Sécurité : la situation stagne, selon le Clusif
Dans la dernière édition de son rapport sur la sécurité, le Club de sécurité de l’information français fait état d’un « inquiétant sentiment de stagnation ».
« Là encore, il n’y a pas de réelle progression par rapport à 2006 ». Tel est le leitmotiv de la présentation qu’a faite hier Laurent Bellefin, directeur de l’activité sécurité de la société de services Solucom, sur le rapport 2008 du Clusif (Club de sécurité de l’information français) sur les « Menaces informatiques et pratiques de sécurité en France ». Car, tandis que la situation s’était améliorée entre 2005 et 2006, l’ère semble à la « stagnation » dans les entreprises hexagonales si l’on en croit les résultats de cette étude.
L’enquête s’appuie, selon lui, sur un « échantillon statistiquement représentatif ». Des entretiens ont été menés avec 350 entreprises (soit 6% des sociétés françaises de plus de 200 salariés), 194 collectivités locales et 1139 internautes. Une dernière catégorie qui fait cette année son entrée dans le palmarès, considérant que le « comportement des utilisateurs de l’informatique en entreprise est de plus en plus souvent influencé par la pratique privée ».
Budgets stables
Au niveau des entreprises, un premier constat s’impose : 73% des sociétés de 250 salariés ont « une dépendance forte à leur système d’information » et estiment « ne pas pouvoir s’en passer », explique Laurent Bellefin. Avant de déplorer toutefois une incapacité à « identifier les budgets consacrés à la sécurité » pour 31% des RSSI et DSI interrogés.
Par ailleurs, lorsqu’ils sont identifiés, ces budgets sont « constants par rapport à 2006 », regrette-t-il. A l’exception des secteurs de l’assurance, de la banque et des services qui auraient eux accru leurs investissements.
Le constat des auteurs du rapport n’est guère plus reluisant sur les politiques de sécurité de l’information (PSI), une étape que le Clusif juge « importante dans la mise en place des règles de bonne gouvernance du SI en entreprise » : « 55 % des entreprises sont dotées d’une telle PSI ; toutes entreprises confondues, les chiffres n’ont que peu évolué par rapport à 2006 (moins 1 %) ».
Personnels sous-informés
La situation n’est pas vraiment meilleure en ce qui concerne les ressources humaines. Seulement 38% des entreprises communiquent sur la sécurité. « Si tout se passait bien, toute entreprise devrait avoir une charte de sécurité » par laquelle les salariés sont sensibilisés aux questions de sécurité et s’engagent à respecter certaines règles, estime Laurent Bellefin.
Cependant, le rapport nous apprend que « La proportion d’entreprises qui déclarent disposer d’une charte sécurité n’a pas progressé entre 2006 et 2008. On note même une légère régression (50 % des entreprises en 2008, contre 55 % lors de l’enquête 2006) ». Situation d’autant plus préoccupante que « l’entreprise n’a pas le droit de faire un contrôle si ses salariés ne sont pas prévenus », affirme Laurent Bellefin.
PDA et smartphones sous contrôle
Concernant les technologies émergentes, susceptibles d’induire des risques de sécurité, à noter que si l’interdiction brutale reste une méthode répandue dans les entreprises, cette pratique a diminué de 5 a 10% sur les différents outils.
A l’exception « des PDA/smartphones, dont l’usage a fait l’objet d’un recadrage important », signale le Clusif. L’on assiste à une « mise sous contrôle du parc de PDA et smartphones » au profit des « flottes », remarque d’ailleurs Laurent Bellefin.
Enfin, pour ce qui est des solutions de sécurité, le Clusif tire là aussi la sonnette d’alarme : « le parc d’outils de sécurité n’évolue pas beaucoup, à part pour l’antispam et les pare-feux personnels », analyse Laurent Bellefin. Stagnation pour les sondes de détection ou de prévention d’intrusion (IDS ou IPS) ; aucune progression pour le chiffrement de données ; faible augmentation des outils de contrôle d’accès et d’authentification forte (cartes ou clés à puces)…
Et pourtant, « la menace ne faiblit pas », conclut le Clusif. Avant d’avancer que « l’enjeu pour les années à venir » consistera à « sortir des politiques de sécurité ‘alibi’, que l’on rédige pour se donner bonne conscience, pour aller vers des pratiques concrètes, réellement ancrées dans les processus de gestion de l’information ».