Surtout, elle n’est que relativement suivie de ses prolongements logiques. L’analyse globale des risques liés à la sécurité du SI n’est conduite en totalité que dans 30 % des cas. L’analyse des risques pour les nouveaux projets n’est systématique que dans 36 % des cas. Les trois quarts des entreprises ne disposent pas d’un tableau de bord de sécurité.
La proportion d’entreprises dotées d’une charte de sécurité à destination des salariés n’évolue plus, restant à 50 % en moyenne. Surtout, les moyens de sensibilisation semblent bien inadaptés, reposant principalement sur une démarche volontaire des salariés. En outre, aucune métrique n’est là pour mesurer l’impact des opérations de sensibilisation.
Qui plus est, 40 % des entreprises ne disposent toujours pas d’un plan de continuité de l’activité (PCA). Heureusement, lorsqu’il existe, le PCA est testé et mis à jour au moins une fois par an dans 72 % des cas.
Globalement, Laurent Bellefin tend à considérer que les entreprises se sont lancées dans des « démarches de sécurité trop larges et mal pilotées. » Et de recommander une analyse des risques en amont puis le lancement d’opérations de traitements des risques majeurs, en priorité, « et de les traiter jusqu’au bout ! »
Des technologies limitées
Le constat n’est pas plus reluisant du côté des technologies mises en œuvre pour sécuriser le système d’information. L’anti-virus, l’anti-spam et le pare-feu sont bien, voire très bien implantés, mais c’est tout. Les dispositifs de détection d’intrusion sont ignorés par 53 % des entreprises ; les IPS (Intrusion prevention system) par 62 % ; le chiffrement par 60 % ; le contrôle des clés USB par 64 %...
