Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Etude du CLUSIF Menaces informatiques et pratiques de sécurité en France

juin 2020 par CLUSIF

Au travers de l’édition 2020 de son enquête sur les menaces informatiques et les pratiques de sécurité (MIPS), le Clusif réalise, comme tous les deux ans, un bilan approfondi des usages en matière de sécurité de l’information en France. Cette enquête se veut une référence du fait de la taille et de la représentativité des échantillons d’entreprises (350 ont répondu) interrogées. Par ailleurs, elle se veut la plus exhaustive possible, en reprenant, cette année encore, l’ensemble des 14 thèmes de la norme ISO 27002:2013, relative à la sécurité de l’information. Cette partie de l’étude a été présentée par Lionel Mourer, pour le Groupe de Travail « Enquête sur les menaces informatiques et les pratiques de sécurité »

L’enquête est structurée, cette année encore, sur quatre tranches d’effectifs (100-249, 250-499, 500-1 999 et plus de 2 000 salariés) permettant, depuis 2018 et dans les années à venir, d’identifier les pratiques des plus petites entreprises…

Entreprises : « sécurité de l’information, tout le monde pense que c’est important, elle avance… mais les budgets restent précaires  !

Au fil des ans, les entreprises ont gagné en maturité, des organisations et des structures se sont mises en place. Ainsi, en 2020, un chiffre marque les esprits : 56  ! Cinquante-six pour cent, c’est en effet la part des budgets alloués à la sécurité de l’information « entièrement remis en cause chaque année » (seuls 8 % sont « sanctuarisés »).

Ce chiffre montre, à lui seul, à quel point la sécurité de l’information peine à prendre sa place au plus haut niveau des entreprises. Combien de responsables de la sécurité des systèmes d’information (RSSI) ou du système d’information (DSI/RSI) font aujourd’hui partie des plus hautes instances de direction  ? La réponse est « trop peu » et la question reste posée  ! Dans le détail et cette année encore, la mise en place de solutions reste en tête des investissements, avec 40 % (+ 17 points), prouvant une fois de plus que la sécurité est toujours perçue comme une histoire de « technologie ».

Pour autant, tout n’est pas sombre et la sécurité de l’information, soumise à des contraintes légales et réglementaires en constante évolution (règlement général sur la protection des données – RGPD –, loi de programmation militaire – LPM –, directive européenne Network and Information System Security – NIS –, etc.) continue d’avancer, tranquillement…

Du côté de la politique de sécurité de l’information (PSSI), le nombre d’entreprises l’ayant formalisée continue de progresser pour atteindre 75 % (+ 6 points par rapport à 2018), cette évolution étant tirée vers le haut par les entreprises de 100 à 249 salariés. La Direction générale (DG) reste prépondérante dans la formalisation de la PSSI (52 %), suivi de la Direction des systèmes d’information (DSI) (58 %) et du RSSI (41 %).

La fonction de RSSI est en évolution sensible, le pourcentage d’entreprises qui en sont aujourd’hui dotées s’élevant à 72 % (vs 58 % en 2018), voire 93 % dans le secteur des banques et des assurances  ! Les RSSI sont pour 56 % d’entre eux rattachés à la Direction générale, améliorant grandement leur « pouvoir d’arbitrage » et pour 31 % à la DSI.

Du côté des ressources humaines, si les chartes sont aujourd’hui bien déployées (85 % en ont), seuls 34 % sont orientées vers les prestataires. Pour la sensibilisation, 60 % en déploient, dont 30 % qui la mesurent (part en évolution de 15 points). La sensibilisation commence à prendre une place importante, apportant sa pierre à la mise en place d’une véritable acculturation en matière de sécurité de l’information.

L’inventaire des actifs (en tout ou partie) est réalisé à 95 % et 80 % des entreprises les ont classifiés. Par ailleurs, une large majorité (88 %) des entreprises a dressé un inventaire des risques, mais peu d’entre elles (23 %) ont réalisé une analyse formelle en s’appuyant sur une méthode ou un référentiel. Lorsque c’est le cas, elles ont utilisé les normes ISO 27005 (39 %), EBIOS (16 %), Méhari (12 %), etc.

Pour le contrôle d’accès, toutes les technologies augmentent, sauf la biométrie. Les procédures de gestion de comptes sont déployées dans 80 % des entreprises et la gestion des comptes à hauts privilèges progresse (82 %, + 15 points vs 2018).

La cryptographie est toujours peu utilisée (28 % en font l’usage, – 2 points vs 2018) avec toutefois une grande disparité selon la taille de l’entreprise et, lorsqu’elle l’est, c’est la DSI qui en a largement le contrôle (92 %). La sécurisation physique reste portée par les mêmes trois dispositifs majeurs : contrôle d’accès par badge (71 %), détecteur d’incendie (65 %) et caméra (61 %).

Du côté des technologies de protection, les outils dits « classiques » (solutions antivirus et antimalware, antispam, pare-feu – firewall) sont unanimement adoptés, de 89 % à 100 %, quand le taux d’utilisation des outils plus « spécifiques » (sondes de détection d’intrusion – Intrusion Detection System, IDS –, gestion d’événements de sécurité – Security Information and Event Management, SIEM –, contrôleur d’accès au réseau – Network Access Control, NAC –, protection contre la fuite de données sensibles – Data Leak Protection, DLP) se situe entre 33 % à 66 %. À noter : la mobilité est de plus en plus prise en compte.

Une veille permanente en vulnérabilités et en solutions de sécurité de l’information est réalisée par 86 % des entreprises et 57 % ont formalisé des procédures de déploiement des correctifs de sécurité (patch management). L’usage des équipements personnels (Bring Your Own Device – BYOD) est interdit pour 62 % (– 10 points) des entreprises…

La sécurité dans le cycle de développement régresse encore et reste, de fait, toujours insuffisante : prise en compte à 25 % (+ 11 points tout de même), elle demeure une des grandes oubliées… Pourtant, un grand nombre d’attaques sont possibles du fait de failles applicatives liées au développement (injection, XSS, etc.) et les pratiques de développement (development operations – DevOps) apportent leur lot de vulnérabilités.

L’infogérance représente 51 % (+ 7 points) de la gestion des SI des entreprises, dont 7 % en totalité (– 6 points). Quand c’est le cas, 26 % (– 12 points) ne mettent toujours pas en place d’indicateurs de sécurité et 31 % (– 24 points) ne réalisent aucun audit sur cette infogérance.

Côté « incidents de sécurité de l’information », le trio de tête est composé des pannes d’origine interne (29 % vs 31 % en 2018), des pertes de services essentiels (29 % vs 33 % en 2018) et des vols (22 % vs 21 % en 2018). La cellule de collecte et de traitement des incidents de sécurité de l’information existe maintenant dans 59 % (+ 18 points) des entreprises. De plus, au regard du Panorama de la cybercriminalité du Clusif, 12 % ont connu des attaques par rançongiciel (ransomware), avec pour 38 % d’entre elles un impact fort. Pour la continuité d’activité, c’est toujours l’indisponibilité des systèmes informatiques de gestion qui représente le scénario le plus couvert (62 %). Le bilan d’impact sur l’activité (BIA), prenant en compte les attentes des « métiers » est réalisé dans 51 % (dont 14 % en cours) des entreprises : comment les autres s’assurent-elles que leur plan de continuité d’activité (PCA) répond aux attentes de l’entreprise  ? Enfin, pour celles qui en disposent, 23 % des plans « utilisateurs » et 14 % des plans « IT » ne sont jamais testés : alors, sont-ils réellement efficients  ?

Le délégué à la protection des données (DPD, Data Privacy Officer – DPO) est présent dans 57 % des entreprises et s’occupe de la mise en conformité au RGPD. Cette conformité est totale pour 73 % des entreprises et partielle pour 24 %.

Sur une période de deux ans, 81 % des entreprises interrogées ont réalisé au moins un audit ou un contrôle de sécurité du SI (68 % des tests d’intrusion et 58 % des audits organisationnels). Ces audits sont motivés principalement par des exigences contractuelles ou réglementaires (59 %, + 26 points). Les tableaux de bord de la sécurité de l’information (TBSSI) sont déployés dans 30 % des entreprises (22 % en 2018) : c’est encore trop peu  ! Pourtant, le TBSSI reste un moyen simple et efficace, pour autant que l’on ait choisi les bons indicateurs, de « piloter » la sécurité de l’information au sein de son entreprise…

En résumé pour les entreprises de plus de 100 salariés, s’il est clair que le niveau global de maturité continue d’évoluer « tranquillement », cette évolution est plus liée aux obligations existantes (légales, réglementaires, contractuelles) qu’à la prise en compte réelle de l’importance de la sécurité de l’information. Cet état de fait est encore plus visible lorsque l’on regarde la taille des entreprises, les plus grandes ayant clairement une meilleure maturité que les plus petites. Pour autant, les menaces sur l’information ne faiblissent pas et plus que jamais, les organisations doivent être prêtent à réagir au moindre incident et, finalement, se poser la question de leur propre résilience…

Pour conclure…

La menace qui pèse sur l’information est toujours bien présente en 2020 et l’enquête montre une nouvelle fois à quel point les erreurs (personne n’est parfait…), les malveillances (certains se lèvent le matin pour cela…) et les incidents de sécurité liés à l’information ne fléchissent pas  ! La maturité de tous et toutes (entreprises, collectivités territoriales et particuliers) en matière de sécurité de l’information dépend encore pour beaucoup soit des « attaques » que ces différents acteurs ont vécues au sein de leur SI, soit des lois et règlements qui leur incombent. En 2018, j’écrivais : « Le temps des politiques de sécurité “parapluie”, que l’on formalise pour se donner bonne conscience, est globalement terminé  ! » Comme j’aurais aimé que cela soit entendu… Mais il n’est pas trop tard : Messieurs les Dirigeants, comprenez que la sécurité de l’information est aujourd’hui incontournable, il y va de la survie de vos organisations, au regard des enjeux qu’elles portent et des données dont elles ont la responsabilité…

Alors, « au travail », afin que la sécurité de l’information prenne enfin toute sa place  ! Et n’oublions pas : « Quand un arbre tombe, on l’entend, quand la forêt pousse, pas un bruit… »

Pour vous aider dans la mise en œuvre de vos mécanismes de sécurité de l’information (organisationnels et techniques), vous pouvez toujours prendre en compte les bonnes pratiques issues (liste non exhaustive) de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) , de la Confédération des petites et moyennes entreprises (CPME) , du groupement d’intérêt public « Action contre la cybermalveillance » (GIP Acyma) et, bien entendu, du Clusif … Épilogue

Comme précisé au chapitre « Méthodologie », les questions posées pour formaliser l’étude MIPS 2020 portent sur l’année 2019. « Et le coronavirus  ? », me direz-vous… Cette crise, encore en cours, a touché en plein cœur nombre d’organisations et, de fait, certains paradigmes sont clairement en train d’évoluer… Pour mémoire, l’étude MIPS n’a pas vocation à traiter à chaud l’actualité, mais il n’en est pas moins certain que la COVID-19 va rebattre les cartes au regard d’habitudes qui vont nécessairement devoir évoluer  ! Alors, vivement l’étude 2022, qui nous permettra d’y voir plus clair…

Trouvez le rapport ici : http://clusif.fr/publications/etude...




Voir les articles précédents

    

Voir les articles suivants