Décryptage

Trop peu de progrès pour la sécurité des systèmes informatiques des entreprises

Posté le 30 juillet 2018
par Sophie Hoguin
dans Entreprises et marchés

Dans son rapport 2018 sur les menaces informatiques et les pratiques de sécurité, le Club de la sécurité de l’information français (Clusif) souligne que les progrès en la matière, bien que réels, sont encore insuffisants dans les entreprises ou dans les établissements de santé.

Cette enquête Mips (« Menaces informatiques et pratiques de sécurité en France ») est réalisée tous les deux ans auprès d’entreprises de tailles et de secteurs variés. Pour l’édition 2018, 350 entreprises ont répondu et 200 établissements de santé. Les thèmes abordés sont calqués sur ceux de la norme ISO 27002:2013 relative à la sécurité des systèmes d’information.

Entreprises : encore trop peu de RSSI

Selon les auteurs de l’étude, la « maturité » des systèmes de sécurité de l’information (SSI) des entreprises stagne. En effet, si par exemple la mise en place d’organisations ou de structures dédiées augmente au fil des ans, elles n’ont pas forcément le budget ou un système organisationnel permettant d’être efficace.

La fonction de responsable de la sécurité des systèmes d’information (RSSI) recule par rapport à 2016 (63 % contre 67%) sauf dans les banques-assurances qui en sont pourvues à 85 %. Cependant, elle est désormais plus rattachée à la direction générale (49%) qu’à la direction des services informatiques (30%), un point positif pour lui donner du poids et un pouvoir d’arbitrage. Mais attention, ces chiffres globaux masquent des disparités très fortes entre les grandes à très grandes entreprises et les plus petites.

En outre, l’approche des risques est encore loin d’être préventive : les budgets sont consacrés à la mise en place de solutions techniques telles que des pare-feu, des anti-spams et anti-virus mais les systèmes de gestion des informations et des événements de sécurité (SIEM) ou les autres outils de contrôles d’accès ou de contrôles des fuites sont faiblement développés (respectivement par 38 % et 14 % des entreprises interrogées), les entreprises inventorient les risques (80%) et mettent en place des politiques (75%) mais ne les évaluent pas réellement (29 % le font seulement).

Des dispositifs partiels, pas de suivi

De manière générale si les pratiques évoluent vers dans le bon sens, l’efficacité finale est encore faible. Ainsi, 72 % des entreprises ont banni l’usage des équipements personnels, 75 % d’entre elles réalisent une veille permanente en vulnérabilités et en solution de sécurité de l’information et les entreprises identifient plus vite et réagissent mieux en cas d’incidents puisque désormais les incidents sont traités en moins de 24h pour 70 % d’entre elles (contre 58 % en 2016). Mais pour autant, il y a peu de collecte systématique de l’information et quand elle existe elle n’est pas analysée, il y a peu d’audit, de tests et de contrôles et quand ils sont réalisés c’est souvent sous l’impulsion d’exigences contractuelles ou réglementaires ou par des tiers. Quand il existe des plans de continuité d’activité, au moins un quart d’entre eux n’ont pas été testés. Et si 50 % des entreprises ont inventorié leurs actifs informationnels (33 % en 2016), cet inventaire est souvent partiel pour 70 % d’entre eux et à la suite de cet inventaire seuls 23 % l’ont analysé. Si bien que les auteurs se demandent comment les plans de réduction des risques peuvent être efficaces si on ne sait pas exactement où sont les risques…

Etablissements de santé : bien mieux qu’il y a 4 ans

L’édition 2018 de l’étude fait un focus sur les établissements de santé de plus de 200 lits, comme en 2014. Et les efforts sont là vraiment notables. Ainsi, les établissements ayant formalisé un plan de sécurité des systèmes d’information est passé de 50 % en 2014 à 92 % en 2018. Plus de la moitié des établissements ont créé un poste de RSSI à plein temps et 60 % ont mis en place des programmes de sensibilisation auprès des professionnels, des chiffres qui ont doublé en quatre ans.

Les marges de progrès restent cependant encore importantes, le Clusif note par exemple que la cryptographie n’est pas encore assez exploitée, seuls 40 % des établissements y ayant recours, ce qui reste toutefois mieux que les entreprises (30%).

Parmi les freins identifiés, le budget est encore largement cité (même si ceux-ci sont en augmentation) ainsi qu’un manque de personnel qualifié.

Dans ce secteur, les pannes d’origine internes sont la cause principale des incidents au même titre que les virus (40% chacun) et nombre d’incidents sont liés à des erreurs de conception, de mise en œuvre de logiciels ou d’utilisation. Cependant, l’étude souligne que le nombre d’incidents est deux à trois fois moindre qu’en 2014 et que 75 % d’entre eux sont résolus en 24h.

Sophie Hoguin


Pour aller plus loin

Dans les ressources documentaires