La sécurisation des systèmes d’information reste partielle

Cloud

Malgré la prise de conscience des entreprises, leurs plans d’action demeurent insuffisants, estime le Clusif.

“Au-delà de la prise de conscience qui semble bien réelle, la professionnalisation des pratiques n’est pas encore la règle, loin de là: la veille sur les menaces est partielle, les plans de continuité, quand ils existent, ne sont pas toujours testés, et les tableaux de bord sont encore quasi-inexistants”, déplore le Clusif (Club de la sécurité de l’information français) dès l’éditorial de son dernier état des lieux des politiques de sécurité et de la sinistralité en France en 2005 (document PDF). L’association s’étonne de ses propres conclusions alors que son enquête démontre que “les incidents et les malveillances existent et sont bien réels, avec une présence toujours active des attaques virales, un développement du vol de matériel, et surtout des problèmes de divulgation d’information, des attaques logiques ciblées ou des fraudes en quantités non négligeables.

A partir d’un échantillon de plus de 400 entreprises, elle relève toutefois que les budgets consacrés à la sécurité sont en hausse pour 38% des sociétés interrogées et stables pour 46% d’entre elles, et ce même si le retour sur investissement des projets reste souvent jugé trop faible pour justifier leur mise en oeuvre. Reste que les entreprises de l’Hexagone ont souvent une connaissance trop parcellaire de leurs actifs pour pouvoir gérer les risques posés, selon le Clusif. Seule la moitié des organisations interviewées ont ainsi réalisé un inventaire total des actifs de leur système d’information, se limitant pour la plupart au hardware, aux logiciels et aux bases de données et excluant le personnel ou d’autres actifs immatériels tels que l’image ou la réputation.

Les antivirus, les antispam et les solutions de pare-feu sont les outils les plus fréquemment déployés en entreprise, contrairement aux systèmes de prévention et de détection d’intrusion ou encore aux outils de chiffrement dont l’utilisation reste pour l’heure plus marginale.

Politique de sécurité de l’information et charte pour améliorer la sécurité

Les auteurs de ce rapport considèrent que la mise en oeuvre d’une PSI (politique de sécurité de l’information) est un élément clef pour la bonne “gouvernance” des systèmes d’information. Là encore, des progrès sont palpables puisque 56% des entreprises interrogées sont dotées d’une PSI même si celle-ci ne repose sur aucune norme ou méthode spécifique pour 48% d’entre elles. De même, 55% des entreprises sont aujourd’hui dotées dune charte sécurité, avec la mise en oeuvre de programme de sensibilisation des salariés pour 37% d’entre elles.

Pour l’heure, les entreprises ont surtout recours à l’interdiction des technologies dont elles jugent qu’elles posent un risque de sécurité, une approche qui risque d’être difficilement tenable à terme. 76% interdisent l’accès à leurs webmails ou Intranet à partir de postes “non maîtrisés”, tandis que 73% bannissent la vois sur IP, 56% le Wi-Fi, 43% les PDA ou les smartphones et 20% l’accès externe au SI à partir d’un PC même si celui-ci a été fourni par l’entreprise.


Lire la biographie de l´auteur  Masquer la biographie de l´auteur