Sécurité informatique : la réglementation fait son effet
Pour motiver les entreprises à mieux prendre en compte les problématiques liées à la sécurité, il y a visiblement deux solutions, le bâton… ou le bâton. Comme l’écrivent les auteurs du rapport « Menaces informatiques et Pratiques de Sécurité » (MIPS) : « pour les entreprises de plus de 100 salariés, s’il est clair que le niveau global de maturité continue d’évoluer « tranquillement », cette évolution est plus liée aux obligations existantes (légales, réglementaires, contractuelles) qu’à la prise en compte réelle de l’importance de la sécurité de l’information. »
Pour débloquer de nouveaux budgets dédiés à la sécurité, on en revient donc aux deux moyens éprouvés de longue date : la réglementation (on pense notamment à la directive NIS entrée récemment en application, mais le RGPD et la LPM pour les opérateurs d’importance vitale sont également cités) ou le fait d’avoir été victime d’une attaque. La réglementation et les exigences contractuelles sont de loin les raisons les plus fréquemment invoquées pour l’organisation d’audit de sécurité dans les entreprises (59% des sondés) et 73 % des sondés s’estiment en conformité avec le RGPD, avec 57 % des entreprises dotées d’un DPO (Data Protection Officer).
Le RSSI mieux identifié
Le rapport évoque dés ses premières lignes la question des budgets alloués à la sécurité : « 56 % des budgets alloués à la sécurité de l’information sont entièrement remis en cause chaque année » et seuls 8 % des budgets de sécurité peuvent se vanter d’avoir été « sanctuarisé ».
Il y a pourtant bien une progression : le rôle du RSSI est aujourd’hui bien mieux identifié, avec 72 % des entreprises dotées d’un responsable de la sécurité des systèmes d’information contre 58 % en 2018, date de la dernière étude. Une évolution sensible aussi bien chez les entreprises de plus de 2000 employés que dans des structures plus réduites comptant entre 100 et 499 employés. Le RSSI est aussi de plus en plus fréquemment rattaché à la direction générale du groupe, et dans de plus en plus de cas, celui-ci dispose d’une équipe rattachée à son poste.
En termes d’outils et de solution, l’étude met en avant le fait que si les solutions visant à protéger le poste de travail de l’utilisateur sont aujourd’hui bien en place, les solutions mobiles restent en moyenne assez peu déployée : 100 % des entreprises déclarent avoir généralisé le déploiement d’antivirus, mais seuls 25 % déploient des outils de protection pour téléphones et tablettes. Si « la mobilité est de plus en plus prise en compte » comme le remarquent les auteurs de l’étude, la marge de progression sur ce domaine reste importante. L’utilisation d’outil de cryptographie affiche un léger repli (-2%), mais les technologies d’authentification et de contrôle d’accès sont toutes en hausse, sauf la biométrie.
Concernant les menaces identifiées par les entreprises, les causes les plus fréquemment citées d’incidents de sécurité sont les pertes de service essentiel (électricité, eau, télécom) citées par 29 % des sondés, des pannes d’origine interne, matérielles ou logicielles, entraînant l’indisponibilité du système (29%) et les infections par virus sans que l’entreprise ne soit spécifiquement visée (22%). Les attaques informatiques sophistiquées et ciblant avec précision les entreprises sont néanmoins citées par 11 % des sondés. L’étude MIPS du CLUSIF est réalisée tous les deux ans et porte sur un sondage réalisé auprès de 350 entreprises de plus de 100 salariés. Deux autres volets de l’étude portent plus spécifiquement sur les collectivités territoriales et sur les particuliers.
