Sécurité : une maturité stable sinon en régression, selon le Clusif

Le Club de la Sécurité de l’Information Français vient de publier l’édition 2014 de son étude sur les menaces informatiques et pratiques de sécurité dans l’Hexagone. Avec à la clé un bilan : la maturité face au sujet « stagne, voire régresse dans certains domaines. »

Dans l’édition 2014 de son étude sur les menaces informatiques et les pratiques de sécurité, le Club de la Sécurité de l’Information Français (Clusif) dresse un bilan certes encourageant, mais peu réjouissant. Le Clusif se satisfait ainsi de l’évolution « positive » du « nombre d’acteurs » de la sécurité des systèmes d’information (SSI). Mais il ne peut, aussitôt, que souligner que « la maturité SSI, elle, stagne, voire régresse dans certains domaines. » Et d’attribuer cette situation peu flatteuse au « manque de budget attribué à la SSI » et « à un manque de connaissances des nouveaux RSSI principalement issus du domaine technique. » La technique, toujours, encore, et encore trop la technique déplore ainsi le Club : « côté budget, on constate une légère reprise, pondérée par le fait que le poste ayant eu la plus grosse augmentation, cette année encore, est la mise en place de solution, avec 26 % » de croissance - « ainsi, pour beaucoup, la sécurité reste une histoire de mise en place de solution technique… »

Et au-delà de la technique pure, justement, l’évolution reste limitée. Ainsi, les auteurs de l’étude soulignent que « le nombre d’entreprise ayant formalisé leur [plan de sécurité de l’information] est demeuré quasi-inchangé depuis 2010 (64 % en 2014, 63 % en 2010 et 2012). » Un élément appréhendé comme « étonnant au vu de la forte progression du nombre de RSSI… » Mais peut-être le profil présenté comme largement « technique » des nouveaux RSSI participe-t-il de l’explication. A moins que celle-ci ne soit à chercher dans le rattachement hiérarchique de la fonction RSSI. Car si celle-ci est « de plus en plus clairement identifiée et attribuée au sein des entreprises », « en grande majorité, les RSSI sont rattachés à la DSI, ce qui pose encore la question de leur pouvoir d’arbitrage. » Et les auteurs de poser la question suivante, avec un brin d’espièglerie à peine dissimulé : « mais ne vaut-il mieux pas un RSSI mal rattaché que pas de RSSI du tout ? »

Reste que les efforts de sensibilisations sont encore limités. « Pas de grand mouvement » dans ce domaine, relève le Clusif, hormis les VIP, dont la sensibilisation passe « de 18 % en 2012 à 31 % en 2014. » Mais les RSSI ont-ils pour autant le pouvoir plus qu’alors le pouvoir de dire « non » à ceux auxquels ils ne rapportent même pas directement ? Quoiqu’il en soit, Patrick Pailloux, ancien directeur général de l’Agence Nationale pour la Sécurité des Systèmes d’Information (Anssi) peut se réjouir : alors que certains l’entrevoyaient prêcheur dans le désert, vent debout contre le BYOD, son message semble être passé, le taux d’interdiction de la pratique ayant progressé de « 38 % à 66 % » en deux ans. Et les auteurs du rapport de souligner cette évolution d’un point d’exclamation.

Mais pour le reste, l’impact de certains discours pourtant pragmatiques et volontaristes semble limité. ainsi, 44 % des entreprises auraient placé leur SI au moins partiellement en infogérance, mais 32 % d’entre elles ne mettent pas en place d’indicateurs de sécurité. Quant à la formalisation des procédures opérationnelles de mise à jour des correctifs de sécurité, elle est « en stagnation » par rapport à 2012, à 60 %. Et l’intégration de la sécurité au cycle de développement reste limité à 24 % des organisations sondées. Pas beaucoup plus encourageant, seulement 45 % des entreprises, contre 54 % il y a deux ans, disposeraient d’une cellule de gestion des incidents de sécurité.

Et puis 27 % des entreprise « ne prennent pas en compte la continuité d’activité. » Et quand elle est prise en compte… « 25 % des plans de continuité existants ne sont jamais testés par les utilisateurs. » Les auteurs interrogent alors, sans ambages : « alors, à quoi servent-ils ? » Et d’ajouter, avec une pointe de dépit : « au final, les entreprises avancent, encore et toujours, tranquillement, encore et toujours… » Avec une approche de la sécurité qui fait penser au « cache-sexe » que fustigeait Patrick Pailloux, il y a quelques années, aux Assises de la Sécurité.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close