Stagnation de la sécurisation des entreprises françaises, selon une enquête du Clusif
La sécurisation des entreprises semble avoir peu évolué depuis l'enquête précédente du Clusif, réalisée il y a un an. L'étude pointe des dispositifs de sécurité et les réflexes qui pourraient élever le niveau de protection des entreprises. C'est une somme que vient de livrer le Clusif (Club de la sécurité de l'information français) avec son enquête 2008 sur la sécurité des entreprises françaises. Le document comporte 84 pages et porte sur les entreprises de plus de deux cent personnes ainsi que sur les collectivités locales. Pour Laurent Bellefin, patron de l'activité sécurité du groupe Solucom, qui préface l'enquête, « Cette édition 2008 fait ressortir un inquiétant sentiment de stagnation. Depuis 2006, il semble bien que la mise en application concrète des politiques de sécurité soit restée un voeu pieu. 40 % des entreprises ne disposent toujours pas de plan de continuité d'activité pour traiter les crises majeures, contre 42 % en 2006. Et 30 % d'entre elles disent ne pas être en conformité avec la Loi Informatique et Liberté ». Une entreprise sur deux a défini sa politique de sécurité Seulement la moitié des entreprises a mis en oeuvre une Politique de Sécurité de l'Information (PSI). Les chiffres ont peu évolué par rapport à 2006. Toutefois, on observe un recul assez net (moins 6 % par rapport à 2006) pour les grandes entreprises, même si elles restent les plus avancées. Ce recul peut s'expliquer par une meilleure compréhension du terme PSI. Ce dernier n'est plus perçu comme faisant référence à un document « simpliste », mais à un « cadre complet » intégrant la prise en compte des risques métiers, un document « chapeau » et « d'applications », des procédures complètes allant vers le SMSI, la fameuse console de gestion de la sécurité. Une moitié des entreprises s'appuie alors sur une norme. Les normes ISO 2700x (ou ISO 17799) arrivent en tête, en particulier dans les grandes entreprises (32 % d'entre elles utilisent l'ISO), avec toutefois un recul de 11 % par rapport à 2006. L'ampleur des chantiers mal perçue par les directions générales Il existe également des « cadres métiers » spécifiques à certains secteurs comme la santé ou des industries permettant de formaliser des bonnes pratiques. C'est le cas pour 22 % des entreprises. Dans 95 % des cas, la PSI est soutenue explicitement par la direction générale de l'entreprise (59 % en totalité, 36 % en partie). Ce qui semble refléter la volonté de doter l'entreprise d'une vraie culture de la sécurité des systèmes d'information. Mais trop souvent, les directions générales perçoivent mal ... ... l'ampleur des chantiers à lancer pour que ces politiques soient mises en application, et elles ne dégagent pas les moyens ni l'énergie nécessaires à cette mise en application. Une indépendance grandissante vis-à-vis du DSI Coté équipes sécurité, le RSSI (Responsable de la sécurité des systèmes d'information) lorsque son poste a été créé est rattaché à la direction générale dans 45 % des cas (+ 6 % par rapport à 2006) et 32 % à la DSI (- 9 % par rapport à 2006). L'évolution vers une relative indépendance du RSSI par rapport à l'informatique se poursuit, 68 % des RSSI n'y étant plus rattachés. Par ailleurs, il n'y a pas d'équipe assignée en permanence à la sécurité de l'information dans 43 % des entreprises. S'il y a une équipe permanente dédiée à la sécurité, elle comprend de 1 à 2 personnes pour 41 % des entreprises, 3 à 5 personnes pour 12 % des cas et ne dépasse 5 personnes que dans 2 % des cas. L'analyse des risques à la traîne A peine 30 % des entreprises réalisent une analyse des risques liés à la sécurité de leur système d'information. Le chiffre monte à 60% si l'on prend en compte celles qui effectuent des analyses de risque partielles. Et elles utilisent ces travaux pour définir leurs priorités dans le domaine de la sécurité des systèmes d'information pour 41 % d'entre elles. L'utilisation de méthodes rigoureuses d'analyse de risques est encore peu répandue. La prise en compte des risques pour les nouveaux projets informatiques n'est systématique que pour 36 % des entreprises. Sécuriser les nouvelles technologies en les interdisant On constate que les nouvelles technologies qui induisent des risques de sécurité se voient souvent interdites. Les smartphones par exemple sont plus souvent interdits qu'en 2006 par les entreprises qui veulent reprendre la main sur leur gestion. Pour ce qui concerne plus globalement la mobilité, les mesures de sécurité tiennent au contrôle de la sécurité périmétrique, et font appel aux technologies habituelles comme l'authentification forte ou le chiffrement (SSL, IPSec). Mais le pourcentage des entreprises utilisant ces technologies reste assez faible. La protection du terminal lui-même est très faible malgré l'occurrence régulière de vols ou pertes. Seulement 14 % des entreprises chiffrent les données locales. Pour revenir aux smartphones, les solutions de sécurité ... ... y sont très peu déployées : 19% seulement sont équipés d'antivirus. Côté mobilité interne, le Wifi progresse avec des solutions de sécurité plus solides. Le Wifi n'est plus interdit que par 44% des entreprises (contre 55% en 2006). Les évolutions des normes ont permis de mettre en place des points d'accès mieux sécurisés par authentification et chiffrement. 70% des entreprises utilisent une authentification renforcée et 43 % le chiffrement des échanges. L'antispam progresse, l'IDS et l'IPS régressent Les anti-virus et les pare-feux sont banalisés et partout. 30% des entreprises déclarent avoir été victimes d'attaques virales. Les logiciels antispam sont en forte progression pour se rapprocher rapidement d'une utilisation quasi-systématique. L'usage des IDS et IPS reste stable, voir légèrement en régression. Il faut dire que les IDS nécessitent une expertise et du temps et que les fonctions d'IPS sont de plus en plus intégrées aux nouvelles générations de pare-feux. La mise en place d'une console de gestion de la sécurité (SIM) reste complexe. 10% des plus grandes entreprises prévoient ce projet pour 2008. Côté sécurisation du poste de travail, on se dirige vers des suites complètes comprenant antivirus, pare-feu, gestion des ports, etc. L'usage du pare-feu personnel progresse globalement, et plus systématiquement sur les ordinateurs portables. Le chiffrement des données ne progresse pas. Cela est dû à la difficulté de chiffrer des données partagées, qui impose une classification des informations et des processus organisationnels pour gérer les clés de chiffrement et les droits d'accès aux données chiffrées. L'apparition de la biométrie Le contrôle des accès logiques est peu déployé, et semble ne pas avoir progressé depuis deux ans, alors que le nomadisme s'est considérablement accéléré. Cette absence d'évolution du contrôle d'accès est préoccupante. Côté authentification, la très grande majorité des entreprises n'utilise toujours pas d'authentification forte ni n'envisage de l'expérimenter. On constate l'apparition de la biométrie : 4 % des entreprises l'utilisent largement et 8 % sont en cours d'expérimentation. L'utilisation de certificats logiciels se renforce légèrement (5 % d'entreprises en plus les ont largement adopté, avec un volume constant d'entreprises en cours d'expérimentation). On reste loin d'une adoption massive puisque la moitié des entreprises n'envisagent toujours pas de passer le pas. Les entreprises de 500 à 1000 salariés pionnières De manière surprenante, les entreprises pionnières en la matière se trouvent dans la tranche de 500 à 1000 salariés. Elles sont par exemple 19 % à utiliser largement des certificats logiciels, et 15 % des certificats sur support matériel (carte à puce, clé USB cryptographique). Les secteurs financiers et des services témoignent d'une avance ... ... sur les autres secteurs d'activité : leader sur le déploiement des dispositifs d'authentification forte, il n'y a que pour la biométrie où les transports et les télécoms envisagent davantage d'étudier cette solution. La gestion des habilitations en panne 6 entreprises sur 10 n'ont pas de gestion par rôle ou par profil métier et n'envisagent pas de s'en doter, comme dans le modèle RBAC (Role Based Access Control). Il est à craindre que ces entreprises ne puissent rationaliser leurs processus de gestion de droits. En revanche, celles qui ont mis en place un tel modèle semblent avoir poursuivi leur logique en renforçant leurs outils de gestion : dans un premier temps, par la mise en place en cours d'un workflow de validation des habilitations voire pour les plus avancées par la mise d'un système de distribution automatique des droits (provisioning). Peu d'entreprises envisagent de renforcer leur gestion des habilitations en 2008. Ce qui surprenant, puisque les évolutions légales et réglementaires (Loi sur la Sécurité Financière, Sarbanes- Oxley, etc.) tendent à augmenter le niveau d'exigence en matière de traçabilité et de maîtrise des droits d'accès. Le SSO a peu convaincu Les dispositifs de Single Sign-On (SSO et Web SSO) peinent eux aussi à séduire les entreprises. Plus des trois-quarts des entreprises n'envisagent toujours pas de telles solutions qui apportent pourtant un réel confort aux utilisateurs, facilitant ainsi le respect de politiques de mots de passe plus strictes. Par ailleurs, côté veille concernant les nouvelles failles de sécurité, 59 % des entreprises disent réaliser une veille systématique ou partielle. Les grandes entreprises déclarent plus souvent réaliser une veille systématique, Ce chiffre reste à peu près stable par rapport à 2006. Les entreprises n'ont globalement pas renforcé leur vigilance vis-à-vis des menaces. Les postes de travail mieux protégés que les serveurs Près de la moitié des entreprises formalisent les procédures de déploiement des correctifs. Les entreprises de plus de 1000 salariés sont les plus avancées en la matière. Parmi celles qui ont mis en place des procédures de déploiement des correctifs, 86 % des entreprises réalisent les déploiements en moins d'une journée. Le CLUSIF constate que si la pratique de déploiement des correctifs est maintenant assez courante pour les postes de travail, elle reste peu répandue pour les serveurs. Les entreprises ne déposent pas plainte Près de 60% des entreprises ne disposent pas d'une équipe consacrée à la gestion des incidents de sécurité d'origine malveillante. Pour les entreprises qui assurent un suivi, un tiers possèdent une cellule dédiée à la sécurité. Pour les deux tiers restants, une cellule existe mais elle traite également d'autres fonctions d'exploitation. Le taux de dépôt de plainte est quant à lui absolument stable, aux alentours de 5 % des entreprises alors que l'on constate que nombre d'entre elles ont rencontré des incidents méritant vraisemblablement des suites judiciaires. Dernier constat, seulement 28 % des entreprises procèdent à une évaluation de l'impact financier des incidents de sécurité.