Plus les entreprises sont de taille importante, plus elles sont attaquées et plus elles mettent en place une politique de sécurité.

C’est ce qu’indique l’INSEE dans la dernière édition de sa publication INSEE Première (Sécurité numérique et médias sociaux dans les entreprises en 2015) qui révèle que les entreprises françaises sont un peu en retrait de leurs homologues européennes.

En 2015, parmi les sociétés de 10 salariés ou plus implantées en France, 27 % déclarent avoir une politique de sécurité des technologies de l’information et de la communication (TIC) formellement définie ; elles sont 32 % au niveau européen. En France comme dans l’Union européenne (UE à 28), les trois quarts des sociétés de 250 personnes ou plus sont dans ce cas.

En France, 13 % des sociétés de 10 salariés ou plus ont subi au moins un incident de sécurité au cours de l’année précédente, portant atteinte à l’intégrité, à la disponibilité ou à la confidentialité des systèmes et données informatiques. Les sociétés de 250 salariés ou plus sont deux fois plus touchées. Pour sécuriser leur réseau informatique, les trois quarts des sociétés de 10 personnes ou plus utilisent un pare-feu ou un logiciel de protection de l’accès à distance. Par ailleurs, un quart déclare avoir une politique d’accès, de rectification et d’effacement des données personnelles.

13 Insee 1

En 2015, 16 % des sociétés de 10 personnes ou plus implantées en France emploient du personnel spécialisé en informatique ; elles sont 20 % au niveau européen. Les plus grandes sociétés le font beaucoup plus fréquemment, tandis que les plus petites font souvent appel à des prestataires externes.

Entre 2013 et 2015, l’usage des réseaux sociaux a progressé de 11 points dans les sociétés de 10 personnes ou plus implantées en France, mais reste inférieur à celui de l’UE à 28 (31 % contre 39 %). Par ailleurs, en 2015 comme en 2013, les deux tiers des sociétés disposent d’un site web. En 2015, une société sur trois de 10 à 49 personnes n’a ni site web, ni compte sur un média social, contre seulement une sur dix pour celles de 50 personnes ou plus.

La sécurité numérique, un enjeu pour les entreprises

La sécurité informatique implique des mesures, contrôles et procédures pour garantir l’intégrité, la confidentialité ainsi que la disponibilité des données et des systèmes d’information. Elle constitue un enjeu majeur pour les entreprises, du fait de la diffusion du numérique. Un incident, une défaillance ou une attaque peuvent avoir de lourdes conséquences, pour l’entreprise ou pour ses clients notamment.

En 2015, en France, 27 % des sociétés de 10 salariés ou plus déclarent avoir une politique de sécurité informatique formellement définie. La moitié des sociétés de 50 à 249 salariés et les trois quarts des « grandes » sociétés (plus de 250 salariés), ont une politique de sécurité informatique formellement définie.

Les sociétés où l’IT est au cœur de l’activité sont aussi plus concernées. Ainsi, la moitié des sociétés de l’information- communication et des activités scientifiques et techniques le sont, contre respectivement une sur sept et une sur six dans la construction et l’hébergement-restauration.

Trois types de risques pris en compte par la politique de sécurité informatique sont considérés ici : celui sur l’intégrité des données (destruction ou altération de données due à une attaque ou à un incident inattendu), celui sur la confidentialité des données (divulgation de données confidentielles due à une intrusion, à des attaques par pharming, phishing ou par accident) et celui sur la disponibilité des services (indisponibilité des services informatique due à une attaque extérieure, par déni de service par exemple). Lorsqu’une politique de sécurité des TIC est définie, elle prend en compte neuf fois sur dix l’intégrité des données, huit fois sur dix leur confidentialité et sept fois sur dix la disponibilité des services.

Pour être efficace, une politique de sécurité peut nécessiter une actualisation régulière afin de l’adapter aux évolutions des systèmes, aux incidents passés et aux risques nouveaux. Ainsi, 20 % des sociétés de 10 personnes ou plus ont défini ou actualisé leur politique de sécurité informatique au cours des deux années précédant l’enquête, soit les trois quarts de celles qui prennent ces mesures de sécurité.

Plus les entreprises sont grandes et plus elles ont des chances d’être attaquées. En 2015, en France, 13 % des sociétés de 10 personnes ou plus déclarent avoir subi, au cours de l’année précédente, au moins un incident de sécurité portant atteinte à l’intégrité, à la disponibilité ou à la confidentialité des systèmes et données informatiques, soit 4 points de plus qu’en 2010.

Les incidents les plus répandus sont les pannes de logiciel ou de matériel informatique, qui entraînent l’indisponibilité des services, la destruction ou l’altération des données (8 % des sociétés de 10 personnes ou plus). Viennent ensuite les attaques de programmes malveillants, comme les virus, ou les accès non autorisés, qui aboutissent à la destruction ou à l’altération de données (7 %). Seules 3 % des sociétés de 10 personnes ou plus déclarent avoir subi des attaques extérieures, par exemple par déni de services, et 2 % des attaques par intrusion, pharming ou phishing ayant abouti à la divulgation de données confidentielles. Ces chiffres sont sans doute sous-estimés, car certaines sociétés sont réticentes à évoquer ce type d’incident.

 

DDos, Pharming et Phishing

  • Une attaque par déni de service (denial of service attack, abrégé en DoS) est une attaque informatique ayant pour but de rendre indisponible un service, d’empêcher les utilisateurs légitimes d’un service de l’utiliser. Il s’agit la plupart du temps d’attaques à l’encontre des serveurs d’une entreprise.
  • Le pharming (ou dévoiement en français) est une technique de piratage informatique. Elle consiste à dérouter la circulation d’un site web vers un faux site web, afin d’acquérir des informations.
  • Le phishing (hameçonnage ou filoutage en français) est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels concernant des inter- nautes dans le but de perpétrer une usurpation d’identité.