 |
|
|
| |
|
|
| Sommaire Sécurité |
|
| Le Clusif dresse un bilan mitigé de la sécurité dans les entreprises |
| L'informatique a beau être un rouage critique pour la majorité des entreprises, le constat dressé par le Clusif s'avère plutôt moyen. La lente mutation vers la professionnalisation des pratiques en est l'explication principale.
(30/06/2006) |
|
Les entreprises ont-elles pleinement conscience des risques et mis en uvre en conséquences, les mesures adéquates ? C'est la question posée par le Clusif et à laquelle l'association se propose de répondre au terme de son enquête 2005 sur les politiques de sécurité et la sinistralité informatique.
La note globale attribuée par le Clusif s'avère plutôt moyenne pour les entreprises de plus de 200 salariés. Si elles n'écopent pas du bonnet d'âne, elles n'ont pas plus droit à celui de bon élève.
La dépendance des entreprises vis-à-vis de l'informatique n'a pourtant cessé de s'accroitre au fil des années. Ainsi, 75% des entreprises de plus de 200 salariés interrogées par le Clusif, se définissent comme fortement dépendantes et estiment qu'une indisponibilité aurait des conséquences graves.
Néanmoins, les budgets informatiques ne sont pas toujours à la mesure des enjeux, même si pour 38 % des entreprises, ils ont progressé sur un an. La hausse dépasse les 10 % pour seulement 17 % d'entre elles. Toutefois, la tendance est plutôt à la stabilisation des budgets (46 %). Donnée plus problématique relevée par le Clusif, 21 % des entreprises ne sont pas en mesure d'évaluer les dépenses allouées à la sécurité.
Et si pare-feu (97 %), antivirus (88 %) et antispam (70 %) sont désormais largement répandus, il en va tout autrement des solutions de sécurité plus récentes : IDS, SIM et IPS, outils de chiffrement ou pare-feu personnel. Ils ne sont en général adoptés que par 15 à 29 % des entreprises interrogées. Ces outils répondent pourtant plus spécifiquement aux nouvelles menaces auxquelles elles doivent faire face.
| Favoriser la professionnalisation des pratiques |
Faire passer un projet de sécurité reste donc toujours loin d'être chose acquise. Les principaux freins sont le manque de budget (37 %) et de personnel qualifié (25 %), ainsi que les contraintes organisationnelles (20 %).
Concernant les projets informatiques sensibles, 3 entreprises sur 4 réalisent l'analyse des besoins de sécurité et l'analyse des risques dès la phase de conception. Seules 50% l'étendent à l'ensemble des projets.
La mise en uvre des projets sécurité se heurte toujours au retour sur investissement, jugé bien souvent insuffisant pour justifier des dépenses supplémentaires. Ce frein ne pourra être atténué qu'à la condition de mieux communiquer et d'offrir une plus grande visibilité sur la valorisation des impacts des incidents et l'évaluation des risques opérationnels liés à l'informatique.
Mais pour le Clusif, les efforts doivent avant tout porter sur la professionnalisation des pratiques, même si l'association constate des améliorations sensibles, notamment en ce qui concerne la formalisation des chartes de sécurité, le recensement des actifs clés, la conduite d'analyse des risques ou encore les actions d'audit et de contrôle.
Ainsi, 56 % des entreprises sont dotées d'une PSI (politique de sécurité de l'information) et dans 71 % de cas, soutenue par la direction générale. Cette proportion tend naturellement à augmenter avec le nombre de salariés. 72 % des sociétés de plus de 1000 salariés possèdent ainsi une PSI.
Petits bémols toutefois. Le recours à une norme ou à une méthode de formalisation n'est que de 48 %. A 29 %, elles utilisent la norme ISO 17799. Selon le Clusif, ce chiffre devrait sensiblement augmenter dans les années à venir, en raison de la pression réglementaire. Les scandales médiatiques concernant des cas de mauvaise gestion ou de perte de données confidentielles n'y sont certainement pas étrangers.
De la même façon, plus de 40 % des entreprises n'ont toujours pas mis en place des processus de gestion de la continuité d'activité. Un chiffre qui s'aggrave au sein des petites structures. Les raisons avancées par le Clusif sont une surestimation de la complexité et du coût de mise en uvre de plan de continuité. Un véritable effort d'information reste donc à produire pour en développer la pratique.
|
| |
| |
|
|
|
|
|
|
Dossier 
