Sécurité : la technologie seule n’est rien !

Comme tous les 2 ans, le Clusif dresse un bilan approfondi des usages en matière de sécurité de l’information en France. Point positif : le nombre d’acteurs de la SSI (Sécurité des Systèmes d’Information) au travers de la mise en place d’organisations et de structures évolue toujours positivement. Pour autant, la « maturité SSI » elle stagne, principalement en raison du manque de budget attribué à la SSI (42% des répondants), et 2 des contraintes organisationnelles.

security system design, vector illustration eps10 graphic

Côté budget, on constate une légère reprise, pondérée par le fait que le poste ayant eu la plus grosse augmentation, cette année encore, est la mise en place de solution, avec 31%. On reste toujours dans la technique : ainsi pour beaucoup la sécurité reste une histoire de mise en place de solution technique… Après une stagnation depuis 2010, le nombre d’entreprises ayant formalisé leur PSI reprend la bonne pente à 69% (+ 5 points vs 2014). La DSI tient une part prépondérante dans la formalisation de la PSI (63% vs 54% en 2014), alors que le RSSI stagne (39% vs 38% en 2014).

La fonction de Responsable de la Sécurité des Systèmes d’Information (RSSI ou RSI) est de plus en plus clairement identifiée et attribuée au sein des entreprises (67%), soit + 181% en 8 ans ! En grande majorité, les RSSI sont rattachés à la DSI (42%), ce qui pose encore la question de son « pouvoir » d’arbitrage… Mais ne vaut mieux-t-il pas un RSSI mal rattaché que pas de RSSI du tout ? La question est toujours ouverte.

Point négatif : 47% des entreprises déclarent encore n’avoir pas classifiées leurs informations sensibles et seules 50% réalisent des analyses de risques sur tout ou partie de leur SI ! La cryptographie est encore peu utilisée (34% en font l’usage) et lorsqu’elle l’est, c’est la DSI qui en a largement le contrôle (76%).

Du côté des technologies de protection, certains outils commencent à être un peu plus généralisés. Par exemple : le chiffrement sur PC portables passe de 33% en 2014 à 43% en 2016, les IPS et IDS passent respectivement à 53% et 64% (vs 40% et 49% en 2014). La formalisation des procédures opérationnelles de déploiement des correctifs de sécurité (patch management) est, en 2016, en régression (59% vs 65% en 2014).

Les PDA, tablettes et smartphones fournis par l’entreprise connaissent encore une augmentation de leur usage (27% ne les autorisent pas vs 34% en 2014). Et l’usage des équipements personnels (BYOD – Bring Your Own Device) recule encore pour arriver 71% d’interdiction (66% en 2014 et 38% en 2012). La sécurité dans le cycle de développement régresse et de fait reste toujours trop insuffisante (prise en compte à 17%, – 7 points vs 2014). Pourtant, il n’est plus à démontrer que nombreux sont les piratages qui utilisent des failles applicatives liées au développement (injection, XSS, etc.).

44% des entreprises ont placé leur SI en tout ou partie sous infogérance (7% en totalité, – 2 points vs 2014) et quand c’est le cas, 30% ne mettent pas en place d’indicateurs de sécurité et 40% ne réalisent aucun audit sur cette infogérance. Après une augmentation vertigineuse entre 2012 et 2014 (+24 points) ; l’utilisation du Cloud augmente encore un peu cette année (+ 4 points à 42%), même s’il représente que 42% des entreprises.

Ces deux dernières années marquent un retour des incidents « logiques » par malveillance : infections par virus (en tête avec 44%, + 14 points), fraudes informatiques et télécoms (11%), chantage ou extorsion informatique (11%), attaques logiques ciblées (7%)… Malgré cela, 49% des entreprises ne disposent toujours pas d’une cellule de collecte et de traitement des incidents de sécurité de l’information…

Près d’un tiers (30%) des entreprises ne prennent pas en compte la continuité d’activité… Sans surprise, l’indisponibilité des ‘systèmes informatiques de gestion’ représente le scénario le plus couvert (58%). Le BIA (Bilan d’Impact sur l’Activité), prenant en compte les attentes des « métiers » régresse légèrement (51%, – 4 points vs 2014). Et pour ceux qui en dispose, 25% des plans « utilisateurs » et 23% des plans « IT » ne sont jamais testés : alors, sont-ils réellement efficients ?…

Le RSSI n’intervient que pour 11% dans les déclarations « CNIL », en 5ème position après le Service Juridique (15%), le Service RH (17%), le CIL (19%) et le DSI (26%). Sur une période de deux ans, 68% (- 3 point vs 2014) des entreprises interrogées ont réalisé au moins un audit ou contrôle de sécurité du Système d’Information. Ces audits sont motivés principalement par le respect de la PSSI (57%), des exigences contractuelles ou règlementaires (35%) ou des exigences externes, comme les assurances ou les clients (29%).

Enfin, les tableaux de bord de la sécurité de l’information (TBSSI) stagnent, restant à 25% ! Pourtant, le TBSSI reste un moyen simple et efficace, pour autant que l’on ait choisi les bons indicateurs, de ‘piloter’ la sécurité de l’information au sein de son entreprise…

Au final, bien que le nombre de RSSI croisse (ce qui est bien), la maturité des entreprises stagne (ce qui l’est moins). La menace est toujours bien présente et l’enquête montre de nouveau que les malveillances et les incidents de sécurité ne faiblissent pas. Le temps des politiques de sécurité « parapluie », que l’on formalise pour se donner bonne conscience, est globalement terminé. Il n’en reste pas moins que les organisations doivent encore (et toujours) évoluer pour atteindre un niveau de maturité suffisant en matière de sécurité de l’information. Il y va de leur survie, au regard des enjeux qu’elles portent et des données dont elles ont la responsabilité.

Et si vous pensez que seule la technologie peut résoudre vos problèmes de sécurité, alors vous n’avez rien compris à la technologie, ni à vos problèmes.

Source : http://www.infodsi.com/articles/163660/securite-technologie-seule-est-rien.html

Comments are closed.