Sécurité : des menaces bien comprises, mais des budgets en baisse selon le Clusif
Le Clusif a livré l'édition 2010 de son enquête sur les « menaces informatiques et les pratiques de sécurité ». Entreprises, Hôpitaux et internautes sont au menu de cette étude. Si les menaces sont bien comprises, la mise en place de solutions reste faible.
Le Club de la Sécurité de l'Information Français (Clusif) a publié son enquête, réalisée tous les deux ans, sur les menaces informatiques et les pratiques de sécurité (MIPS). Pour cette étude, il a interrogé 350 entreprises, 151 hôpitaux et 1000 internautes. Ce spectre large permet d'avoir une vision globale de l'appréhension des questions de sécurité aussi bien dans le monde professionnel, que dans la vie quotidienne.
Problèmes budgétaires pour les entreprises
Si la prise de conscience des problématiques de sécurité au sein des entreprises ne fait aucun doute, le passage à l'acte relève d'un exercice plus difficile. Côté points positifs, 73% des sociétés interrogées disposent d'une PSSI (politique de sécurité des systèmes d'information), soit une progression de 14% par rapport à l'étude de 2008. Bon point également sur l'existence d'une charte de la sécurité des systèmes d'information ou SSI (67% en hausse de 17% par rapport à 2008). Le nombre de responsables affectés aux questions de sécurité est en croissance également.
Ceci dit, le Club constate une réduction des budgets qui leurs sont alloués. Ces derniers sont d'ailleurs prioritairement orientés vers la mise en place de moyens techniques, plus que sur la sensibilisation des utilisateurs.
En matière technologique, l'anti-virus, le pare-feu et l'anti-spam restent largement en tête des solutions. Les systèmes de détection d'intrusion arrivent à maturité avec une intégration dans 34% des entreprises (+11%). Les mécanismes de chiffrement, le NAC (contrôle d'accès au réseau), ainsi que le DLP (blocage des fuites d'information) peinent à se déployer.
Si plusieurs éléments sont positifs comme la gestion des mots de passe (SSO et Web SSO) ou la mise à jour des correctifs des éditeurs, le Clusif souligne que 33% des entreprises ne disposent pas d'un plan de continuité d'activité en cas de crise.
L'Hôpital est un bon élève
Par ailleurs, l'association a réalisé un focus particulier sur le secteur de la santé. Après plusieurs évolutions réglementaires et de changement de structure, comme ...
... l'Agence des Systèmes d'Information Partagés de santé (ASIP), les directions informatiques des hôpitaux sont de plus en plus convaincues que la sécurité est une valeur à partager lors de la mise en place d'un projet de ce type avec le personnel médical.
La sécurité s'est personnalisée à travers les responsables sécurités des systèmes d'information (RSSI), qui cumulent souvent leur fonction avec celle de Correspondant Informatique et Libertés (CIL). En 2009, une quinzaine de RSSI hospitaliers existaient et travaillaient sur deux problématiques : l'identifiant patient (dans le cadre du Dossier Medical Personnel) et la gestion des appareils biomédicaux.
Si la plupart des établissements de santé ont adopté des politiques de sécurité et des chartes restreignant ainsi certains accès, ils succombent aux besoins de nomadisme (PDA ou smartphone allant de chambres en chambres, besoin de WiFi).
Résultat, sur le plan de l'équipement anti-viral, les hôpitaux sont mieux lotis que les entreprises, mais ils demeurent vulnérables. En effet, l'année 2010 a été marquée, notamment, par l'infection massive du vers « Confiker ». Ce malware a infecté près de la moitié des CHU de France avec parfois des interruptions de service quasi-totales pendant des durées pouvant aller jusqu'à 3 semaines.
L'internaute inquiet de ses données personnelles
La perception de la menace (spam, phishing, intrusion, virus, etc.) est en très lègère diminution. Est-ce que cela implique une baisse de la vigilance ? Non, il y a eu un transfert vers une autre menace, la protection de la vie privée, pour 73% des sondés contre 60% en 2008.
On constate aussi que la peur du paiement en ligne diminue. En effet, 90% des internautes acceptent de le faire, 68% sont attentifs à certaines conditions (https, notoriété du site, label de confiance).
En revanche, des efforts sont encore à réaliser sur les comportements personnels. Seuls 5% d'entre nous protègent leur ordinateur avec un mot de passe. Ils sont en revanche 90% à déployer les mises à jour de sécurité de manière automatique ou manuelle.
