Forte hausse des incidents de sécurité en entreprise selon le Clusif

Le Clusif observe une recrudescence des incidents qu'ils soient d'origine criminelle ou liés aux pannes. Avec la multiplication des terminaux mobiles, le nombre de vols de matériel s'envole aussi.
Depuis deux ans, le nombre d’incidents de sécurité informatique est en forte hausse dans les entreprises françaises de plus de 200 salariés selon l’étude MIPS, Menaces informatique et pratiques de sécurité en France, du Club de la sécurité des systèmes d’information français (Clusif).
Au cours de l’année passée, 39 % des répondants ont subi une perte de services essentiels, autrement dit une coupure de climatisation ou d’électricité affectant leur datacenter (+13 % comparé à l’étude 2012). 35 % ont eu à déplorer des pannes matérielles d’origine interne (+10 %). Enfin, 37 % ont été victime de vols ou de disparitions de matériel informatique (+18 %). Une forte hausse qui s’explique, sans doute, par la croissance du nombre de terminaux mobiles comme les tablettes.
Les attaques logiques ciblées ont, quant à elles, augmenté de 8 % pour toucher 11 % des entreprises. Si ce chiffre parait élevé, il est très inférieur aux estimations américaines et parait donc sous-estimé. 51 % des sociétés outre-Atlantique subiraient ainsi tous les ans une attaque ciblée, chiffre qui parait plus plausible sachant qu’« aux États-Unis, toutes les organisations ont l’obligation de déclarer les attaques dont elles sont victimes », explique Lionel Mourer, administrateur du Clusif. Les attaques logiques visent une entreprise en particulier via des virus, des chevaux de Troie ou des dénis de services.
Bonne nouvelle : suite à un indicent, de plus en plus de sociétés portent plainte, même si elles restent peu nombreuses à le faire. En 2014, 15 % auraient ainsi porté plainte contre 6 % en 2012.

Plus de RSSI mais aux moyens limités
Pour faire face à ces multiples incidents, qui sont loin d’être tous d’origine criminelle, les entreprises se dotent de plus en plus souvent de RSSI (responsable de sécurité des systèmes d’information), mais lui donne des moyens limités. En 6 ans, le nombre de RSSI a ainsi presque doublé surtout dans les entreprises de 200 à 500 salariés, les entreprises de plus de 1000 salariés ont souvent déjà mis en place des équipes de RSSI. 72 % de ces dernières déclarent ainsi en avoir un.
Mais dans un contexte économique difficile, le budget sécurité est en stagnation pour plus de la moitié des entreprises (54 %) et en augmentation dans 27 % des organisations. Et la part du budget sécurité dans les budgets informatiques des entreprises est en diminution. Or, les problèmes budgétaires sont le premier frein à la mise en place d’éléments de sécurité de l’information. Très peu de structures ont ainsi mis en place des indicateurs ou des tableaux de bord liés à la sécurité. « Difficile de piloter la sécurité de l’information dans ces conditions », déplore Lionel Mourer

Oui au BYOD, non aux réseaux sociaux
Niveau BYOD et réseaux sociaux, les entreprises semblent de plus en plus matures. « Le BYOD dont on parlait beaucoup il y a deux ans se porte moins bien » explique Lionel Mourer. En 2012, 38 % des entreprises interdisaient l’accès au système d'information depuis des tablettes ou smartphones personnels. En 2014, elles sont 66 % à l’interdire. « Certaines structures obligent la mise en place de mot de passe sur les terminaux personnels », complète Lionel Mourer. Au contraire, les réseaux sociaux sont plus accessibles qu’avant par les salariés. En 2012, 64 % n’y avaient pas accès contre 46 % cette année. Les entreprises se sont rendu compte que ces médias leur rapportaient quelque chose. « Les entreprises brident moins, mais intègrent beaucoup d’éléments liés aux réseaux sociaux dans leur charte informatique », explique Lionel Mourer.
Au final, les entreprises considèrent leur dépendance à l’informatique non négligeable dans la quasi-totalité des structures. Elles sont même 77 % à trouver qu’elles en dépendent fortement. 27 % des structures n’ont pourtant mis en place aucun plan de continuité d’activité (PCA). Or, un PCA permet à l’entreprise de poursuivre son activité même lors d’un gros incident informatique. Et, un quart des organisations qui ont un PCA ne le teste jamais. La marge de progression des entreprises en matière de sécurité reste importante.