Pour le Clusif, la sécurité des SI des entreprises progresse « laborieusement »

En juin 2008, à l’occasion de la présentation des résultats de l’étude du Clusif sur les pratiques des entreprises françaises en matière de sécurité des systèmes d’information (SSI), Laurent Bellefin, directeur de la practice Sécurité de Solucom, soulignait « un inquiétant sentiment de stagnation », par rapport à l’édition 2006 de cette même étude. Deux ans plus tard, la prise de conscience espérée ne semble pas avoir eu lieu, malgré les appels répétés, y compris de la part de l’Etat, par la voix de sa jeune agence dédiée, l’Anssi.  

Pour son étude, la Clusif s’est appuyé, cette année, sur un échantillon comparable à celui de l’édition précédente : 350 entreprises de plus de 200 salariés sondées entre janvier et février 2010. Ces entreprises se veulent à peu près représentatives du tissu économique français, selon les statistiques de l’Insee, avec, seulement, une représentation un peu plus forte des entreprises de plus de 1000 salariés côté Clusif, et un peu plus faible de celles de 200 à 499 salariés. Le secteur d’activité des transports et des télécoms est en outre un peu plus représenté dans l’échantillon du Clusif que dans le tissu économique national.

Dépendants mais... inconscients ?

Le premier enseignement de l’étude n’est pas surprenant : 80 % des sondés se disent fortement dépendants de l’informatique en matière de sécurité - contre 1 % faiblement et 19 % modérément -, avec un budget informatique moyen de 1,45 M€. Le premier bémol tombe là : 30 % des sondés ne sont pas capables d’indiquer la part de la sécurité dans leur budget informatique. Pour autant, pour la majorité des cas, le budget SSI est perçu comme stable. Avec néanmoins un sentiment d’augmentation pour 61 % des sondés des entreprises du BTP, et 43 % dans le secteur des transports et des télécoms. Pour autant, à 45 %, les sondés évoquent le manque de budget comme premier frein à la conduite de leurs missions de sécurité, suivi des contraintes organisationnelles, à 30 %, et encore de la réticence de la hiérarchie, des services ou des utilisateurs, à 24 %. Sans un certaine pointe d’humour, le Clusif insiste sur la contrainte budgétaire, lançant : « nous n’avons pas fini de nous alarmer...»

Mais si les moyens ne suivent pas, la formalisation des politiques de sécurité est-elle au moins au rendez-vous ?  Oui, majoritairement, à 63 % - contre 55 % en 2008. Mieux, elles sont totalement soutenues par la direction générale dans 73 % des cas, contre 59 % il y a deux ans. Mais, dans la définition de ces politiques, c’est encore l’amateurisme qui domine : ces politiques ne s’appuient sur aucune norme dans 41 % des cas. Il faut tout de même relever la forte poussée des normes ISO 2700x, exploitées dans 24 % des cas, contre 17 % il y a deux ans. 

Le véritable blocage tient peut-être à l’organisation. Dans 51 % des cas, la fonction de RSSI n’est pas clairement identifiée et attribuée - contre 61 % il y a deux ans. Et lorsque la mission SSI est identifiée, mais qu’il n’existe pas de RSSI, la mission est tantôt confiée au DSI, tantôt à un autre membre de la direction informatique, pour l’essentiel. Et si, il y a deux ans, le RSSI était, dans 45 % des cas, rattaché à la direction générale, il ne l’est plus que dans 34 % des cas. Dans 36 % des cas, il rapporte à la DSI voire, dans 12 % des cas, à la direction administrative et financière. Enfin, si le Clusif se satisfait de constater que « près de 80 % des entreprises ont en permanence une équipe sécurité [...] dans 61 % des cas, le RSSI est encore un homme ou une femme seul(e) ou en binôme seulement. » Bref, pour le Club, c’est clair, « les moyens humains [...] apparaissent en retrait de ce qui pourrait être attendu au regard de la dépendance exprimée [...] vis-à-vis du SI».

Le lourd défi d’inventaire

Mais ce n’est pas tout. Sans qu’il soit possible de savoir si c’est le fruit d’un manque de moyens ou de lourdeurs organisationnelles, force est de constater que seuls 30 % des sondés ont totalement inventorié leurs informations et identifié leurs propriétaires. Contre 34 % qui n’ont pas même commencé. Surtout, selon l’étude, « une grande majorité utilise une échelle [de classification de l’information selon son niveau de sensibilité, NDLR] disposant d’un nombre impair de niveaux, ce qui offre toujours la possibilité d’utiliser un niveau médian, donc non signifiant».

Faut-il y voir un lien ? Toujours est-il que, plus loin, le Clusif s’inquiète de « l’absence d’évolution du côté du contrôle des accès » logiques. Et relève même une « léthargie étonnante » sur le terrain de la gestion des habilitations. Pas étonnant, dans ce contexte, que 74 % des sondés déclarent ne pas utiliser de solution de DLP - prévention des fuites de données. Pas étonnant, non plus, qu’en l’absence de connaissance et de maîtrise sur les flux de données internes et leur légitimité, l’entreprise française ait des airs de bunker : dans 69 % des cas, l’accès au SI par un poste non contrôlé est interdit; de même, dans 46 % des cas, depuis un PDA ou un smartphone; ou encore, dans 43 % des cas, via WiFi. Les messageries instantanées sont prohibées dans 75 % des cas. La ToIP et la VoIP restent interdites dans 43 % - contre 63 % il y a deux ans, tout de même. Quoiqu’il en soit, pour un jeune technophile - la fameuse génération Y -, rien de tout cela ne risque de sembler très attractif...

Une protection encore limitée

Il faut dire que, outre les traditionnels anti-virus et antispam, la protection du poste de travail semble pour le moins négligée... Le contrôle des périphériques n’est pas exploité par 50 % des sondés; le chiffrement des échanges par 44 %; le pare-feu personnel par 62 %, le chiffrement des données locales par 54 %... De là à dire que le poste de travail français est une passoire... Plus préoccupant, le réseau, s’il est largement protégé par un pare-feu, ne semble pas extrêmement mieux loti. Certes, l’adoption des IDS/IPS a progressé en deux ans. Comme le relève le Clusif, le chemin à parcourir reste important avec 48 % des entreprises qui restent fermées aux IDS, ou encore 54 % aux IPS. 

Restent quelques points positifs, comme la forte progression de la veille et de la formalisation des procédures de déploiement des correctifs de sécurité - qui atteint désormais 64 %. 

Au final, c’est un tableau relativement sombre que dresse le Clusif. Et de souligner, en particulier, que 33 % des entreprises «ne disposent toujours pas d’un plan de continuité de l’activité pour traiter les crises majeures», ou encore que la conformité avec les «obligations CNIL» doit encore faire l’objet de «progrès» - 68 % des entreprises se conforment; 20 % limitent la conformité aux traitements de données sensibles... -. Enfin 25 % des entreprises «ne font toujours pas d’audit de sécurité» et «seulement» 34 % des entreprises disposent d’un tableau de bord de la sécurité du SI.

En complément :

- Assises de la sécurité 2008 : l’état veut secouer les RSSI

- Assises de la sécurité 2009 : la coopération public-privé en clé de voute de la cyberdéfense

- CCI de Touraine : « les entreprises en région sont très en retard en matière de sécurité »

 - Le coût, principal frein à la prévention des fuites de données en France

- La culture de la sécurité peine à se diffuser aux comptes intermédiaires

- Sécurité : les entreprises coincées entre marteau et enclume

- La Poste et la sécurité : science sans conscience n’est que ruine (budgétaire)

- Le FIC 2010 s’ouvre sur fond de mobilisation internationale contre la cybercriminalité

- Sécurité : les sociétés critiques pour l'économie française recrutées comme supplétifs de la cyber-défense nationale