Entreprises : une évolution « tranquille... » qui continue dans un contexte financier et organisationnel toujours contraint

Le nombre d’acteurs de la SSI, au travers de la mise en place d’organisations et de structures (RSSI, Correspondant Informatique et Libertés (CIL), PSSI, charte interne et externes, etc.) continue à évoluer positivement. Pour autant, la « maturité SSI » elle stagne, voire régresse dans certains domaines… Toutefois, ceci est principalement dû 1] au manque de budget attribué à la SSI, et 2] à un manque de connaissances des nouveaux RSSI, principalement issus du domaine « technique ».

Côté budget, on constate une légère reprise, pondérée par le fait que le poste ayant eu la plus grosse augmentation, cette année encore, est la mise en place de solutions, avec 26%. On reste toujours dans la technique : ainsi pour beaucoup la sécurité reste une histoire de mise en place de solutions techniques…

Le nombre d’entreprises ayant formalisé leur Politique de Sécurité de l’Information (PSI) est demeuré quasi-inchangé depuis 2010 (64% en 2014, 63% en 2010 et 2012). Ce point reste étonnant au vu de la forte progression du nombre de RSSI… Les normes de sécurité poursuivent leur influence grandissante sur la PSI des entreprises, passant de 75% en 2012 à 79% en 2014.

La fonction de Responsable de la Sécurité des Systèmes d’Information (RSSI ou RSI) est de plus en plus clairement identifiée et attribuée au sein des entreprises (62% vs 37% en 2008), ce qui va dans le sens de l’histoire. En grande majorité, les RSSI sont rattachés à la DSI (46%), ce qui pose encore la question de son « pouvoir » d’arbitrage… Mais ne vaut mieux-t-il pas un RSSI mal rattaché que pas de RSSI du tout ? : la question reste ouverte…

Point négatif : après une forte progression des analyses de risques entre 2010 et 2012 (54% totale ou partielle en 2012 vs 38% en 2010), celles-ci stagnent, voire régresse légèrement !

Concernant la sensibilisation, pas de grand mouvement, en dehors de celle des VIP qui passe de 18% en 2012 à 31% en 2014…

L’accès nomade aux ressources de l’entreprise continue de se généraliser. La maturité des solutions technologiques de connexions, de contrôle des postes nomades et des informations qui transitent, permet un meilleur contrôle des risques associés.

Les PDA, tablettes et smartphones fournis par l’entreprise connaissent toujours une augmentation importante de leur usage : aujourd’hui, l’accès au SI avec ces équipements est autorisé dans plus de la moitié des entreprises interrogées. Mais gare aux équipements personnels (BYOD – Bring Your Own Device) : ces derniers ont vu leur taux d’interdiction passer de 38% à 66% !…
L’utilisation de la messagerie instantanée (non fournie par l’entreprise) et des réseaux sociaux, bien qu’en augmentation, est encore majoritairement interdite par les politiques de sécurité dans les entreprises (interdite à 70% en 2012 vs 56% en 2014).

Du côté des technologies de protection, globalement, rien ne bouge entre 2012 et 2014… Par exemple, les outils de chiffrement sur PC portables ne sont utilisés que par un tiers des entreprises. Idem pour les dispositifs de contrôle d’accès mis en œuvre qui stagnent, voire régressent, à l’exception du SSO et du web SSO.

44% des entreprises ont placé leur SI en tout ou partie sous infogérance (9% en totalité et 35% partiellement) et quand c’est le cas, 32% ne mettent pas en place d’indicateurs de sécurité et 44% ne réalisent aucun audit sur cette infogérance (+11 points vs 2012) !… L’utilisation du Cloud augmente de façon importante (38%, + 24 points vs 2012), même s’il représente moins de 50% des entreprises.

De même, après plusieurs années d’augmentation régulière (jusqu’en 2010), suivies d’une régression en 2012, la formalisation des procédures opérationnelles de mise à jour des correctifs de sécurité (patch management) est, en 2014, en stagnation (60% vs 60% en 2012).

La Sécurité dans le cycle de développement progresse, mais reste toujours trop insuffisante (prise en compte à 24%, + 4 points vs 2012) !… Pourtant, il n’est plus à démontrer que nombreux sont les piratages qui utilisent des failles applicatives liées au développement (injection, XSS, etc.).

Ces deux dernières années marquent une régression dans la gestion des incidents de sécurité par les entreprises. En 2012, 45% (vs 53% en 2012) d’entre elles ont une cellule (dédiée ou partagée) à la gestion des incidents de sécurité.

Les types d’incidents rencontrés par les entreprises repartent fortement à la hausse par rapport à l’étude 2012, avec comme trio de tête :
– les pertes de services essentiels qui passent de 26% (2012) à 39%,
– les vols qui passent de 19% (2012) à 37%,
– les pannes d’origine interne qui passent de 25% (2012) à 35%.

Du côté du nombre d’incidents par an d’origine malveillante dans les entreprises, les « infections par virus » restent en pole position (14,4 incidents de sécurité dus à des virus dans l’année), suivi par les « attaques logiques ciblées » (10,5) et les « vols » (7,1).

Un peu plus du quart (27%) des entreprises ne prennent pas en compte la continuité d’activité. Ceci est en légère régression au regard des résultats de l’étude réalisée en 2012. Sans surprise, l’indisponibilité des ‘systèmes informatiques de gestion’ représente le scénario le plus couvert (60%). Le BIA (Bilan d’Impact sur l’Activité), prenant en compte les attentes des « métiers » se démocratise (55%, +12 points vs 2012). Reste que 25% des plans de continuité existants ne sont jamais testés par les utilisateurs : alors, à quoi servent-ils ?…

Le CIL, relativement présent dans les entreprises, n’intervient que pour 14% dans les déclarations CNIL.

Sur une période de deux ans, 71% (- 3 points vs 2012) des entreprises interrogées ont réalisé au moins un audit ou contrôle de sécurité du Système d’Information par an. Ces audits sont motivés principalement par le respect de la PSSI (43%), des exigences contractuelles ou règlementaires (33%) ou des exigences externes, comme les assurances ou les clients (32%).

Enfin, si les tableaux de bord de la sécurité de l’information (TBSSI) progressent, passant de 15% en 2012 à 25% en 2014, le chemin reste encore long. En effet, le TBSSI reste un moyen simple et efficace, pour autant que l’on ait choisi les bons indicateurs, de ‘piloter’ la sécurité de l’information au sein des organisations.

Au final, les entreprises avancent, encore et toujours, et tranquillement, encore et toujours…

Hôpitaux publics : et si les exigences règlementaires étaient le moteur de l’évolution des pratiques de sécurité ?…

La sécurité des Systèmes d’Information de santé est soumise à un cadre réglementaire renforcé, dont la particularité a longtemps été la protection de la confidentialité de l’information médicale personnelle. Avec le développement de l’informatisation de la production des soins, les exigences d’intégrité, de continuité et d’auditabilité/preuve vont croissant.

Aussi, l’État et les acteurs de la santé et du médico-social sont-ils en train d’élaborer avec le soutien de l’ASIP Santé une Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S), à laquelle participent fortement les acteurs de la Santé et les RSSI des hôpitaux pour sa déclinaison opérationnelle.

En parallèle, le programme « Hôpital Numérique », qui constitue un cadre directeur de la modernisation du Système d’Information des établissements sanitaires à 5 ans (lancé par la direction générale de l’offre de soins, DGOS, Ministère de la Santé, en novembre 2011), comprend une obligation d’atteindre des prérequis en matière de sécurité de l’information :
– Identité / Mouvement,
– Fiabilité / Disponibilité,
– Confidentialité.

Les indicateurs permettant de mesurer l’atteinte du niveau indispensable dans ces domaines sont également utilisés par la Haute Autorité de Santé pour la certification des établissements sanitaires.
Ces nouveaux chantiers, à l’aune de la maturité nécessaire pour atteindre un niveau de maîtrise de la sécurité, constituent un levier puissant de mobilisation des directions générales des établissements, d’autant plus que l’établissement ne peut candidater pour émarger au volet financier du programme s’il n’a pas rempli certains prérequis, parmi lesquels celui de disposer d’un référent sécurité SI de l’établissement…

À l’action directe de l’État s’ajoutent d’autres initiatives. Parmi elles, citons (liste non exhaustive) :
– la CNIL, qui a publié son Guide des Professionnels de santé, afin d’aider les responsables des traitements métiers et les référents sécurité SI à protéger les informations nominatives,
– l’ASIP Santé qui met au point, depuis 2012, un espace de confiance pour messageries sécurisées de santé, réservé à l’ensemble des professionnels de santé (médecins, pharmaciens, chirurgiens-dentistes, sages-femmes, masseurs-kinésithérapeutes, pédicures-podologues, infirmiers),
– l’Association pour la Promotion de la Sécurité des Systèmes d’Information (créée le 9 août 2010 – Journal Officiel N34 du samedi 21 août 2010), ayant comme objectif de promouvoir la sécurité des SIH français et de ses connexions européennes, par le regroupement et la réflexion d’experts.

Les résultats marquants de l’enquête MIPS 2014 du CLUSIF auprès des hôpitaux sont précisés ci-dessous.
La moitié des hôpitaux n’ont toujours pas formalisé leur PSI… Lorsqu’elle existe, l’ISO 2700x (31%) et le guide de l’ANSSI (23%) sont utilisés en priorité comme source d’inspiration.

60% des hôpitaux ont nommé un RSSI ou Référent Sécurité (PHN), or, seulement 17% des répondants à l’enquête ont cette fonction…

Les établissements ont réalisé une analyse de risques dans 60% des cas, en utilisant principalement EBIOS (26%), suivi de l’ISO 27005 (20%), puis MEHARI (15%). Les chartes de sécurité continuent d’augmenter fortement (89%, vs 63% en 2010 et 42% vs 2006). À peine un tiers des établissements ont un programme de sensibilisation à la sécurité de l’information.

L’accès aux outils de messagerie instantanée et aux réseaux sociaux reste globalement interdit (70%).

Les ordinateurs (fixes et portables) maintiennent un niveau de protection très élevé vis-à-vis des risques « classiques » (anti-virus, pare-feu, anti-spam). De leur côté, les équipements mobiles (smartphones et tablettes) ne semblent pas être particulièrement pris en compte…
Le recours à l’infogérance stagne (28% partiellement et 3% en totalité, vs respectivement 25% et 1% en 2010), avec un manque de suivi par des audits (70%) ou des indicateurs (66%) !

On observe une forte progression des procédures de création / modification / suppression des comptes utilisateurs nominatifs (43%, + 19 points vs 2010).

Bien qu’elle progresse depuis 2010 (77% ‘systématiquement’ + ‘en partie’, vs 59% en 2010), la veille en vulnérabilités n’est pas encore arrivée à un niveau de maturité suffisant pour être systématisée au sein des hôpitaux. Les procédures de gestion des correctifs de sécurité sont en léger recul (43%, vs 47% en 2010) et le développement sécurisé quasi-inexistant (7% ont mis en place des cycles de développement sécurisés).

Seul 10% des hôpitaux disposent d’une cellule de collecte et de traitement des incidents de sécurité dédiée et 44% n’en n’ont toujours pas !

Globalement, les types d’incidents rencontrés par les hôpitaux sont en léger recul par rapport à l’étude 2010, avec comme trio de tête :
– les pannes d’origine interne qui passent de 46% (2010) à 43%,
– les vols qui passent de 44% (2010) à 37%,
– les pertes de services essentiels qui passent de 46% (2010) à 34%.

Du côté du nombre d’incidents d’origine malveillante par an, les « infections par virus » restent en pole position (8,9 incidents de sécurité dus à des virus dans l’année), suivi par les « vols » (5,8) puis les « sabotages physiques ciblés » (4,2).

La gestion de la Continuité d’Activité progresse dans le monde des hôpitaux. Ces derniers traitent en majeure partie l’indisponibilité du SI (65%) et plus d’un hôpital sur deux a pris en compte l’indisponibilité de leurs locaux. La prise en compte des enjeux métier (au travers du BIA) est réalisée dans 41% des cas. Enfin, par rapport à 2010, on constate une très forte baisse en termes de fréquence des exercices et particulièrement pour ceux situés dans la tranche « Jamais » (51% vs 11% en 2010).

Enfin et concernant la conformité, près de 9 établissements sur 10 affirment être conforme (ou en cours de l’être) aux prérequis sécurité d’Hôpital Numérique (fiabilité, disponibilité, confidentialité). Toutefois, à peine la moitié des établissements réalisent au moins un audit par an. Côté tableaux de bord (TBSSI), même si on constate une nette progression (25% vs 7% en 2010), la formalisation de ces derniers reste faible !

Internautes : la menace sur les données personnelles et la vie privée plus que jamais présente avec les nouveaux usages

L’échantillon d’internautes français consultés est constitué de façon à être représentatif de la population française.

En 2014, le taux d’équipement en informatique continue à augmenter dans les foyers (4,6 en moyenne) et l’ordinateur fixe ou portable constitue toujours l’équipement le plus utilisé pour la connexion à Internet au sein des familles françaises avec une préférence pour les ordinateurs portables.

Le wifi continue sa progression (79% vs 74 en 2012) comme mode d’accès au réseau local. À noter toutefois, si 40% des internautes ne se connectent pas en wifi parce qu’ils n’en n’ont pas, 22% ne le font pas pour des raisons de sécurité !

Côté usage, l’ordinateur familial sert aussi bien à des activités professionnelles (41% et 51% des CSP+) et vice-versa (41% et 32% des CSP+). Ce point est également constaté dans le thème « Entreprises ».

On constate une augmentation sensible de l’utilisation d’Internet hors du domicile. En effet, Internet est de plus en plus utilisé sur les lieux de vacances, dans les hôtels, les cyber-cafés (79% vs 70% en 2012).

Le stockage en ligne des données personnelles, bien qu’étant une technologie récente pour le grand public, est déjà utilisé par 38% des internautes.

91% des internautes ont effectué des achats en ligne en 2013 (plus fréquent depuis un ordinateur – 89% - que via un smartphone – 33%) et 4 personnes sur 5 utilisent les réseaux sociaux. Les internautes expriment d’ailleurs clairement certains des facteurs les confortant dans leur démarche de paiement en ligne, tels que : les sites sécurisés en HTTPS (avec le symbole du cadenas), le mode de paiement (CB virtuelle, code unique, confirmation SMS), le fait d’avoir déjà utilisé le site en question sans problème auparavant. En revanche, un agrément par des organismes indépendants ou la localisation du site sont moins importants.

Du point de vue de la perception et de la sensibilité aux menaces et aux risques, les internautes disent avoir une conscience aigüe des problématiques de sécurité, notamment quant aux risques liés à l’utilisation d’Internet… La vision du risque encouru pour les données augmente ainsi de 29% (2012) à 44% concernant les ordinateurs et de 30% (2012) à 42% concernant les smartphones ou tablettes.

À y regarder de plus près, on constate des écarts notables en fonction des tranches d’âge, un sentiment de risque qui aurait tendance à diminuer grâce à une plus grande confiance dans les outils de sécurité, une perception accrue des risques liés à la vie privée, Internet toujours vu comme un risque pour les mineurs (91% vs 84 en 2012, mais ‘seulement’ 65% pour les 15-17 ans…).

Pour exemple, 36% des personnes disposant d’un profil sur les réseaux sociaux vérifient les réglages des paramètres de sécurité et de confidentialité.

35% des internautes déclarent avoir subi au moins une perte de données durant ces 24 derniers mois sur leur ordinateur et 25% sur leur smartphone. La panne (27% et 25%, respectivement ‘ordinateur’ et ‘smartphone’), l’erreur de manipulation (27% et 30%) et le virus ou piratage (21% et 15%) restent les trois raisons majeures invoquées lors de la perte de données sur un ordinateur.

Au final, 43% (vs 32% en 2012) des internautes considèrent que les risques auxquels sont exposées leur données augmentent.

En termes de comportements et par rapport à l’enquête 2012, les moyens ‘classiques’ restent très utilisés : anti-virus (81%), pare-feu (80%), anti-spyware (77%) et anti-spam (76%).

Certains moyens de protection de l’ordinateur personnel moins ‘classiques’ sont également utilisés. En effet, la sécurisation de la connexion wifi via une clé de chiffrement (77%, idem 2012), la sauvegarde des données sur divers supports (67% vs 69% en 2012) et la mise en place de mots de passe au démarrage des sessions sur l’ordinateur personnel (60% vs 59% en 2012) sont plébiscitées par les internautes.

L’automatisation des recherches de mises à jour, voire du téléchargement et de l’installation des correctifs de sécurité, est d’une grande aide et reste largement mise en œuvre malgré une baisse sensible (74% vs 84% en 2012).

Le décalage identifié en 2012 entre les efforts faits en matière de sécurité par les internautes sur leurs équipements, selon qu’il s’agisse d’ordinateurs – plutôt « pas trop mal » gérés - ou des équipements mobiles comme les smartphones et les tablettes tend à diminuer. Pour autant, ces derniers restent moins bien protégés que les ordinateurs… Ceci reste lié au fait que l’existence d’outils de sécurisation sont peu, voire pas, connus des internautes.

A la lumière de ces résultats, on peut considérer que plus les niveaux d’automatisation des opérations de sécurité et des mises à jour seront élevés de la part des éditeurs et des fournisseurs, mieux ce sera pour le niveau de sécurité global des équipements des internautes.

En conclusion…

La menace reprend globalement (légèrement) et notre enquête montre de nouveau que les malveillances et les incidents de sécurité sont bien présents : attaques virales, vols de matériel, accroissement des problèmes de divulgation d’information et attaques logiques ciblées sont toujours au menu !

Pour les entreprises ou les hôpitaux qui n’ont encore « rien commencé », il est plus que jamais nécessaire de mettre en place le « cadre de la SSI ». Pour ceux qui l’ont mis en place, reste à mettre en œuvre et jusqu’au bout des pratiques concrètes et pragmatiques, ancrées dans les processus de la gestion de l’information afin d’assurer leur capital informationnel à leurs enjeux !

Au final, la sécurité de l’information reste un point important des organisations (jusqu’à être mise en avant dans certains secteurs comme un avantage concurrentiel) ; mais elle n’en est pas moins un domaine où il faut laisser du temps au temps. La « quantité » est (presque) là, la « maturité » augmente et la « qualité » est pour bientôt…

Alors, « au boulot » et n’oublions pas « Celui qui déplace une montagne commence par déplacer de petites pierres [2]. » !

L’étude détaillée est en téléchargement libre sur le site du CLUSIF à l’adresse suivante :
https://www.clusif.asso.fr/fr/production/ouvrages/pdf/CLUSIF-Rapport-2014.pdf

[1] Aux esprits chagrins qui se demanderaient : « mais pourquoi ne pas être parti sur la version 2013 », je répondrai tout simplement 1] « par manque de temps » et 2] « ce sera le cas pour l’étude 2016 : encore un peu de patience… ».

[2] Confucius (551 av. JC - 479 av. JC).