Les entreprises françaises négligent la sécurité de leur système d’information, selon le Clusif
Sécurité - Dans une étude, le Clusif dresse un constat très négatif sur les préoccupations des sociétés françaises concernant la sécurité de leur système d’information. En cas d’incident informatique, une majorité n’a pas de plan bis ou est incapable d’évaluer les dégâts.
La grande majorité des entreprises françaises n’exploitent pas leur assurance lorsqu’elles ont été victimes d’incident informatique, bien qu’elles soient pour la plupart couvertes. C’est l’une des observations faites par le Club de la sécurité des systèmes d’information français (Clusif), dans son enquête 2008 sur les « Menaces Informatiques et Pratiques de Sécurité en France ». Une enquête basée sur les réponses à un questionnaire de six cents responsables de la sécurité des systèmes d’information (RSSI) d’entreprises de plus de deux cents employés.
Pourquoi aussi peu d’entreprises font jouer leur contrat d’assurance ? « Parce que les responsables informatiques n’ont pas ce type de raisonnement financier », explique à ZDNet.fr Pascal Lointier, président de l’organisme. « Et parce que d’une manière générale, il n’y a pas assez de dialogue entre la direction informatique et celle chargée de gérer les contrats d’assurance, souvent la direction administrative et financière ».
L’enquête du Clusif met en avant bien d’autres paradoxes. Par exemple : 73 % des entreprises se disent en « dépendance forte » vis-à-vis du système d’information. Autrement dit, elles ont pleinement conscience qu’en cas de dysfonctionnement informatique, l’impact sera fort sur leur activité. Pourtant, elles sont seulement 40 % à avoir mis en place un plan de continuité d’activité (PCA) – un dispositif d’informatique de secours qui permet, par exemple, de fonctionner en mode dégradé en cas d’incident et de sauvegarder automatiquement les travaux en cours. En 2006, ce chiffre était d’ailleurs meilleur : 42 %.
Pas d’évaluation des impacts financiers
« La plupart des entreprises n’ont donc rien prévu pour se prémunir d’un dysfonctionnement de leur système d’information afin d’en minimiser les impacts », poursuit Pascal Lointier.
La majorité des sociétés de plus de deux cents salariés ne se préoccupent pas davantage des dégâts financiers engendrés par un incident informatique. Selon l’étude, seulement 28 % d’entre elles procèdent ainsi à une évaluation de l’impact financier des incidents de sécurité. « La majorité des entreprises ne sont donc pas en mesure d’évaluer le coût des incidents survenus et donc d’évaluer l’importance d’une bonne politique de sécurité », déplore Pascal Lointier.
Quant aux dépôts de plainte suite à un incident, seules 5 % y ont eu recours en 2007. « Pourtant nombre d’entre elles ont rencontré des incidents méritant vraisemblablement des suites judiciaires », souligne l’étude.
Les mêmes incidents qu’en 2006
Le Clusif note également que les entreprises prennent insuffisamment en compte le facteur humain dans le cadre de leur politique de sécurité, et n’encadrent donc pas assez les problèmes que les employés eux-mêmes peuvent créer avec leurs postes clients. Seule la moitié des entreprises ont aujourd’hui mis en place une charte de sécurité pour encadrer les usages du système d’information en interne. Et seulement 36 % des nouveaux arrivés dans l’entreprise sont sensibilisés à la sécurité. « Les autres sont laissés sans aucune consigne », déplore le responsable.
Le Clusif ne fournit pas le volume d’incidents constatés en 2007, mais indique que 56 % des RSSI ont dénoté au moins un incident durant l’année. Ils sont même 7 % a avoir enregistré plus de cinquante problèmes.
Enfin, la typologie des incidents de sécurité rencontrés n’a pas vraiment varié entre 2006 et 2007. Les pertes de services essentiels dues à des pannes externes (coupure d’électricité ou des télécoms) arrivent en tête, suivies par les pannes d’origine interne entraînant l’indisponibilité du système, les erreurs d’utilisation, des vols ou la disparition de matériel (voir tableau ci-dessous).
Source : zdnet
Mots-clefs :
securité
Bulletins (RSS)