Dès l’introduction du rapport consultable sur Internet, Laurent Bellefin, directeur de l’activité Sécurité de Solucom et responsable du groupe de travail « Enquête sur les menaces informatiques et les pratiques de sécurité » du Clusif, donne le ton : « côté entreprise, cette édition 2008 fait ressortir un inquiétant sentiment de stagnation. » Et de préciser que, « entre 2004 et 2006, des progrès notables avaient été faits, en particulier dans le domaine de la formalisation des politiques et des chartes de sécurité. Mais depuis, il semble bien que la mise en application concrète de ces politiques soit restée un vœu pieu. »
Pour son étude, le Clusif a sollicité quelques 2000 entreprises françaises entre janvier et mars derniers, pour obtenir les réponses de 354 d’entre elles à des questions inspirées des grands thèmes de la norme ISO 27002. Les résultats ont ensuite été redressés pour obtenir des valeurs représentatives. Et le résultat n’est effectivement pas brillant.
Premier constat : le sentiment de dépendance à l’outil informatique est grand, avec 73 % des entreprises qui estiment qu’une indisponibilité de moins de 24h de cet outil aurait de lourdes conséquences pour leur activité. Mais les choses tournent à l’aigre dès la question du budget consacré à la sécurité de cet outil.
L’inquiétante question des budgets
Près d’un tiers des entreprises ne savent pas identifier ce budget qui ne représente que moins de 3 % du budget informatique total de près d’un quart des entreprises. Surtout, ce budget sécurité stagne ou recule dans près de la moitié des entreprises. Il n’y a guère que dans le monde des services bancaires et financiers qu’il augmente dans une large part des entreprises, 48 %. Et pour 28 % d’entre elles, cette augmentation est supérieure à 10 %.
Les principaux freins à la progression des budgets sécurité sont les contraintes organisationnelles et… le manque de moyens financiers, « dont nous n’avons pas fini de nous alarmer », précisent les auteurs du rapport.
Des politiques de sécurité mises à la trappe ?
Les politiques de sécurité commencent à être bien diffusées dans les entreprises, à commencer par les plus grandes : elles sont définies dans 66 % des entreprises de plus de 1000 salariés, 59 % entre 500 et 999 salariés, et 50 % en dessous. Mais, dans 45 % des cas, cette politique ne s’appuie sur aucune norme.
Tous les services du MagIT sur