Evaluer les dégâts
subis par les systèmes d'information pendant
l'année 2001, et rendre compte de la prévention
et la perception des risques dans toutes les entreprises
francaises: tel est l'objectif de l'étude
ambitieuse du Clusif
"sur la sinistralité informatique en France".
Elle dresse un état des lieux pertinent de la
sécurité des réseaux, des matériels
et des applicatifs en France, dont on peut dégager
trois tendances.
Premier constat :
l'ouverture sur l'extérieur des systèmes
d'information francais est modérée, ce
qui rend sa vulnérabilité aux attaques
extérieures moins grande que dans d'autres pays.
Seule la moitié des entreprises sondées
ont un site Web, 40 % seulement utilisent la
messagerie
electronique, et 37 % environ disposent de l'Internet
et de l'Intranet. Pour l'essentiel, les sociétés
françaises - dont 67 % s'estiment très
dépendantes de leur système d'information
- axent donc leurs efforts sur la protection physique
des ordinateurs, et la prévention des deux dangers
les plus courants : la panne interne, et la perte
de service essentiel. Ce qui explique que 81 %
d'entre-elles aient mis en place un onduleur, et 51 %
un dispositif anti-incendie. La protection contre les
virus est néanmoins bien répandue, puisque
96% des ordinateurs sont protégés. Les
virus représentent le troisième danger
objectif auxquelles les entreprises sont confrontées.
Quant aux pare-feux, ils sont loin derrière,
avec un taux d'équipement de 31% seulement.
Des
efforts, à renouveler
Deuxième constat
: le problème de la sécurité a
été pris à bras le corps par les
responsables informatiques. Les entreprises qui comptent
entre 10 et 200 salariés ont affecté 1,2
emploi à temps plein aux problématiques
de sécurité. Ce chiffre ne fait que croître
avec la taille de l'entreprise, puisque les sociétés
de plus de 1 000 personnes consacrent en moyenne
7,7 "équivalents temps plein" à
cette fonction. De même, 30 % des entreprises
ont défini une politique de sécurité
globale, et les budgets de sécurité sont
en hausse dans tous les secteurs. Pourtant, de gros
efforts restent à faire dans le domaine de l'évaluation
des risques. Les entreprises perçoivent en effet
mal le type de danger auxquels elles sont confrontées,
et elles sont dans 94 % des cas incapables de dire
ce que les sinistres informatiques qu'elles ont subi
ont pu coûter. Nous ne saurions donc trop conseiller
la lecture du rapport
du Clusif, qui apporte une réponse à la
première de ces deux questions. Une bonne vision
des coûts et des problèmes est en effet
indispensable pour prendre les bonnes décisions
en matière de sécurité.
La
confiance règne
Troisième constat
: la confiance des dirigeants en leur système
d'information est toutefois en nette progression. 25 %
des entreprises se disent très bien protégées
en 2 001, contre 14 % en 2000. Cette embellie
est sans doute à mettre sur le compte de
l'augmentation
des budgets de sécurité, qui devrait être
reconduits dans 30 % des cas, et qui a permis de
faire fortement reculer en 2 001 deux facteurs
de sinistralité : les erreurs de conception
et les erreurs d'utilisation. Les entreprises estiment
avoir été
touchées en moyenne par moins de 10 incidents
en 2 001. Il est intéressant de noter que
les dangers les plus médiatisés sont souvent
les plus marginaux : si les virus représentent
15% des sinistres en informatique, les intrusions ne
comptent que 1,2 %, et les attaques organisées
1,7 %.
L'étude du Clusif
a été réalisée à
partir d'un panel de 608 entreprises en provenance de
tous les secteurs. Les chiffres obtenus on été
pondérés de façon à être
les plus proches possible de la composition réelle
du secteur privé en France. La méthodologie
de cette étude semble donc très aboutie.
|