En 2008, le Clusif dressait un bilan peu reluisant de l’état de la sécurité des SI des PME françaises. La situation n’a guère progressé, si l’on en croît une récente étude conduite par Redshift Research pour l’éditeur GFI Software dans le courant de ce mois d’octobre, auprès de 253 PME de l'Hexagone – 39 % de 100 à 249 salariés ; 25 % de 10 à 99 salariés ; et 36 % de moins de 10 salariés.
L’ennemi reste extérieur
Malgré le risque que la crise économique serait susceptible, selon certains, de faire peser sur le patrimoine informationnel des entreprises – notamment, via les malveillances internes –, 52 % des sondés sont plus préoccupés par les menaces externes qu’internes. Ce n’est donc pas une surprise si seulement 31 % des PME sondées ont défini des règles de restriction d'accès à leurs données sensibles. De même, elles ne sont que 30 % à avoir défini des règles de classification pour ces données.
En fait, les principales menaces identifiées sont assez cohérentes avec cette situation : les corruptions accidentelles de données arrivent en tête (49 %), suivies de la perte de supports de stockage (46 %) et des logiciels malveillants diffusés par le Web (42 %). Et, alors même que, à 95 %, elles disposent d’un antivirus associé à la messagerie électronique, 57 % des PME interrogées estiment que leur SI n’est pas assez protégé. Filtrage et contrôle du trafic Web ne sont en place que dans 42 % des PME sondées. L’archivage des courriels ne fait l’objet d’une politique précise que dans moins de 45 % des cas.
Une fonction mal intégrée ?
Ce constat n’étonne finalement qu’assez peu si l’on considère que seulement 42 % des PME sondées disposent de spécialistes de la sécurité informatique – identifiés en tant quel tel ou détachés du service informatique. Néanmoins, ce même constat peut s’avérer préoccupant alors que 33 % des sondés assurent que la sécurité de leur SI est assurée par un prestataire externe.
Plusieurs questions apparaissent alors : le prestataire est-il effectivement compétent ? A-t-il les moyens matériels d’améliorer la situation ? Est-il écouté ? Des questions que l’étude de Redshift Research laisse malheureusement sans réponse. A l’exception, peut-être, de celle concernant les moyens : 39 % des PME sondées estiment que leur budget sécurité devrait progresser en 2010. Néanmoins, dans près d'un tiers des PME, le budget sécurité du SI est déjà tellement bas qu’il serait difficile de le réduire, même si le contexte économique l’exigeait.
| En route vers le SaaS |
| S’il fallait encore s’en convaincre – après les Assises de Sécurité, début octobre, où l’intérêt pour les offres de sécurité en mode SaaS était bien net –, l’étude de Redshift Research enfonce le clou. 66 % des sondés indiquent déjà recourir à des services hébergés/infogérés – qu’il s’agisse de gestion de la relation client ou de gestion des ressources humaines ou encore de supervision réseau -, mais pas pour la sécurité. Reste que l'intérêt est bien là. 30 % des sondés estiment que le SaaS répond bien à leurs besoins. Pour 27 %, un petit zeste de services infogérés ou d’hybridation avec une solution sur site est un plus. Bref, des indices qui montrent que les esprits sont mûrs pour la sécurité en mode SaaS. |
