Cybermenaces : tendances et bonnes pratiques de sécurité en 2016
 réalise chaque année un état des lieux des pratiques de sécurité et de la sinistralité informatique en France. Cette enquête permet également de déterminer les tendances générales en matière de s)
Le CLUSIF (Club pour la Sécurité de l'Information Français) réalise chaque année un état des lieux des pratiques de sécurité et de la sinistralité informatique en France. Cette enquête permet également de déterminer les tendances générales en matière de sécurité de l’information.
Le rapport de l'édition 2016 dévoilé en juin dévoile une très forte prise de conscience de la menace cyber par les entreprises et collectivités qui semblent enfin mettre des moyens adéquats face à la multiplication des attaques.
Panorama des grandes tendances de cette édition 2016
Le budget sécurité des entreprises stagne globalement
En effet, le budget consacré à la sécurité informatique connaît une légère reprise, pondérée par le fait que le poste ayant eu la plus grosse augmentation, cette année encore, est la mise en place de solutions, avec 31%. On reste toujours dans la technique : ainsi pour beaucoup la sécurité reste une histoire de mise en place de solutions techniques au détriment des éléments organisationnels...
Le responsable Sécurité des Systèmes d'Information de mieux en mieux identifié
La fonction de Responsable de la Sécurité des Systèmes d’Information (RSSI ou RSI) est de plus en plus clairement identifiée et attribuée au sein des entreprises (67%), soit + 181% en 8 ans ! En grande majorité, les RSSI sont rattachés à la DSI même si les spécialistes plaident en faveur d'un RSSI directement rattaché à la Direction Générale
Les Politiques de Sécurité Informatique et les chartes plus largement déployées
Après une stagnation depuis 2010, le nombre d’entreprises ayant formalisé leur PSI reprend la bonne pente
à 69% (+ 5 points vs 2014). La DSI tient une part prépondérante dans la formalisation de la PSI (63% vs 54% en 2014), alors que le RSSI stagne (39% vs 38% en 2014).
49% des entreprises ont un programme de sensibilisation à la sécurité de l'information (existant ou en cours) et 32% mesure cette sensibilisation.
Cette sensibilisation se déploie via l'intranet, des mailings au personnel, affiches, dépliant, quiz, questionnaire ludique et même des serious games pour 2% des entreprises interrogées.
Par contre, fin de l'effet Prism ou lassitude, seulement 20% des entreprises interrogées ont un programme particulier de sensibilisation pour les VIP, contre 31% en 2014
Des technologies de protection de l'information de plus en plus sophistiquées
Du côté des technologies de protection, certains outils commencent à être un peu plus généralisés. Par exemple : le chiffrement sur PC portables passe de 33% en 2014 à 43% en 2016, les IPS (sondes de prévention d'intrusion) et IDS (sondes de détection d'intrusion) passent respectivement à 53% et 64% (vs 40% et 49% en 2014
Des incidents de sécurité toujours plus nombreux
Ces deux dernières années marquent un retour des incidents «logiques» par malveillance: infections par virus (en tête avec 44%, + 14 points), fraudes informatiques et télécoms (11%), chantage ou extorsion informatique (11%), attaques logiques ciblées (7%)... Malgré cela, 49% des entreprises ne disposent toujours pas d’une cellule de collecte et de traitement des incidents de sécurité de l’information...
La maturité des entreprises en matière de sécurité informatique stagne
44% des entreprises ont placé leur SI en tout ou partie sous infogérance (7% en totalité, -2 points vs 2014) et quand c’est le cas, 30% ne mettent pas en place d’indicateurs de sécurité et 40% ne réalisent aucun audit sur cette infogérance !...
Sur une période de deux ans, 68% (-3 point vs 2014) des entreprises interrogées ont réalisé au moins un audit ou contrôle de sécurité du Système d’Information. Ces audits sont motivés principalement par le respect de la PSSI (57%), des exigences contractuelles ou règlementaires (35%) ou des exigences externes, comme les assurances ou les clients (29%).
Enfin, les tableaux de bord de la sécurité de l'information (TBSSI) stagnent, restant à 25% ! Pourtant, le TBSSI reste un moyen simple et efficace, pour autant que l’on ait choisi les bons indicateurs, de ‘piloter’ la sécurité de l’information au sein de son entreprise...
Consulter le rapport Edition 2016 "Menaces Informatiques et Pratiques de Sécurité en France"
