Sur la base des résultats de l'enquête consacrée aux menaces informatiques et aux pratiques de sécurité, le Clusif estime que si des changements concrets interviennent dans les entreprises, ceux-ci restent lents. Laborieux même dans certains domaines de la SSI (sécurité des systèmes d'information).
Parmi les progrès accomplis, le Clusif relève notamment la part croissante d'entreprises ayant formalisé une politique de sécurité (PSI) : 73%. C'est 14% de plus que lors de la précédente édition de l'enquête, en 2008. En outre, cette PSI bénéficie dans 73% des cas du soutien de la direction générale.
Des baisses de budget dans les services, la finance et l'industrie
Les entreprises font également preuve de plus de volontarisme dans la veille, aussi bien en matière de vulnérabilités que de solutions de sécurité (+13%). Le Clusif souligne un mieux dans le déploiement des correctifs et la gestion des incidents. Il estime en revanche que des lacunes subsistent sur les aspects liés à la conformité (obligation CNIL, audits de sécurité et tableaux de bord).
Et si les améliorations semblent tarder à émerger, c'est peut-être avant tout pour des raisons de moyens, même si les budgets ne s'effondrent pas. Pour 53% des entreprises, le budget alloué à la sécurité représente moins de 6% du budget total de l'informatique.
Entre 2008 et 2010, ces budgets sont majoritairement constants et ce quelle que soit la taille de l'entreprise, avec malgré tout des dégradations pour 10% d'entre elles. C'est dans les services, la finance et l'industrie que les baisses sont les plus notables.
Dans le secteur du BTP, la tendance est en revanche à la hausse des budgets sécurité (61% des sociétés du BTP interrogées font état d'une augmentation). Mais si les budgets ne s'écroulent pas, ils n'en demeurent pas moins insuffisants selon les responsables sécurité (RSSI).
Seules 33% des entreprises font de la sensibilisation
Le manque de budget est la 1ère raison citée (45%, +10% vs 2008) par les RSSI pour expliquer les freins à la conduite de leurs missions en sécurité. Pourtant, malgré ce constat, les moyens humains des RSSI progressent en moyenne. En 2008, 43% des entreprises ne disposaient pas d'équipe sécurité permanente.
En 2010, ce taux est descendu à 21%. Les entreprises sont désormais 61% à s'appuyer sur des équipes de 1 à 2 personnes, et 10% à compter entre 3 et 5 salariés dédiés à la sécurité.
Entre 2008 et 2010, le Clusif note toutefois que la taille des équipes apparaît « en retrait de ce qui pourrait être attendu au regard de la dépendance exprimée des entreprises vis-à-vis de leur système d'information »
Autre paradoxe souligné par l'enquête : le peu d'intérêt des entreprises à l'égard de la sensibilisation du personnel. Dans le domaine RH, les entreprises ont bien investi dans la formalisation d'une charte de sécurité (83%). Mais celle-ci s'accompagne rarement d'opérations de sensibilisation (33%).
En matière de sensibilisation, les actions à destinations des nouveaux arrivants sont les plus répandues (27%), devant les publications (intranet, email, etc) à 19% et la formation de populations spécifiques (16%).
« Globalement, nous estimons que les actions de sensibilisation restent encore largement insuffisantes alors que le facteur humain est toujours, à juste titre, présenté comme un des points de faiblesse majeur en termes de sécurité dans l'entreprise » regrette le Clusif.
Le taux d'adoption du chiffrement progresse lentement malgré le nomadisme
En termes de déploiement de solutions, les entreprises semblent peu sensibles aux sirènes du marketing. Antivirus, pare-feu et antispam sont désormais pratiquement incontournables en entreprise avec des taux d'utilisation de respectivement 97%, 95% et 91%.
Malgré le marketing des éditeurs, certaines solutions restent à la porte des entreprises constate le Clusif. C'est notamment le cas des pare-feu personnels (-15% par rapport à 2008). Le NAC (contrôle d'accès au réseau) ne fait pas non plus l'unanimité puisque 65% des entreprises s'en passent. Le DLP ne convainc toujours pas (son utilisation n'a été généralisée que dans 9% d'entreprises).
Quant au chiffrement de données, son adoption s'effectue progressivement (+10% par rapport à 2008) avec un taux d'équipement de 40%. « Les ordinateurs portables restent les plus concernés par cette mesure, étant particulièrement susceptibles de stocker des données importantes, et étant par nature plus sujets au vol » commente le Clusif.
Clusif qui ajoute toutefois que « le taux d'équipement reste malgré tout relativement faible au regard des parcs de portable en circulation, mais la croissance prévisible du niveau d'équipement reste stable (5% d'intentions d'achat pour l'année 2010). »
Auteur : Christophe Auffray, ZDNet France