Les entreprises sous-estiment la sécurité

Cloud

L’institut Louis Harris publie une enquête sur la sécurité des réseaux au sein des entreprises françaises. Il en ressort une certaine méconnaissance des risques potentiels liés aux attaques via Internet. Seule une minorité des entreprises ont mis en place une vraie stratégie de sécurisation en y consacrant un budget important et du personnel qualifié.

Les entreprises françaises ne sont toujours pas capables d’assurer une réelle sécurité sur leurs réseaux. C’est du moins ce qui ressort d’une étude publiée par l’institut Louis Harris, à la demande de Nokia, sur la sécurité des réseaux informatiques dans les entreprises françaises de plus de 50 salariés. L’étude qui portait sur 300 entreprises et qui a été réalisée entre septembre et octobre 2000 dresse un constat sévère sur la sécurité en France.

Des besoins difficiles à identifier

Si 77 % des DSI interrogés reconnaissent la nécessité d’une stratégie de sécurité, 66 % éprouvent des difficultés à identifier précisément leurs besoins. De ce fait, seule une minorité des entreprises (banque et finance) ont mis en place une vraie stratégie de sécurisation des réseaux en y consacrant un budget et du personnel qualifié. Pour les autres, cette stratégie reste soit insuffisante, soit tout simplement inexistante. Une des raisons évoquées est la sous-estimation des risques. Selon beaucoup de DSI, les risques proviendraient plus d’une défaillance technique que d’une malveillance.

Pourtant, la majorité des entreprises ont déjà fait l’expérience d’une atteinte à la sécurité de leurs informations. 70 % d’entre elles ont rencontré dans les deux dernières années au moins une faille dans leur sécurité, et pour 14 % d’entre elles, le problème était sérieux, voire très sérieux. Mais seulement 54 % des entreprises ayant rencontré ce type de problème avaient un plan d’action pour y faire face, et 43 % d’entre elles n’ont pas modifié leurs procédures de sécurité en conséquence. En général, le personnel est formé aux procédures de sécurité des systèmes installés dans seulement 39 % des entreprises, et il est simplement informé de ces procédures dans 46 % des entreprises.

Beaucoup d’entreprises gèrent elles-mêmes la sécurité de leur réseau

Les entreprises utilisent massivement les antivirus (94 %), les mots de passe (91 %) et les procédures de sauvegarde (88 %), mais beaucoup négligent par exemple la mise à jour régulière des antivirus ou acceptent des mots de passe très faciles à deviner (prénoms, etc.). Les firewalls (67 % des entreprises) et les solutions de cryptographie/VPN ne sont utilisés que dans 33 % des cas car cela demande des compétences élevées en interne.

Beaucoup d’entreprises, même si elles ne sont pas qualifiées dans le domaine de la sécurité, préfèrent gérer la sécurité de leur réseau en interne. Les prestataires externes sont ainsi cantonnés à des fonctions d’information ou de conseil.

La part du budget de l’entreprise consacrée à la sécurité des réseaux illustre clairement ce manque de connaissance dans ce domaine. 67 % des entreprises ont ainsi un budget annuel pour leur sécurité ne dépassant pas 150 000 francs et 33 % ont un budget inférieur à 30 000 francs.