Lazaro Pejsachowicz, Président du CLUSIF, Lionel Mourer, Le colonel Éric Freyssinet et Thierry Henniart

Lionel Mourer a présenté l’étude MIPS dont l’objectif est d’établir un état des
lieux des pratiques de la sécurité et de la sinistralité informatique en France.
Elle permet aussi de déterminer les tendances générales en matière de sécurité
de l’information tant aux niveaux des organisations publiques, des entreprises et du
grand public. Au final le rapport fait plus d’une centaine de pages.

Cette année trois thèmes ont été choisis : Les entreprises de plus de 200 salariés, les collectivités territoriales et les
internautes.

Pour les deux premiers thèmes entreprises et collectivités un travail a été fait
A partir d’un questionnaire exhaustif de l’ISO 27001. Pour les internautes il a été
identifié les outils utilisés, la perception des menaces et leurs usages.

En ce qui concerne les entreprises de plus de200 salariés, 334 entreprises ont
accepté de répondre. Les secteurs d’activités ont été la banque assurance, le
commerce, les services, l’industrie et le BTP, les transports Télécoms.

La première tendance est la stagnation des budgets sécurité. Par contre, dans
les télécoms le budget est en croissance du fait de la LPM. La plus grandes partie
des budgets est consacré à l’acquisition et l’intégration de solutions
techniques. Le premier rattachement des RSSI est la DSI. Autre constatation, le
nombre de RSSI est en croissance avec un triplement de encombre en huit ans. Les
missions des RSSI sont toujours techniques alors que selon le CLUSIF il devrait
être plus lié à la stratégie de déploiement. Dans 20% des cas, il n’est pas
juste RSSI. Selon l’étude la DSI est impliquée dans la PSSI dans 63% des cas, puis
vient le RSSI et enfin le juridique.

Seulement la moitié des entreprises procèdent à de l’analyse de risque. Le plus
souvent les RSSI utilise l’ISO, une petite part EBIOS et MÉHARI. Une entreprise sur
deux mène des actions de sensibilisation, dans 2% des entreprises on utilise des
serious game.

Dans 60% des entreprises on gère des rôles et des profils. Le chiffrement est
utilisé dans 34% des entreprises mais à 51% dans la banque assurance. C’est
généralement la DSI qui gère les clés. 70% des entreprises protègent leur
données physiques via de la détection incendie, vidéosurveillance et du contrôle
d’accès. Dans plus de 90% des entreprises, on utilise des pare-feux, des antimalwares.
Les IDS - IPS sont en croissance de même pour les outils de chiffrement. Quant au
BYOD ont est passé de 68% d’interdiction à 75% des interdictions. Par contre
l’utilisation du Wifi se développe en entreprise. Dans les entreprises ont
réduit les développements sécurisés en particulier dans le monde du Web. Il n’y a
plus que 17% des entreprises qui en font au lieu de 24% il y a encore deux ans. Le
recours à l’infogérance est en légère régression de 2% par rapport à 2014. 60% seulement des entreprisses font des audits sur leur prestataire. 42% des entreprises font du Cloud et dans 22% il n’y a aucun contrôle de la DSI ou du
RSSI....

Une sinistralité en croissance

On a une augmentation des attaques par des malwares avec entre autre un doublement des
Ransomwares. Sur l’ensemble des entreprisses interviewées, 142 ont subi une attaque par
Phishing, 94 ont eu une attaques de type fraude au Président. Une d’entre-elle a
perdu de l’argent, une seconde a perdu des données. En outre 30% des entreprises
n’ont pas de plan de continuité d’activité. Enfin, pour ce qui de la conformité face la CNIL, le
RSSI arrive en cinquième position derrière la DSI et le CIL. Les dispositions de
contrôle reste à améliorer car seulement un quart des entreprises ont des tableaux
de bord de la sécurité.

Collectivité territoriales : une situation disparate en fonction de la taille

Thierry Henniart a présenté la partie sur les collectivités territoriales. En
Préambule, il note un écart énorme entre ce qui se passe dans les communes et les
conseils territoriaux. 75% des collectivités territoriales se déclarent
dépendantes de leur informatique. Les budgets sécurité stagne et malgré la
baisse des budgets de l’IT. Globalement, il y a moins de projets mais plus de
contraintes. En outre, les collectivités territoriales manquent de personnels et de
budgets pour mener à bien des projets sécurités. En outre, il y a un déficit de
connaissances des problématiques autour de la conformité. L’étude démontre un
lien étroit entre l’existence de la PSSI et de la présence de. RSSI. Ainsi 32% des
collectivités ont une PSSI.

Le rôle des RSSI évolue vers un cumul des tâches. 27% des RSSI sont rattachés à
la DSI et 38% à la Direction Générale des Services. Bien sûr, cela dépend de la
taille des collectivités. Peu d’entre elles ont défini une politique de sécurité.
De plus, la gestion des actif et la formalisation des risques est en recul par
rapport à la dernière enquête de 2012 (rappel l’enquête sur les collectivités a lieu tous les 4 ans) . En revanche on constate une augmentation
de l’adoption de l’authentification forte, du SSO, des outils d’automatisation de la
gestion des droits d’accès. Au niveau du
déploiement d’outils on trouve la même répartition que dans les entreprisses mais dans
des proportions moins élevées.

Par ailleurs, le SI est de plus en plus accessible depuis l’extérieur par des
moyens maîtrisés. Le BYOD est en progression mais avec la mise en place d’un
profil de sécurité. 90% des collectivités ne gèrent pas la sécurité de leur
développement informatique. Cela s’explique car elles utilisent de nombreux
logiciels du marché ce qui les amène à faire confiance aux éditeurs. Par contre,
avec la nouvelle réglementation européenne applicable en 2018, elles devront
travailler sur ce sujet. Les collectivités se tournent de plus en plus vers
le Cloud privé, public ou hybride. Cette usage est plus ou moins bien contrôle par
la DSI.
La conformité reste à consolider. Dans 54% des cas les collectivités se
jugent conforme à la Loi informatique et liberté. 38% ont désigné un CIL et 12%
ont prévu de le faire. Enfin, uniquement 18% se disent confirme aux rgs et 28% seraient partiellement conformes.

Enfin, l’enquête montre l’existence d’un véritable accompagnement de la CNIL auprès
des collectivités locales.

Les particuliers et les internautes ; une prise de conscience des risque est en marche

Le colonel Éric Freyssinet, mission de lutte contre les cybermenaces au Ministère de
l’intérieur a présenté l’étude sur les internautes. Concernant les usages des
internautes, le smartphone passe à la deuxième position derrière les portable et
devant les ordinateurs fixe. Ils se connectent non seulement à la maison mais aussi en situation de mobilité dans 56% des cas. A la maison le wifi est
plébiscité. Quand au BYOD ou à l’usage des équipements. professionnels à la maison on note
une baisse de 4% chez les CSP + et 9% pour les autres. On constate une
diversification des usages avec consultation des comptes bancaires, des achats en
lignes.... Majoritairement on a des achats en lignes mais sous certaines conditions : si le site apparaît comme sécurisé, s’il propose des moyens de paiement sécurisé, une confiance dans les marques ou si on a déjà acheté en lignes sur ce site. On utilise plutôt des ordinateurs fixes ou des portables mais peu de smartphones et de tablettes.

Aujourd’hui on stocke des photos, films... Les internautes ont une préoccupation
assez forte sur la perte de ces données. Pour les smartphones et les tablettes la
perception de la menace est en hausse. La protection de la vie privée est une
véritable inquiétude pour les internautes. 63% des internautes vérifient les
paramètres de sécurité sur leur outil. Les jeunes sont plus attentifs à ce
sujet. Concernant les pertes de données sur les différents supports, on constate
une baisse de ce genre d’incident. Cela pourrait être dû à l’usage du Cloud et
de. L’amélioration de l’utilisation des supports de stockage.

Par ailleurs, tous les risques liés à des malwares sont une véritable préoccupation pour les internautes, il y a une bonne conscience des risques tel l’absence d’antivirus, de firewall...

Quant au moyens et comportements de sécurité, comme en entreprise l’antivirus, le
mot de passe sont utilisés. Par contre, ceci est moins vrai pour les smartphones et
tablettes. Il y a moins d’usage du contrôle parentale qu’en 2014. En ce qui concerne les
pratiques de sécurité, il y a de nombreuse bonne pratique qui sont utilisées come
les mots de passe fort, l’antivirus, ne pas répondre à des mails de personnes
inconnues, ne pas surfer sur des sites inconnus... 84% des internautes font des mises à jour régulièrement sur leurs ordinateurs et 53% sur les
Smartphones. Les jeunes semblent mieux au courant de l’importance des mises à jours sur leurs
smartphones. Par contre, les personnes les plus âgées sont plus attentives aux
pratiques de navigations. En revanche, les plus jeunes gèrent mieux les mots de
passes.

En conclusion on peut se demandé si cette stagnation provient de la crise, ou d’un alourdissement des contraintes réglementaires qui obligent les entreprises et les collectivités à améliorer leur niveau de sécurité ou encore parce qu’elles ont atteint un niveau de maturité supérieur par rapport à 2014.

Pour télécharger l’intégralité de l’étude cliquez ici