiffre atteint les 58% dans les collectivités, seules 16% d’entre elles procèdent à une analyse globale des risques.

– 49% des entreprises disposent d’une charte de sécurité. 39% n’en ont pas. Le constat est légèrement inférieur pour les collectivités (41%). Cependant, en ce qui concerne les entreprises de plus de 1000 salariés, elles ont une charte de sécurité dans 60% des cas.

– Des programmes de sensibilisation sont mis en place dans 35% des entreprises, contre 55% de réponses négatives. Toutefois, l’impact de cette sensibilisation n’est mesuré que dans 12% des cas. Ce manque de sensibilisation est encore plus net dans les collectivités (67%). Les principaux modes de communication prennent le plus souvent la forme de publication, mailing, affiche… 37% des entreprises organisent des sessions de sensibilisation pour les nouveaux arrivants et dans 19% des cas, la formation est périodique.

55% des entreprises déclarent avoir subi au moins un incident de sécurité sur leur SI...

– Globalement, les interdictions d’utilisation des nouvelles technologies ont diminué de 5% par rapport à l’an passé, sauf pour les PDA et Smartphones. Très peu d’entreprises autorisent l’accès aux salariés de l’extérieur sans conditions. L’accès au SI à partir d’un poste nomade est interdit dans 13% des cas et autorisé sous conditions dans 78% des cas. Au sein des collectivités, l’interdit reste la règle. 42% interdisent l’accès en mobilité même si l’ordinateur appartient à l’entreprise ; ce chiffre atteint les 76% si l’ordinateur n’est pas professionnel. 61% interdisent les PDA et Smartphones et 51% le Wifi.

– Au niveau technologique, les anti-virus et anti-logiciels espions restent en tête avec une utilisation avoisinant les 90%. Les anti-spams ont connu cette année une belle évolution puisqu’ils atteignent aujourd’hui plus de 80%. On observe également une augmentation de l’utilisation des pare-feux personnels, de l’authentification forte. La biométrie commence, quant à elle, à apparaître en entreprise.

... seulement 5% d’entre elles ont déposé plainte en 2007

« Pour autant, la menace ne faiblit pas et l’enquête montre de nouveau que les malveillances et les incidents de sécurité sont bien réels, avec une présence toujours active des attaques virales, des vols de matériel, et un accroissement des problèmes de divulgation d’information et des attaques logiques ciblées. Et l’actualité récente n’a cessé de démontrer les graves impacts des déficiences en matière de sécurité (fraude bancaire, divulgation de données personnelles, etc.) ».

– 55% des entreprises déclarent avoir subi au moins un incident de sécurité sur leur SI. Cependant, seulement 5% d’entre elles ont déposé plainte en 2007. Parmi ces incidents, on relève des vols d’ordinateurs dans 35% des cas, des infections virales (31%), des erreurs d’utilisation (38%),… A part un taux d’infection virale moindre (20%), les collectivités sont plus touchées sur tous les autres actes de malveillance.

– 39% des entreprises n’ont pas de Plan de Continuité d’Activité ; 33% en ont un, en partie. 72% des entreprises qui ont un PCA le testent au moins une fois par an. Sur ce sujet, les collectivités sont très en retard, puisque 62% d’entre elles n’ont pas de PCA et sur les 11% qui en ont un, seulement 45% le testent 1 à plusieurs fois par an.

– 64% des sociétés interrogées et 69% des collectivités déclarent être totalement conformes à la CNIL. Respectivement, 19% et 26% déclarent ne l’être que pour les traitements les plus sensibles. 25% des entreprises ont un CIL et 5% prévoient d’en nommer un.

Les collectivités ne font pas d’audit de la sécurité dans 55% des cas ; ce chiffre est moindre pour les entreprises (35%), 54% d’entre elles en font 1 à 5 par an. Seulement 23% des entreprises ont un tableau de bord de la sécurité.

Les politiques mises en place ne se traduisent pas par des actions concrètes menées de bout en bout

Pour conclure, le Clusif observe un état de stagnation en entreprises entre 2006 et 2007, contrairement à l’augmentation importante qui avait eu lieu entre 2004 et 2006. Cette étude révèle que les politiques mises en place ne se traduisent pas par des actions concrètes menées de bout en bout. Il faudrait, selon Laurent Bellefin, se concentrer sur les risques majeurs et les traiter jusqu’au bout. Au niveau des collectivités, Lionel Mourer n’observe pas de distorsion majeure par rapport aux entreprises. Cependant, d’une manière générale, le niveau de sécurité est plus faible. Certains chantiers restent à approfondir : la sensibilisation, l’organisation, la continuité et la conformité.

Cette année, le Clusif a élargi son périmètre en s’intéressant aux internautes. « A l’heure actuelle, l’usage de l’informatique et d’Internet à la maison est largement banalisé. Le comportement des utilisateurs de l’informatique en entreprise est de plus en plus souvent influencé par la pratique privée, et les frontières entre les deux mondes deviennent plus floues. Selon les résultats de l’enquête : un tiers des internautes utilisent l’ordinateur familial aussi à des fins professionnelles, ce qui pose quelques questions sur la protection des données de l’entreprise… Et si les internautes sont globalement prudents dès qu’il s’agit d’achat sur Internet, et semblent conscients de l’utilité des outils de protection (antivirus, pare feu personnels, etc.), ils ne se sentent que pour une minorité d’entre eux véritablement en « insécurité » sur Internet ».

Pierre Gojat et Paul Constant ont présenté les résultats marquants de cette étude réalisée auprès de 1139 foyers français :

– 84% d’entre eux possèdent 1 ou 2 ordinateurs, ayant moins de 3 ans dans 60% des cas.

– Dans ¾ des foyers, l’ordinateur personnel est familial.

– 70% des internautes ont plus de 18 ans, mais 30% sont mineurs.

– 40% des foyers interrogés utilisent le contrôle parental.

L’informatique « familiale » aurait en moyenne 1/3 d’usage professionnel

– L’informatique « familiale » aurait en moyenne 1/3 d’usage professionnel. L’usage mixte domine chez les indépendants et atteint même 80% chez les artisans.

– 80% des utilisateurs sont connectés en permanence ou presque à Internet, de par une généralisation des accès ADSL.

– La navigation et la messagerie représentent les principaux usages.

– 51% des internautes font leurs opérations bancaires en ligne.

– ¾ des internautes disent vérifier la sécurité des transactions avant de payer en ligne.

– 25% d’entre eux craignent fortement pour leurs fichiers ou matériel.

– 13% sont inquiets par rapport à leur vie privée. L’inquiétude est doublée chez les personnes qui ont subi un incident dans les 18 derniers mois. Les menaces virales restent en tête des préoccupations.

– Le risque est estimé nul lors du vol du PC ou de clé USB dans 20% des cas. Ce chiffre atteint les 50% en cas de piratage Wifi.

– 95% utilisent un anti-virus, 91% un pare-feu. 90% utilisent les mises à jour proposées mais ne trouvent pas cela si important que cela. Les moyens de protection les plus utilisés sont gratuits.

– 94% des internautes se sentent « plutôt ou totalement » en sécurité quand ils utilisent leur PC familial et Internet, bien qu’ils disent que la menace existe.

Vous pouvez retrouver l’intégralité du rapport à l’adresse suivante :
http://www.clusif.asso.fr/fr/production/sinistralite/docs/CLUSIF-rapport-2008.pdf

* Cette étude a été menée de janvier à mars 2008, en collaboration avec le cabinet spécialisé GMV Conseil, sur la base de questionnaires d’enquête élaborés par le Clusif.

Trois cibles ont été retenues pour cette enquête :
– les entreprises de plus de 200 salariés : 354 entreprises de cette catégorie ont répondu à cette enquête, soit 6% des entreprises françaises de plus de 200 salariés,
– les collectivités, c’est-à-dire les mairies des communes de plus de 30.000 habitants, les communautés de communes et les communautés d’agglomérations, les conseils généraux et les conseils régionaux : 194 collectivités ont accepté de répondre à cette enquête,
– les particuliers internautes : 1139 individus issus du panel d’internautes de l’institut spécialisé Harris Interactive, ont répondu à cette enquête via Internet.