Le facteur humain, 1ère cause d’insécurité informatique
Les attaques virales ne constituent pas la menace numéro un pour les entreprises. C’est ce que démontre la dernière étude réalisée par le Clusif auprès de 400 entreprises françaises. Ces dernières oublieraient l’erreur humaine.
L’étude sur la sinistralité informatique en France, présentée par le Clusif à l’occasion du congrès Infosec 2001, rejette certaines idées préconçues, notamment celle que le principal danger pour une entreprise viendrait de son ouverture vers l’extérieur. Certes, le Clusif ne dément pas le danger à se mettre en réseau, mais le Club de la sécurité des systèmes d’information français estime qu’il arrive bien après les erreurs humaines, les attaques virales n’arrivant qu’à la quatrième place.
Les sinistres informatiques sont issus ainsi pour 23,9 % d’erreurs d’utilisation (erreurs de saisie, par exemple), pour 16,6 % de pannes internes (causées par un salarié), pour 13,4 % de pertes de services essentiels (électricité, télécoms?) et enfin pour 11,5 % d’infections par virus. Par ailleurs, les attaques logiques ciblées visant l’entreprise de façon isolée dans le but de lui nuire n’ont touché que 1,8 % des entreprises interrogées au cours de l’enquête.
Les entreprises sous-estiment les risques informatiques
Le Clusif estime qu’il y a eu en moyenne 5,86 sinistres par entreprise pour l’année 2000. Ce nombre est beaucoup plus important dans les entreprises de plus de 500 salariés, l’augmentation du nombre des salariés augmentant de fait les risques d’erreur. Le chiffre passe ainsi à 39,2 sinistres en moyenne par entreprise de plus de 500 salariés. Pour autant, 80 % des entreprises s’estiment relativement bien ou très bien protégées. Un chiffre alarmant, juge le Clusif qui déclare qu’« une telle proportion traduit une relative surestimation de la capacité de protection et de réaction, parallèlement à une relative sous-estimation des risques ».
Reste toutefois que les budgets liés à la sécurité sont en hausse. Aujourd’hui, la sécurité représente en moyenne 4,2 % sur un budget informatique. Ces chiffres sont toutefois à prendre avec beaucoup de recul, car très peu d’entreprises ont une estimation globale de leur budget sécurité. L’étude ne démontre pas si les budgets liés à la formation du personnel augmentent proportionnellement. Seules les grandes entreprises et le secteur public affirment être préoccupés par le facteur humain.
Pour en savoir plus :Le site du Clusif