Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Enquête 2012 du CLUSIF sur les menaces informatiques : le niveau de sécurité progresse lentement

juin 2012 par Lionel MOURER, Pour le Groupe de Travail « Enquête sur les menaces informatiques et les pratiques de sécurité » du CLUSIF

Au travers de l’édition 2012 de son enquête sur les menaces informatiques et les pratiques de sécurité (MIPS), le CLUSIF réalise, comme tous les 2 ans, un bilan approfondi des usages en matière de sécurité de l’information en France. Après l’introdution de Lazaro Pejsachowicz, le Président du CLUSIF, la parole a été laissée aux trois responsables du Groupe de travail du CLUSIF.

Lionel MOURER

Cette enquête se veut être une référence de par la taille et la représentativité des échantillons d’entreprises (351 ont répondu) et des collectivités territoriales (205 ont répondu) interrogées. Par ailleurs, elle se veut relativement exhaustive, puisque cette année, elle passe en revue l’ensemble des 11 thèmes de la norme ISO 27002, relative à la sécurité des Systèmes d’Information.

Enfin, cette année comme en 2008 et 2010, elle reprend le volet très complet consacré aux pratiques des particuliers utilisateurs d’Internet à domicile (1 000 répondants). Cette synthèse reprend l’une après l’autre chacune des thématiques abordées et en précise les tendances les plus remarquables.

Thierry HENNIART

Entreprises : une évolution « tranquille... » dans un contexte financier et organisationnel toujours très contraint

La mise en place d’une « organisation » et de « structures » de la SSI (Responsable de la Sécurité des Systèmes d’Information (RSSI ou RSI), Correspondant Informatique et Libertés (CIL), Politique de Sécurité des Systèmes d’Information (PSSI ou PSI), charte, etc.) continue à se mettre en oeuvre, mais la mise en application concrète de ces « politiques » ne décolle toujours pas réellement !…

Côté budget, on constate une légère reprise, pondérée par le fait que le poste le plus augmenté est la mise en place de solution, avec 37 %. Pour beaucoup, la sécurité reste une histoire de mise en place de solutions techniques. Le nombre d’entreprises ayant formalisé leur PSI est demeuré inchangé en deux ans (63 %). Les normes de sécurité poursuivent leur influence grandissante sur la PSI des entreprises, passant de 55 % en 2010 à 75 % en 2012.

La fonction de RSSI est de plus en plus clairement identifiée et attribuée au sein des entreprises (54 %, vs 49 % en 2010 et 37 % en 2008), ce qui va dans le sens de l’histoire. Enfin, à présent, 100 % des entreprises ont en permanence une « équipe sécurité », marquant l’importance du sujet et cela en quatre ans seulement (43 % n’en n’avaient pas en 2010) !

Point positif : il y a une forte progression des analyses de risques (54 % totale ou partielle vs 38 % en 2010) !

L’accès nomade aux ressources de l’entreprise est de plus en plus généralisé. La maturité des solutions technologiques de connexions, de contrôle des postes nomades et des informations qui transitent permettent un meilleur contrôle des risques associés.

Les PDA, tablettes et smartphones connaissent toujours une augmentation importante de leur usage : aujourd’hui, l’accès au SI avec ces équipements est autorisé dans plus de la moitié des entreprises interrogées.

L’utilisation de la messagerie instantanée (MSN, Skype, etc., non fournie par l’entreprise) et des réseaux sociaux est aujourd’hui majoritairement interdite par les politiques de sécurité dans les entreprises.

Seules 12 % des entreprises ont placé leur SI sous infogérance et quand c’est le cas, plus d’une sur trois ne met pas en place d’indicateurs de sécurité !…

De même, après plusieurs années d’augmentation régulière, la formalisation des procédures opérationnelles de mise à jour des correctifs de sécurité (patch management) est, en 2012, en régression (59 % vs 64 % en 2010).

Ces deux dernières années marquent un palier dans la gestion des incidents de sécurité par les entreprises. En 2012, 53 % (+1 point vs 2010) d’entre elles ont une cellule (dédiée ou partagée) à la gestion de ces incidents de sécurité.

Baisses des incidents de sécurité par rapport aux années précédentes

Les types d’incidents rencontrés par les entreprises connaissent des taux beaucoup plus faibles que les années précédentes :
- forte baisse des erreurs d’utilisation (17 %, -29 points vs 2010),
- les infections par virus restent toujours la première source d’incidents d’origine malveillante pour les entreprises (13,7 incidents de sécurité dus à des virus sur l’année 2011).

Un peu moins d’un tiers des entreprises ne prennent pas en compte la continuité d’activité. Ceci reste relativement stable au regard des résultats de l’étude réalisée en 2010. Sans surprise l’indisponibilité des ‘systèmes informatiques’ représente le scénario le plus couvert (59 %).

À 88 % (idem 2010), les entreprises se déclarent en conformité avec les obligations de la CNIL.

Sur une période de deux ans, deux tiers des entreprises interrogées ont réalisé au moins un audit ou contrôle de sécurité du Système d’Information par an (chiffres globalement équivalents à ceux de 2010).

Une large proportion d’entreprises (79 %) ne mesure pas régulièrement son niveau de sécurité liée à l’information (pas de tableau de bord de la sécurité de l’information). Collectivités territoriales : et si les exigences règlementaires étaient le moteur de l’évolution des pratiques de sécurité ?…

Quels sont les facteurs déclenchant de vos projets sécurité ? À cette question, les collectivités auraient probablement répondus à l’unisson : la règlementation suivie de près par les impacts des incidents de sécurité. Preuve en est, les obligations de santé publique et de service minimum relatives à la pandémie de 2009 ont déclenché de nombreux projets et impliqués des ressources importantes. Une conséquence directe : l’accès à distance au Système d’Information. Seulement voilà, qui dit accès distant dit sécurité et plus particulièrement confidentialité.

Toujours sur le périmètre de la confidentialité, les exigences de la CNIL et les programmes de contrôle associés ont amené les collectivités à maintenir voir augmenter les ressources engagées. Il semble qu’une partie des intentions de 2008 se soient concrétisées, puisque nous constatons aujourd’hui 39 % de Correspondants Informatique et Libertés (CIL) nommés ou prévus (décision prise) par rapport à 37 % en 2008.

Un autre enseignement de cette étude fait apparaître des pratiques inégales entre les différents profils de collectivités. Les Conseils Généraux et les Conseils Régionaux font preuve d’une plus grande mise en oeuvre des pratiques de sécurité. Il en est de même pour les métropoles qui ont pour la plupart structurées leur activité sécurité alors que les communautés ou les mairies de taille moyennes, par manque de ressources ou de connaissances, sont dans une approche plus empirique de ces pratiques. Quels vont être les impacts de la rigueur budgétaire sur la sécurité ? Tous les interlocuteurs s’interrogent pour répondre à l’objectif de rationalisation. Porter l’effort sur les actifs les plus critiques de la collectivité ? C’est probablement la bonne réponse. Mais pour y arriver, celles-ci vont devoir renforcer la tendance en matière d’analyse de risque, seul dispositif permettant d’appliquer le principe de proportionnalité et de répondre à l’objectif de rationalisation.

Quelques éléments chiffrés :

- les statistiques de sinistralité sont globalement en net recul : conséquences des nouvelles mesures ou manque de traçabilité ? Les pertes de services essentiels (27 % vs 44 % en 2008), les infections virales (27 % vs 44 % en 2008) et les pannes d’origine interne (24 % vs 40 % en 2008) représentent toujours les principales causes de sinistralité,
- plus d’une Collectivité sur deux (54 %) ne dispose d’aucun processus de gestion de la continuité d’activité,
- 40 % de collectivités mènent un audit au moins une fois par an, alors que 56 % n’en mènent pas du tout (idem 2008). Les audits réalisés traitent plus souvent des aspects techniques que des aspects organisationnels,
- l’utilisation de tableau de bord n’a pas progressé depuis la dernière enquête. Ainsi, seule une collectivité sur 10 annonce avoir mis en place des outils de ce type.

Olivier Caleff

Données personnelles, vie privée, réseaux sociaux, Cloud, mobilité et BYOD : les internautes commenceraient-ils à changer de comportement ?

Données personnelles, vie privée, réseaux sociaux, Cloud, mobilité et BYOD : les internautes commenceraient-ils à changer de comportement, auraient-ils enfin intégrés les nouveaux usages et les menaces ? L’échantillon d’internautes français consulté est constitué de façon à être représentatif de la population française.

De son côté, le taux d’équipement en informatique continue à augmenter dans les foyers et l’ordinateur reste l’outil principal pour se connecter sur Internet, avec toutefois le raccordement d’un nombre croissant d’équipements sur Internet dont les télévisions et les consoles de jeux de salon.

Le wifi se généralise comme mode d’accès au réseau local et l’on note de nouvelles tendances dans les usages informatiques au sein des foyers, avec l’arrivée des tablettes et l’utilisation de services de Cloud Computing pour le stockage de données.

Par ailleurs, les deux tiers des internautes se connectent aussi sur Internet en dehors du domicile avec leur équipement mobile.

Du point de vue de la perception et de la sensibilité aux menaces et aux risques, les internautes disent avoir une conscience aigüe des problématiques de sécurité, notamment quant aux risques liés à l’utilisation d’Internet… Mais à y regarder de plus près, on constate des écarts notables en fonction des tranches d’âge, un sentiment de risque qui aurait tendance à diminuer grâce à une plus grande confiance dans les outils de sécurité, une perception accrue des risques liés à la vie privée, Internet toujours vu comme un risque pour les mineurs…

Les tablettes apparaissent bien comme plus exposées aux risques que les ordinateurs.

Peu de problèmes de sécurité sont remontés par les internautes, et lorsque c’est toutefois le cas, il s’agit plus d’accidents de sécurité (fausse manipulation, panne matérielle), que d’incidents liés à des charges virales ou des piratages… Il est toutefois légitime de se demander si les internautes sont réellement conscients des problèmes qui se produisent et s’ils en font une analyse.

Côté usage, l’ordinateur familial sert aussi bien à des activités professionnelles et vice-versa (point constaté également dans le thème « Entreprises »).

Le paiement en ligne n’est pas encore rentré dans les moeurs depuis un smartphone ou une tablette, mais il est plus fréquent depuis un ordinateur, avec une vigilance accrue.

Les internautes expriment d’ailleurs clairement certains des facteurs les confortant dans leur démarche de paiement en ligne, tels que : le chiffrement des données des transactions, la renommée du site ou sa marque, la confirmation par un moyen tiers (e-mail, SMS), la possibilité d’utiliser des moyens de paiements spécifiques à Internet (e-carte). En revanche, un agrément par des organismes indépendants ou la localisation du site sont moins importants.

En termes de « moyens de protection », les solutions de protection gratuites sont toujours plébiscitées, les outils à couvertures multiples (anti-malware, anti-spam, anti-phishing, etc.) ne sont malheureusement pas aussi populaires que les outils à périmètre unitaire (anti-virus seul, etc.) ce qui peut conduire à un faux sentiment de sécurité.

Certaines actions considérées par les spécialistes de la sécurité comme des pré-requis, telle les sauvegarde ou l’application des correctifs, ne sont pas correctement prises en comptes et réalisées par les internautes.

En revanche, l’automatisation des recherches de mises à jour, voire du téléchargement et de l’installation des correctifs de sécurité, est d’une grande aide et est largement mise en oeuvre.

Globalement les comportements s’améliorent, les mots de passe et le verrouillage d’écran étant surtout mis en oeuvre… lorsqu’il s’agit d’une configuration par défaut de l’éditeur ou du constructeur.

Il y a un très net décalage entre les efforts faits en matière de sécurité par les internautes sur leurs équipements, selon qu’il s’agisse d’ordinateurs – outils plutôt « pas trop mal » gérés - ou des équipements et pratiques de sécurité en France mobiles comme les smartphones et les tablettes pour lesquels l’existence d’outils de sécurisation sont peu, voire pas, connus.

Quant à l’utilisation de la messagerie, les aspects de confidentialité et de chiffrement ne sont quasiment pas rentrés dans les moeurs des internautes.

A la lumière de ces résultats, on peut considérer que plus les niveaux d’automatisation des opérations de sécurité et des mises à jour seront élevés de la part des éditeurs et des fournisseurs, mieux ce sera pour le niveau de sécurité global des équipements des internautes.

En conclusion…

Même si la menace faiblit globalement, notre enquête montre de nouveau que les malveillances et les incidents de sécurité sont bien présents : attaques virales, vols de matériel, accroissement des problèmes de divulgation d’information et attaques logiques ciblées sont toujours au menu !

Dans un écosystème numérique où les frontières entre l’entreprise, ses clients, ses partenaires, ses fournisseurs et ses propres collaborateurs sont de plus en plus floues, il est plus que jamais nécessaire de positionner le cadre de la sécurité du Système d’Information.

Les résultats de cette étude serviront, le cas échéant, de levier pour convaincre une direction concernée mais pas encore impliquée. Ils serviront également à apprécier les pratiques au regard du marché.

Alors, « au boulot » ! Pour les entreprises ou collectivités qui n’ont encore « rien fait », il est plus que jamais nécessaire de positionner le « cadre de la SSI ». Pour celles qui l’ont mis en place, reste à mettre en oeuvre et jusqu’au bout des pratiques concrètes, ancrées dans les processus de la gestion de l’information. Ceci leur permettra de sécuriser leur capital informationnel et cela à la hauteur de leurs enjeux !

Pour les plus courageux d’entre vous, l’étude détaillée et argumentée vous attend dans le reste de ce document…

Pour le télécharger cliquez ici : http://www.clusif.fr/fr/production/...




Voir les articles précédents

    

Voir les articles suivants