Le Clusif dresse un constat mitigé de la sécurité des SI
L'édition 2005 de l'étude du Clusif sur la sécurité des systèmes d'information français souligne bien des avancées par rapport à 2004 mais relève encore d'importantes lacunes.
Le Clusif vient de publier l'édition 2005 de son étude sur les politiques de sécurité et sinistralité des systèmes d'information français. Dès l'éditorial, les critiques pleuvent : « les approches restent encore souvent partielles. Les budgets n'augmentent pas aussi vite que l'on pourrait l'imaginer, et les projets piétinent encore. [...] la professionnalisation des pratiques n'est pas encore la règle, loin de là; la veille sur les menaces est partielle, les plans de continuité, quand ils existent, ne sont pas toujours testés, et les tableaux de bord sont encore quasi inexistants. » Le texte concède tout de même une « prise de conscience qui semble bien réelle » mais s'inquiète de ce que l'enquête « montre bien que les incidents et les malveillances existent et sont bien réels, avec une présence toujours active des attaques virales, un développement du vol de matériel et surtout des problèmes de divulgation d'information, des attaques logiques ciblées ou des fraudes en quantités non négligeables. » De fait, 75 % des entreprises interrogées estiment être fortement dépendantes de leur système d'information mais seulement 31 % des entreprises consacrent moins de 3 % de leur budget informatique à la sécurité. Seules 38 % des entreprises sondées ont fait progresser leur budget sécurité en 2005. La situation est moins bonne dans les mairies des communes de plus 50 000 habitants - 40 % consacrent à la sécurité moins de 3 % de leur budget informatique - et seules 24 % des mairies sondées ont fait progresser leur budget sécurité en 2005. Il en va globalement de même dans les hôpitaux - 36 % des établissements sondés consacrent moins de 3 % de leur budget informatique à la sécurité - mais 34 % des sondés ont fait progresser leur budget sécurité l'an passé. Le manque de budget explique majoritairement la faiblesse des efforts : il est évoqué par 37 % des entreprises, 42 % des mairies et 40 % des hôpitaux. Plus inquiétant, les lacunes de compétences sont avancées en seconde position, à 25 % pour les entreprises et les mairies contre 20 % pour les hôpitaux. Les contraintes organisationnelles viennent en troisième place, à 20 % pour les entreprises et les hôpitaux, et 22 % pour les mairies. Les chartes de sécurité sont définies dans 49 % des entreprises de 200 à 499 salariés, contre 56 % de 500 à 999 salariés et 75 % dans les grands groupes. Dans 50 % des mairies et 59 % des hôpitaux, les politiques de sécurité ne sont pas formalisées. Au final, le Clusif estime que le « travail de sensibilisation doit être poursuivi, de même que la mise en place de systèmes complets de gestion de la sécurité de l'information, basées sur des normes reconnues telles que l'ISO 177799 et l'ISO 27001. »