Les entreprises n’investissent pas assez dans la sécurité informatique
Réalisée par le Clusif, l’étude « Les Menaces informatiques et pratiques de sécurité en France » confirme la sensibilisation des entreprises aux risques informatiques. Mais les investissements restent timides.
01net.
le 18/06/10 à 16h27
Peuvent mieux faire. C'est ce qui ressort du dernier
rapport du Clusif (Club de la sécurité et de l'information français), à propos des entreprises et de la sécurité de leur système d'information. S'appuyant sur les réponses de 350 sociétés de plus de 200 salariés, et sur l'analyse des 11 thèmes de la norme ISO 27002 (relative à la sécurité des SI), cette étude offre un bon instantané.
Côté positif, la sécurité des systèmes d'information (SSI) est aujourd'hui prise en compte, car de plus en plus d'entreprises reconnaissent leur dépendance vis-à-vis de l'informatique. La formalisation de la politique en la matière a sensiblement augmenté par rapport à la précédente étude parue en 2008 (73 %, + 14 % par rapport à 2008).
Même optimisme concernant l'existence d'une charte SSI (67 %, + 17 % par rapport à 2008). Par ailleurs, le nombre de responsables de la SSI (RSSI) a également évolué positivement (49 %, + 12 % par rapport à 2008), même si ces derniers restent encore un peu isolés dans l'entreprise (un ou deux en binôme).
Des achats surtout techniques
Cette progression induit une meilleure qualité de veille des vulnérabilités et des solutions de sécurité (34 %, + 13 % par rapport à 2008), ainsi qu'un développement des procédures de déploiement de correctifs de sécurité (64 %, + 16 % par rapport à 2008).
Les contrôles d'accès des utilisateurs commencent à convaincre des entreprises. Ainsi le SSO (Single Sign-On) atteint 21 % (+ 14 % par rapport à 2008) et le web-SSO est utilisé par 8 % des entreprises interrogées (+5 % par rapport à 2008).
Cependant toutes ces initiatives doivent être relativisées, car les budgets restent très serrés. Les investissements concernent principalement les moyens techniques : « l'antivirus, le pare-feu et l'antispam restent très largement en tête (respectivement 97 %, 95 % et 91 %) et les IDS/IPS, technologies arrivées à maturité, progressent (34 % et 27 %, + 11 % par rapport à 2008) », constate un représentant du Clusif. C'est moins le cas pour des solutions pourtant efficaces comme le chiffrement des données (17 %, +7 % par rapport à 2008) et des technologies récentes (type Network Access Control) qui peinent à se déployer (respectivement 23 % et 9 %).
La sensibilisation des utilisateurs reste toujours Le maillon faible (57 % des sociétés sondées n'en font pas) mais aussi des dirigeants, puisqu'un tiers (-7 % par rapport à 2008) des entreprises ne disposent toujours pas d'un plan de continuité d'activité pour traiter les crises majeures ! Le fameux Plan B reste donc virtuel.
Les hôpitaux sensibilisés à la sécurité
Le Clusif a aussi interrogé les hôpitaux publics (151), un secteur qui s'intéresse de plus en plus à la sécurité informatique puisque le club des RSSI hospitaliers comptait une quinzaine de membres en 2009, contre 8 en 2008. De plus en plus d'hôpitaux disposent d'un RSSI. Cette nouvelle organisation explique que 63 % des établissements (+ 21 % par rapport à la précédente étude datant de 2006) ont adopté les chartes de sécurité et que la détection des incidents de sécurité est mieux analysée. Mais comme les entreprises, ce secteur ne s'attache pas assez à la sensibilisation des salariés (27 %, + 2 % par rapport 2006). Autres lacunes : 54 % seulement des sondés ont mis en place un plan de continuité, la moitié d'entre eux ne réalise jamais d'audit de sécurité, et encore moins de tableau de bord de suivi (7 %, + 1 % par rapport à 2006).
nos newsletters
Abonnez-vous à Micro Hebdo : 4,90 €/mois
Abonnez-vous à l'Ordinateur Individuel : 3 €/mois
Abonnez-vous à la version digitale
Abonnez-vous à 01Business et Technologies : 19 €/mois
