En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 20/03/2018
    IT & IT Security Meetings 2018

    IT Meetings devient IT & IT Security Meetings et ouvrira ses portes en mars pour…

    en détail En détail...
  • 23/01/2018
    FIC 2018

    Pour son 10ème anniversaire, le Forum International de la Cybersécurité (FIC) réunira l’ensemble des acteurs…

    en détail En détail...
Appels d'offres en cours
  • Création d'un E-commerce WordPress pour un leader de l'hospitalisation privée
    A déterminer €
    > En savoir plus
  • Création d'un site vitrine pour une entreprise de prestations de services
    <1 000 €
    > En savoir plus
  • Création d'un site vitrine pour un courtier en assurance
    < 1 200 €
    > En savoir plus
ITrust_SOC_leaderboard

Menaces et pratiques de sécurité en France : la maturité des entreprises stagne

ITrust_SOC_pave

Comme tous les deux ans, le Club de la Sécurité de l’Information Français fait le point sur la sécurité dans les entreprises françaises. Solutions, rôle du RSSI, formation : il y a du bon et du moins bon dans son rapport, comme si les entreprises ne pouvaient pas courir tous les lièvres à la fois…

Le Club de la Sécurité de l’Information Français, alias le Clusif, a rendu son rapport MIPS 2016 (Menaces informatiques et pratiques de sécurité en France) qui présente les tendances et faits marquants des politiques de sécurité, des incidents de sécurité et des pratiques mises en place par les entreprises de plus de 200 salariés. Cette enquête se veut être une référence de par la taille et la représentativité des échantillons d’entreprises (334 ont répondu) interrogés. Par ailleurs, elle se veut relativement exhaustive, en prenant, pour la première fois cette année, l’ensemble des 14 thèmes de la norme ISO 27002:2013, relative à la sécurité des systèmes d’information.

Le RSSI fait son trou

Du côté des entreprises, l’étude note un point positif : « le nombre d’acteurs de la sécurité des systèmes d’information (SSI) au travers de la mise en place d’organisations et de structures évolue toujours positivement », indique-elle. Mais le Clusif fait remarquer que la « maturité SSI » ne progresse pas, en raison du manque de budget attribué à la SSI (42 % des répondants), et des contraintes organisationnelles. Le budget augmente légèrement, mais toujours selon une vision « technique » avec un investissement côté solution (31 %).

MIPS 2016

MIPS 2016 – part budget sécurité

MIPS 2016

MIPS 2016 – Principaux freins aux missions sécurité

Le nombre d’entreprises ayant formalisé leur politique SI reprend la bonne pente à 69 % (+ 5 % vs 2014). La DSI tient une part prépondérante dans sa formalisation (63 % vs 54 % en 2014), alors que le RSSI stagne (39 % vs 38 % en 2014). Le Clusif constate également que la fonction de Responsable de la Sécurité des Systèmes d’Information (RSSI ou RSI) « est de plus en plus clairement identifiée et attribuée au sein des entreprises (67 %), soit + 181 % en 8 ans »

A qui sont rattachés les RSSI ? A la DSI (42 %), « ce qui pose encore la question de son « pouvoir » d’arbitrage… Mais ne vaut mieux-t-il pas un RSSI mal rattaché que pas de RSSI du tout ?», interroge le Clusif.

Le retour des incidents par malveillance

Concernant les ressources humaines, les chartes sont maintenant bien déployées et la sensibilisation ne subit pas de grand mouvement en dehors de celle des VIP en net recul. Reste que 47% des entreprises n’ont pas classifiées leurs informations sensibles, et elles ne sont que la moitié à réaliser des analyses de risques sur tout ou partie de leur SI.

Ces deux dernières années marquent un retour des incidents « logiques » par malveillance : infections par virus (en tête avec 44 %, + 14 points), fraudes informatiques et télécoms (11 %), chantage ou extorsion informatique (11 %), attaques logiques ciblées (7 %)…

Mais visiblement, les entreprises n’en tirent pas de leçon concrète. La moitié (49 %) d’entre elles ne collecte ni ne traite ces incidents de sécurité. Près d’un tiers (30%) ne prend pas en compte la continuité d’activité…

Le patch management en régression

Quelles solutions de sécurité sont mises en place ? Le chiffrement sur PC portables passe de 33 % en 2014 à 43 % en 2016, les IPS et IDS passent respectivement à 53 % et 64 % (vs 40 % et 49 % en 2014). La formalisation des procédures opérationnelles de déploiement des correctifs de sécurité (patch management) est, en 2016, en régression (59 % vs 65 % en 2014). La cryptographie est encore peu utilisée (34 % en font l’usage).

MIPS 2016 -

MIPS 2016 – Les contrôle d’accès

L’interdiction de l’usage des équipements personnels (BYOD – Bring Your Own Device) augmente encore pour arriver à 71 % d’interdiction (vs 66 % en 2014 et 38 % en 2012). La sécurité dans le cycle de développement régresse et de fait reste toujours trop insuffisante (prise en compte à 17 %, – 7 points vs 2014). « Pourtant, il n’est plus à démontrer que nombreux sont les piratages qui utilisent des failles applicatives liées au développement (injection, XSS, etc.) », souligne le Clusif.

Le SI en infogérance, sans audit

44 % des entreprises ont placé leur SI en tout ou partie sous infogérance (7% en totalité, – 2 points vs 2014) et quand c’est le cas, 30 % ne mettent pas en place d’indicateurs de sécurité et 40 % ne réalisent aucun audit sur cette infogérance !Après une augmentation vertigineuse entre 2012 et 2014 (+ 24 points), l’utilisation du Cloud augmente encore un peu cette année (+ 4 points à 42%), même s’il ne représente que 42 % des entreprises.

L’audit interne recule

68 % des entreprises interrogées ont réalisé au moins un audit ou contrôle de sécurité du Système d’Information sur une période de 2 ans, soit 3 % de moins qu’en 2014. Ces audits motivés principalement par le respect de la Politique de sécurité du SI (57 %), des exigences contractuelles ou règlementaires (35%) ou des exigences externes, comme les assurances ou les clients (29%). Enfin, le rapport montre que l’utilisation des tableaux de bord de la sécurité de l’information (TBSSI), un bon moyen de piloter la sécurité de l’information, stagnent, restant à 25%.

« Au final, bien que le nombre de RSSI croisse (ce qui est bien), la maturité des entreprises stagne (ce qui l’est moins) », conclut le Clusif

Auteur : Juliette Paoli

Menaces et pratiques de sécurité en France : la maturité des entreprises stagne
Notez cet article

Laisser un commentaire

Threat Intelligence Report

À travers sa plateforme de cyberveille mondiale, NTT Security analyse 40 % du trafic Internet dans le monde. Découvrez le dernier rapport du centre mondial de cyberveille (Global Threat Intelligence Center) sur l’état des menaces au troisième trimestre 2017

Lire le rapport

Sondage

Noël : quel cadeau High tech pour vous même ou vos proches? (3 choix possibles)

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Aides d'État: la Commission assigne l'Irlande devant la Cour de justice pour non-récupération des 13 milliards € d'avantages fiscaux perçus illégalement par Apple

    La Commission européenne a décidé d'assigner l'Irlande devant la Cour de justice de l'UE pour…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Evolution des données : les prévisions 2018 pour les DSI, selon NetApp

    Les prévisions de NetApp se catalysent autour de la data, nouvel or noir de l’économie numérique.…

    > En savoir plus...
Etudes/Enquêtes
  • Cybersécurité : en 2018, des outils encore plus destructeurs

    Après une année marquée par des attaques informatiques de grande ampleur, 2018 promet d'être faste…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

elo_processus pointe_skyscraper
Agenda
livres blancs
Les Livres
Blancs
BlueMind_Nouvelle version_skycraper