Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

SSI : des trous dans la raquette des entreprises françaises

auteur de l'article Jerome Saiz , dans la rubrique Conformité & Bonnes pratiques

Le CLUSIF publie son étude annuelle sur l’évolution des pratiques SSI dans les entreprises françaises. Le document est une mine d’or statistique concernant notamment l’organisation de la sécurité au sein des entreprises, le positionnement du RSSI dans l’organisation, la dépendance au système d’information et bien d’autres critères encore, sur lesquels nous reviendrons au cours des semaines à venir.

Mais l’enseignement général de cette étude 2014 est ailleurs : à la lecture de ce rapport l’on note surtout que les entreprises françaises laissent encore des trous étonnants dans leur raquette SSI.

L’étude note ainsi, par exemple, à la fois une régression de la pratique des analyses de risque (tant partielles que totales) et une forte augmentation des incidents rencontrés par les entreprises.

Concernant les analyses de risque, 47% des entreprises interrogées n’ont mené aucune analyse formelle (basée sur une méthode ou un référentiel), contre 45% lors de la dernière étude. Elles étaient cependant 60% lors de l’étude 2010, ce qui peut laisser croire à un plafonnement de la pratique.

Et bien que l’on ne puisse évidemment pas en déduire un rapport de cause à effet direct, les incidents repartent à la hausse : les pertes de services essentiels passent de 26% (en 2012) à 39%, les vols passent de 19% (2012) à 37% et les pannes d’origine interne passent de 25% (2012) à 35%.

Au delà de la (légère) régression de la pratique de l’analyse du risque, ces chiffres s’expliquent certainement par d’autres « trous » dans la raquette des entreprises. Car l’on découvre dans cette étude des comportements pour le moins inquiétants.

Ainsi 44% des entreprises disent avoir placé leur système d’information sous infogérance (9% en totalité et 35% partiellement). Pour autant, elles sont 32% à n’avoir aucun indicateur de sécurité pour mesurer cette prestation d’infogérance, et 44% ne réalisent même aucun audit !

En clair : une part importante des entreprises qui externalisent tout ou partie de leur système d’information le font dans le noir. Elles ne disposent d’aucun contrôle sur le niveau de sécurité offert par leur prestataire !

Et cela risque de ne pas aller en s’arrangeant : la migration vers le Cloud, même si ce dernier ne concerne encore que 50% des entreprises en France, augmente fortement depuis 2012 (+38%). Or l’on sait que la capacité de négociation et de contrôle des entreprises clientes vis-à-vis des grands fournisseurs de Cloud est plus limitée encore que vis-à-vis de leur infogéreur local.

En interne, en revanche, la situation semble mieux maîtrisée : 71% des entreprises disent avoir réalisé un audit ou un contrôle de la sécurité de leur système d’information.

Mais ce chiffre cache lui aussi des déceptions : non seulement est-il en régression de trois points, mais surtout les audits réalisés sont avant tout (à 65%) destinés à assurer le respect des exigences contractuelles,  règlementaires ou externes, telles les assurances. Autrement dit les entreprises semblent surtout faire de la sécurité pour être conformes…

En outre un peu plus d’un quart des entreprises interrogées (27%) n’ont pas de plan de continuité d’activité. L’on peut certes imaginer qu’il s’agit des plus petites, mais ramené au nombre important de nos PME (99,9% des entreprises françaises, 52% de l’emploi, 38% du CA du pays), il s’agit là à l’échelle de la Nation d’une vulnérabilité importante.

Autre handicap : même si la fonction de RSSI est de plus en plus clairement identifiée au sein des entreprises (62% aujourd’hui contre 37% en 2008), elles sont tout de même encore 38% à ne pas avoir désigné de RSSI. Et lorsque c’est le cas, la fonction est prise en charge majoritairement par le DSI ou le responsable informatique (52%), ce qui n’aide pas évidemment à intégrer le risque SI dans une vision globale des risques de l’entreprise (bien qu’il s’agisse probablement ici de petites entreprises pour qui la « vision globale du risque » est encore un concept lointain…).

Mais techniquement aussi, il reste des trous dans la raquette : les outils de chiffrement sur les PC portables, par exemple, ne sont encore utilisés que par seulement un tiers des entreprises, alors qu’il s’agit d’une mesure de sécurité désormais facile à mettre en oeuvre et très efficace contre la perte ou le vol d’information.

Enfin, plus globalement, la prise en charge des incidents de sécurité régresse : la part des entreprises disposant d’une cellule de gestion des incidents de sécurité passe de 53% (2012) à 45%. Certes, cela est probablement lié à des contraintes budgétaires : selon l’étude bien que les budgets SSI semblent repartir légèrement à la hausse, le poste ayant connu la plus forte augmentation (26%) est celui dédié à l’achat de solutions…

Evidemment, l’étude offre aussi quelques raisons de se réjouir. Ainsi, la classification de l’information, ce vieux serpent de mer, progresse légèrement (+6%). Et les analyses de risque, lorsque l’on y regarde de plus près, sont certes en régression, mais c’est surtout la part des analyses sur un périmètre purement SI qui régresse. Les analyses de risque globales, elles, ont tendance à augmenter et passent de 19 à 21%, ce qui va dans le bon sens d’un décloisonnement en matière de risque.

Plus d’information :
Télécharger l’étude complète sur le site du CLUSIF (format PDF)


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Une réponse à SSI : des trous dans la raquette des entreprises françaises

  1. Gaduc dit :

    Pardonnez-moi si je pouffe.
    Cela fait plus de 20 ans que l’on parle du problème.
    Et encore, les esprits ont évolués dans certains secteurs comme la banque, les assurances. Bref, là où il y a de l’argent et de la réglementation (Bâle II puis III, Sarbanes oxley) les choses avancent.
    Partant, c’est la voie choisie par la LPM : imposer un minimum aux OIV qui n’ont rien fait malgré les annonces, les conférences depuis 4 ans.
    Et ils n’ont rien fait parce que la sécurité n’est PAS la priorité. Pas de priorité donc pas de budget. Tant qu’il ne se passe rien qu’on ne puisse cacher …

    Une étude commandée par BT et publiée en début d’année le montrait (avec le biais inhérent à un échantillon réduit de la population de dirigeants européens et américains) : en Europe on s’en fiche (moins de 50% de dirigeants pensent à la SSI dans leurs investissements pour l’année contre 80% aux US). Lanterne rouge : la France avec 24% !

    Ainsi donc, constater que l’on est toujours à la rue voire même en régression c’est s’époumoner dans le vide, pisser dans un violon, au choix.

    Dans l’industriel et notamment dans le domaine de l’énergie des choses se passent là encore davantage pour préparer le mieux possible des échanges commerciaux avec l’Outre-Atlantique que par fierté nationale.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.