Menaces, sécurité : la maturité des entreprises évolue lentement, selon le Clusif

Chiffres : Le Clusif a publié son rapport bi-annuel sur les pratiques de sécurité en entreprise. L’occasion pour le club de la sécurité de l’information de revenir sur l’évolution des entreprises vis-à-vis des menaces qui pèsent sur leurs systèmes d’informations. Entretien avec Lionel Mourer, responsable de cette étude.

« La maturité SSI stagne, voire régresse » : c’est ainsi que débute le rapport 2014 du Clusif, qui a sondé un échantillon de 350 entreprises de toutes tailles sur leurs pratiques de sécurité au sein de l’information. Des centaines de chiffres et de données, qu’il convient de remettre en perspective avec ceux récoltés en 2012 lors de la précédente étude.

Afin d’éclairer notre lanterne, nous avons donc interrogé Lionel Mourer, le responsable de cette étude au Clusif, sur les conclusions qui s’imposent pour les entreprises.

Le RSI : de mieux en mieux identifié

Les chiffres de l’étude le montrent : la fonction du Responsable de la Sécurité des Systèmes d’Informations (RSSI) est de mieux en mieux identifiée parmi les entreprises« Un phénomène en forte progression dans les entreprises de moins de 200 salariés » précise Lionel Mourer « Chez la plupart des grands comptes, la fonction existe généralement depuis quelques temps mais on assiste à une prise de conscience parmi les TPE/PME ».

L’étude souligne ainsi que 62% des entreprises sont aujourd’hui capable d’identifier clairement un responsable des questions de politique de sécurité de l’information, contre seulement 37% en 2008. Une belle progression, mais qui cache encore une fonction très jeune « Dans beaucoup de cas, on constate que le RSI est avant tout un poste issu des directions techniques » note Lionel Mourer.

Ses fonctions se repartissent le plus clair du temps entre gestion opérationnelle et les aspects techniques et fonctionnels de la politique de sécurité. « Pour beaucoup d’entreprise, le RSI reste encore un travail à temps partiel, assuré par un membre de la DSI. Rares sont les entreprises qui ont pris en compte les multiples aspects de ce poste, qui est par essence transversal et demande de se pencher sur les aspects techniques autant que les aspects juridiques et de communication. Mais cela viendra progressivement ».

Byod : l’heure de la gueule de bois

Une autre tendance qui semble se dégager du rapport, c’est la machine arrière effectuée par beaucoup d’entreprises sur la question du Byod (Bring Your Own Device). Si en 2012, 38% des entreprises interdisaient l’accès aux appareils personnels, c’est aujourd’hui 66% des entreprises qui ont banni cette possibilité. Après avoir chanté les louanges du Byod, l’IT semble revenir sur ses positions avec une approche COPE où la DSI sélectionne des terminaux validés.

« L’effet de mode est passé » explique Lionel Mourer « Et les entreprises se sont retrouvées face aux véritables défis du Byod, qui représente un enfer en terme de gestion et un véritable danger pour la sécurité de l’information. »

Complexe à gérer, le Byod avait pourtant de quoi séduire, mais la question des failles de sécurité a fini de doucher les espoirs de beaucoup « J’ai vu des entreprises de 200 salariés qui ont même opéré un retour en arrière complet sur la question, en abandonnant le Byod pour revenir à une gestion de flotte d’entreprise traditionnelle. »

Un mouvement qui n’a donc pas vraiment décollé au sein des entreprises françaises, malgré les efforts des constructeurs pour proposer des offres adaptées : au final, le Byod était surtout utilisé pour accéder aux messageries et agendas de l’entreprise et rarement pour l’utilisation d’applications métier.

Mais la gestion de flotte mobile d’entreprise n’est pas pour autant la solution rêvée : comme le révèle l’étude, beaucoup d’entreprise négligent encore la sécurisation des appareils mobiles alors que les bonnes habitudes existent dans l’univers des PC de bureau. 96% des entreprises équipent leurs PC portables de logiciel anti virus et anti malware, mais ce chiffre chute à 14% dès lors que l’on se penche sur les smartphones et tablettes. Le Byod n’est surement pas la panacée, mais des efforts sont encore à faire sur la sécurité des appareils mobiles.

Infogérance : un suivi trop souvent négligé

Autre aspect mis en avant par l’étude : l’externalisation des DSI, placées sous infogérance. Une tendance suivie par 44% des entreprises, bien que seul 9% des interrogés déclarent avoir externalisé la totalité de leur système informatique. Un chiffre relativement faible, mais qui peut s’expliquer par le manque de volonté des DSI, qui craignent de voir leurs prérogatives réduites au sein de l’entreprise « Ce qui motive essentiellement ces phénomènes, c’est avant tout la réduction des coûts et c’est une volonté qui émane plus généralement des directions financières ou juridiques. Mais on sous estime les questions de sécurité, trop souvent écartées face aux gains financiers » avertit Lionel Mourer.

« L’externalisation est une tendance très forte chez les petites entreprises, qui ont de plus en plus recours à des sociétés extérieures pour gérer leur système informatique » explique Lionel Mourer « Mais le danger, c’est le manque de suivi sur ces processus, trop souvent insuffisant. On se contente trop souvent d’externaliser sans ensuite auditer ces entreprises externes et leur gestion des informations. Et on a parfois des surprises » En effet, le rapport relève que 44% des entreprises ayant recours à l’infogérance ne réalisent pas d’audit sur la gestion de leurs données à l’extérieur.

Si la tendance est à la hausse, avec l’utilisation du Cloud qui augmente de 24 point face à 2012 (38% en 2014) il faudra donc s’attendre à un effet similaire au BYOD dans les années à venir : en matière de politique de l’information, il faut savoir se méfier des effets de mode.

« Les entreprises avancent, encore et toujours, et tranquillement, encore et toujours… » résume la synthèse du rapport. Si les entreprises interrogées sont de plus en plus conscientes des risques et des nécessités de sécurité de l’information, la prise en compte globale de ces questions reste encore trop souvent une pure variable technique, qui s’efface souvent devant les considérations financières. Mais l’évolution, si elle est encore lente, est indéniable et au fil des années la prise en compte de la sécurité de l’information devrait aller croissant au sein des entreprises.

Znet.fr
Source

Contactez-nous

Contactez-nous

Nous construisons des solutions sur mesure pour nos clients.
Les informations recueillies à partir de ce formulaire font l’objet d’un traitement informatique destiné à la société Claranet afin de nous permettre de traiter la demande pour laquelle vous nous sollicitez. Les destinataires des données sont les services marketing et commerciaux du groupe Claranet. Conformément à la loi « informatique et libertés » du 6 janvier 1978 modifiée, vous disposez d’un droit d’accès et de rectification aux informations qui vous concernent. Veuillez-vous rapportez à la section des mentions légales de notre site internet pour de plus amples informations sur les modalités d’exercice de ces droits. Vous pouvez également, pour des motifs légitimes, vous opposer au traitement des données vous concernant.
9 + 7 =
Trouvez la solution de ce problème mathématique simple et saisissez le résultat. Par exemple, pour 1 + 3, saisissez 4.

Pour contacter un commercial

N'hésitez pas à nous appeler au 0826 007 656

Besoin de contacter le support technique ?
Nos équipes sont disponibles en 24x7x365.

Support Virtual Data Centre au 0826 007 653 (Numéro indigo)
Support Infogérance applicative au 0810 278 385 (Numéro indigo)
Support Colocation au 0826 007 653 (Numéro indigo)
Support Cloud Public en envoyant un mail à support