Après la publication de la deuxième édition du rapport Etat de la menace liée au numérique que vient de publier le ministère de l’Intérieur, C’est au tour du Clusif de présenter l’édition 2018 des Menaces informatiques et pratiques de sécurité en France.

Tous les deux ans, le Clusif fait un bilan approfondi des usages en matière de sécurité de l’information en France qui se veut « se veut être une référence de par la taille et la représentativité des échantillons d’entreprises et des établissements de santé.

Le Clusif commence sur le point positif selon lequel le nombre d’acteurs de la SSI au travers de la mise en place d’organisations et de structures évolue toujours positivement… Mais qu’il modère très rapidement car la « maturité SSI stagne, principalement du fait du manque de budget attribué à la SSI (36% des répondants) et des contraintes organisationnelles (29%) ». Globalement, et cela ne surprendra personne, la sécurité est moins bien traitée dans les petites entreprises que dans les plus grandes. Par manque de ressources ? Parce qu’elles se sentent moins concernées ? Ou encore parce qu’elles se pensent moins exposées au risque ?

Côté budget, on constate une stagnation comparativement à 2016 (-1 point), pondérée par le fait que le poste ayant eu la plus grosse augmentation, cette année encore, est la mise en place de solution, avec 23% (27% des répondants ne savent pas…). On reste toujours dans la technique : ainsi pour beaucoup la sécurité reste une histoire de mise en place de solution technique…

Côté Politique de Sécurité de l’Information (PSSI), le nombre d’entreprises l’ayant formalisé continue à progresser à 75% mais est tiré vers le bas par les entreprises de 100 à 200 salariés. La DSI reste prépondérante dans la formalisation de la PSI (52%), alors que le RSSI est à 43%.

La fonction de Responsable de la Sécurité des Systèmes d’Information (RSSI ou RSI) est en recul entre 2016 et 2018 (67% vs 63%). Les RSSI sont pour 49% d’entre eux rattachés à la Direction Générale améliorant grandement son « pouvoir d’arbitrage » et pour 30% à la DSI…

L’importance du rôle de RSSI commencerait-elle à être comprise par les DG ? Concernant les ressources humaines, les chartes sont maintenant bien déployées (84% en ont) et la sensibilisation s’établit à 50%, dont 15% qui la mesure.

L’inventaire des actifs est réalisé à 87% et 61% des entreprises ont classifié leurs actifs. Par ailleurs, si 80% des entreprises ont inventorié les risques auxquels elles sont exposées, seules 29% d’entre elles ont réalisé une évaluation formelle s’appuyant sur une méthode ou un référentiel (EBIOS à 24%, ISO 27005 à 21%, MEHARI à 11%, etc.).

La cryptographie est toujours peu utilisée (30% en font l’usage) et lorsqu’elle l’est, c’est la DSI qui en a largement le contrôle (72%). La sécurisation physique passe par 3 dispositifs majeurs : détecteur incendie (73%), contrôle d’accès par badge (62%) et caméra (57%).

Du côté des technologies de protection, certains outils commencent à être un peu plus généralisés. Par exemple (chiffres 2016 vs 2018) : pare-feu sur PC portable passe de 80% à 88%, antivirus/ anti-malware sur smartphone et tablettes passent de 42% à 54%, pare-feu sur smartphone et tablettes passe 24% à 37%. La formalisation des procédures de déploiement des correctifs de sécurité (patch management) est à 56% en 2018 et 75% des entreprises réalisent une veille permanente en vulnérabilités et en solutions de sécurité de l’information. L’usage des équipements personnels (BYOD) est interdit pour 72% des entreprises…

La sécurité dans le cycle de développement régresse encore et de fait reste toujours trop insuffisante : prise en compte à 14% (- 3 points par rapport à 2016). Pourtant, un grand nombre d’attaques sont possibles du fait de failles applicatives liées au développement (injection, XSS, etc.).

L’infogérance représente toujours 44% de la gestion des SI des entreprises, dont 13% en totalité. Quand c’est le cas, 38% ne mettent toujours pas en place d’indicateurs de sécurité et 55% ne réalisent aucun audit sur cette infogérance. Ces chiffres sont encore plus flagrants sur les plus petites entreprises… Après une augmentation vertigineuse entre 2012 et 2016 (+28 points), l’utilisation du Cloud augmente toujours fortement cette année (+ 14 points) et près de la moitié (48%) des entreprises y font maintenant appel.

Côté « incidents de sécurité de l’information », le trio de tête est composé de (chiffre 2016 vs 2018 à isopérimètre) : pannes d’origine interne (31% vs 28%), infections par virus (44% vs 27%) et pertes de services essentiels 24% vs 22%). Malgré cela, seules 41% des entreprises disposent d’une cellule de collecte et de traitement des incidents de sécurité de l’information…

De plus, au regard du Panorama de la Cybercriminalité du CLUSIF, 29% ont connu des attaques par Phishing (64% sans impact) et 17% via des fraudes aux présidents.

Pour la continuité d’activité, c’est l’indisponibilité des ‘systèmes informatiques de gestion’ qui représente le scénario le plus couvert (54%). Le BIA (Bilan d’Impact sur l’Activité), prenant en compte les attentes des « métiers » est réalisé dans 55% des entreprises.

« IT » ne sont jamais testés : alors, sont-ils réellement efficients ?

Le RSSI n’intervient que pour 10% dans les déclarations « CNIL », en 4ème position après le DSI (34%), le Service RH (13%) et le CIL (11%). Le Règlement Général sur la Protection des Données (RGPD) a mobilisé de nombreuses ressources et 68% des entreprises se disent prêtes (dont 46% partiellement).

Sur une période de deux ans, 66% des entreprises interrogées ont réalisé au moins un audit ou contrôle de sécurité du Système d’Information (58% des audits d’architecture et 47% des tests d’intrusion). Ces audits sont motivés principalement par des exigences contractuelles ou règlementaires (33%), le respect de la PSSI (20%), des audits de tiers externes comme les assureurs ou les clients (16%).