Le Clusif étudie les pratiques de sécurité informatique des entreprises

Date de publication : 03/07/2018  |  V.D.

Le Clusif étudie les pratiques de sécurité informatique des entreprises

Le Clusif a présenté, le 26 juin 2018, les résultats de son étude biennale sur les menaces informatiques et les pratiques de sécurité (Mips) en France.

L'étude sur les menaces informatiques et les pratiques de sécurité (Mips) du Clusif a analysé trois catégories de populations : les entreprises de plus de 100 salariés, les établissements de santé de plus de 100 lits et les particuliers internautes à partir de 15 ans. « L’objectif de cette étude est de réaliser un état des lieux des pratiques en matière de sécurité informatique et d’aboutir à des tendances générales en termes de systèmes d’information », explique Jean-Marc Grémy, président du Clusif.

Une évolution positive pour les entreprises

350 entreprises de plus de 100 salariés ont participé à l'étude. Le nombre d'acteurs appartenant à la sphère de la sécurité des systèmes d'information (SSI) évolue positivement. 25 % des entreprises déclarent avoir un responsable sécurité des systèmes d’information (RSSI). Ce chiffre atteint 40 % pour les entreprises de plus de 2 000 salariés. Dans 48 % des cas, il s'agit d'un responsable informatique. 

Le rattachement du RSSI à la Direction générale ne se fait que dans 49 % des cas. Les autres sont rattachés à la direction des systèmes d’information (30 %) ou à la direction administrative et financière (9 %). Cependant, 36% des répondants regrettent un manque de budget suffisant attribué à la SSI. Il apparaît que le budget du service de sécurité de l'information est rarement dans les mains du RSSI. 

20 % des entreprises identifient des coûts liés à la sécurité de l’information. Ces actions se concrétisent essentiellement par la mise en place de solutions techniques. « Il manque encore une vision organisationnelle sur les systèmes d'information, une politique de gestion des risques », affirme Lionel Mourer, président du cabinet de conseil Atexio et responsable de l’étude.

Les entreprises de plus de 2 000 employés ont majoritairement mis en place une politique de sécurité des systèmes de l’information (PSSI) dans 94 % des cas, là où les entreprises entre 100 et 249 salariés ne sont que 66 % à l’avoir appliquée. Ce sont majoritairement la direction générale, la direction des systèmes d'information et le RSSI lui-même qui mettent en place cette politique.

Entités de l'entreprise impliquées dans l’élaboration de la Politique de sécurité de l'information (PSSI).

« On s’aperçoit que les entreprises effectuent de plus en plus d’inventaires des informations et de leurs supports en leur possession », souligne Lionel Mourer. Il regrette cependant que peu d’entre elles se servent de ces inventaires pour en faire une analyse de risques. Seules 29 % des entreprises en ont réalisé une (62 % dans le secteur de la banque et des assurances). Parmi elles, 24 % ont choisi la méthode Ebios (Anssi), 21 % se base sur la norme ISO 27005 et 11 % la méthode Méhari (Clusif).

Il faut ensuite sensibiliser le personnel sur les enjeux de sécurité numérique. La moitié des entreprises ont mis en place des programmes de sensibilisation à la sécurité informatique au travers de newsletters internes, de mailings, d'affiches, d'e-learning ou encore de serious games. Une mesure qui a peu évolué ces dernières années. 
En revanche, le Byod, l'utilisation des technologies personnelles à des fin professionnelles, a nettement diminué. 72 % des entreprises interrogées interdisent l'utilisation des tablettes et des smartphones personnels dans le cadre de leur travail.

Le phishing comme première menace

Les entreprises restent tout de même confrontées aux cyberattaques. Parmi les différentes menaces, le phishing est, à 29 %, l'attaque la plus répandue, suivie par les rançons et les fraudes au président - qui ne sont pourtant pas toujours numériques. Les organisations de plus de 2 000 salariés en sont les principales cibles, 30 % des répondants ont affirmé en avoir été victimes. 43 % des répondants affirment disposer d'une cellule de crise opérationnelle pour la continuité d'activité. À l'inverse, 25 % ne possèdent aucun dispositif.

Les entreprises confrontées aux cyberattaques

Prise en compte de la politique de sécurité informatique dans les établissements de santé

Pour les 151 établissements de santé interrogés dans le cadre de l'étude MIPS sur leurs pratiques en matière de sécurité informatique, les résultats sont plus que positifs. Près de 90 % des établissements ont leur PSSI formalisé, à jour et soutenu par leurs directions. Pour la moitié des établissements de soins, le RSSI est une fonction à temps plein. L'ensemble des établissements possède une charte d'utilisation du système d'information et ont, pour trois établissements sur cinq, un programme de sensibilisation à la sécurité informatique. "Depuis septembre 2016, ces établissements ont l'obligation de signaler tout incident grave de sécurité pouvant porter atteinte aux données des patients. 8 établissements sur 10 sont conformes aux exigences du Programme hôpital numérique", souligne Stéphane Monéger, responsable de la sécurité informatique du centre hospitalier de Brive, chargé de l'enquête.

Cependant, 81 % des établissements évaluent mal les coûts liés à la sécurité malgré un budget en hausse pour un établissement sur trois. La raison évoquée : un manque de moyen et de personnel qualifié.

Etablissements ayant formalisé leur politique de sécurité

À l'occasion de la présentation de cette étude, le Club de la sécurité de l’information français, par les voix de son président, Jean-Marc Grémy, et de sa directrice générale Luména Duluc, a dévoilé son nouveau logo, preuve du « renouveau et du dynamisme du club ». Un espace dédié uniquement aux RSSI des entreprises privées et publiques a également été créé pour permettre d'échanger sur les savoir-faire et les retours d’expérience. 

Le Clusif se tourne désormais vers les prochains enjeux de la sécurité informatique avec la création de groupes de travail dédiés aux défis sécuritaires de la 5G et à la sécurisation du Cloud avec notamment l'inquiétude des professionnels envers le "Cloud Act", loi américaine permettant aux autorités de récupérer les données stockées sur le cloud en dehors de leur territoire.