Interview du responsable, depuis 10 ans, de l’étude Menaces informatiques et pratiques de sécurité en France (MIPS) du Club de la sécurité de l’information français (Clusif) qui en est à sa dixième édition.
Quels sont les objectifs de votre dixième étude MIPS ?
Cela fait 20 ans que le Clusif réalise l’étude MIPS au rythme d’une tous les deux ans. Personnellement, j’en suis responsable depuis dix ans. L’objectif, c’est d’identifier différents domaines d’activité et de voir comment est mise en place la sécurité des systèmes d’information (SSI). L’étude vise les entreprises privées de plus de 1 000 salariés, les établissements de santé et les collectivités territoriales. Sans oublier les particuliers. Pour chacune de ces cibles, nous nous intéressons aux menaces mais aussi aux réponses à y mettre en place.
Quels grands enseignements retirez-vous de cette étude ?
Tout d’abord, le niveau global de maturité des acteurs augmente. Par exemple, 72 % des entreprises disposent d’un RSSI (1). Contre 58 % il y a deux ans. Par ailleurs, 52 % des organisations classifient leurs actifs informationnels (machines, données, personnes clé, réseaux, logiciels, locaux…). Dont 22 % en totalité et 30 % en partie. C’est dire s’il y a des marges de progression ! En matière de gestion du risque, 30 % des organisations utilisent une méthode formelle, donc sérieuse. Comme ISO 27005, EBIOS ou Mehari pour les plus connues. Quant aux autres, soit elles le font avec un modèle interne, donc rigoureux, soit elles ne font rien… Or c’est le B.A.BA.
Qu’avez-vous appris en termes de menaces qui ont affecté les organisations ?
Dans 29 % des cas, la coupure d’électricité, de la climatisation ou des télécoms rend le système d’information indisponible. De même, l’indisponibilité provient à 29 % des machines qui tombent en panne. Ou des plantages du système d’exploitation ou des logiciels. De son côté, le vol de matériel intervient à hauteur de 21 % ! Enfin, les erreurs d’utilisation comptent pour 19 %. Quant à l’indisponibilité pour infection par virus, ransomware ou malware elle n’intervient que dans 22 % des réponses. Ce n’est pas neutre mais ce n’est donc pas le facteur le plus important.
Pourtant, les attaques par rançongiciels ont fait couler beaucoup d’encre…
Et pour cause ! 12 % des organisations nous ont dit qu’elles s’y sont confrontées. Dans 38 % des cas, elles ont subi beaucoup de dégâts. Et il leur a fallu des moyens considérables pour remettre le système d’information en route.
Quelles sont les meilleures pratiques que les organisations mettent en place pour se protéger ?
Bien sûr, certaines se basent sur des référentiels comme ISO 27001, la LPM (2), la directive NIS (3). Ou le guide d’hygiène de l’ANSSI (4)… Mais il y a aussi les contrôles d’accès logique aux machines. La majorité des organisations utilisent des logins et mots de passe trop simples. Et rares sont les processus d’authentification forte. À peine 9 % des organisations utilisent la biométrie et 28 % la cryptologie. En revanche, entre 98 % et 100 % des entreprises protègent leur exploitation avec des anti-virus, anti-spams et firewall. Mais seulement 66 % d’entre elles recourent à des outils plus récents comme les sondes de détection d’intrusion. Et 33 % mettent en place des procédés de protection contre les fuites de données.
Et côté mobilité ?
66 % des organisations ont des outils pour contrôler les périphériques (PC portables, smartphones, tablettes, clés USB). 42 % chiffrent leurs machines mobiles contre 22 % il y a deux ans. Désormais, 65 % de leurs smartphones et tablettes embarquent un antivirus ou un anti-malware.
Quels sont les points noirs ?
14 % des organisations n’ont aucun plan de continuité d’activité. Et 14 % ne savent même pas si elles en ont un ! À côté de cela, 62 % d’entre elles ont quelque peu avancé sur le sujet.
Les organisations disposent-elles de tableaux de bord de la sécurité des systèmes d’information ?
Seulement 30 %. C’est le parent pauvre. Aujourd’hui, au niveau budget, la sécurité des systèmes d’information reste une variable d’ajustement ! A peine 8 % des RSSI disent que leur budget est sanctuarisé.
Propos recueillis par Erick Haehnsen
(1) responsable de la sécurité des systèmes d’information
(2) Loi de programmation militaire
(3) Network and Information Security
(4) Agence nationale de la sécurité des systèmes d’information
Commentez