A travers 608 entreprises et de 111 collectivités publiques,
l'enquête annuelle sur la sécurité menée par le Clusif, le Club
de la sécurité des systèmes d'information français, dresse un
bilan des nouveaux risques informatiques et rappelle quelques
bonnes pratiques.
Face au déploiement des réseaux sans fil, le Clusif a décidé
d'inclure cette année dans son étude quelques questions sur
la sécurité de ses réseaux. Et comme d'autres études l'avaient
déjà pointées, la protection des réseaux WiFi en France n'est
pas encore à la hauteur des réseaux filaires. En effet, 60%
des sociétés disposant d'un réseau sans fil n'ont pas chiffrés
les paquets IP y circulant. En cas d'intrusion sur le réseau,
l'information est donc librement accessible.
L'association
appelle les administrateurs à utiliser les techniques de chiffrement
comme le WPA pour garantir la confidentialité de leurs données
en attendant la sortie prochaine du matériel compatible avec
la norme 802.11i. Pascal Lointier, président du Clusif, soulignait
la nécessité de vérifier l'étendue de ses réseaux et d'éviter
le déploiement sauvage car il pourrait exposer l'entreprise
à des problèmes juridiques.
L'autre constat en matière de mobilité est l'engouement des
ordinateurs portables. Les sociétés s'orientent davantage
vers ses solutions pour remplacer leur parc informatique composé
de postes fixes. Si ces postes sont mobiles, le Clusif rappelle
qu'une société s'expose à des vols de matériels et par conséquent
d'informations. Il recommande de ne pas jouer la carte du
nomadisme à tout va, sachant que les ordinateurs portables
coûtent plus cher à l'achat, à l'entretien et nécessite une
attention particulière des responsables sécurité.
Concernant les virus, le bilan est plutôt positif. Seulement
10% des sociétés interrogées affirmaient ne pas posséder de
solutions antivirales. Par contre, les mises à jour ne sont
pas faites quotidiennement pour 51% des répondants. L'explication
se trouve certainement en partie dans le fait que près de
la moitié des virus sont jugés comme de simples incidents
et non pas comme des sinistres. L'association explique ce
chiffre au vu de l'actualité récente des virus et prend Mydoom
comme exemple qui malgré sa forte capacité de propagation,
ne causait que peu de dégâts.
A
peine 20% des entreprises mesurent le ROI en matière
de sécurité |
Toutefois, le Clusif émet des réserves sur l'interprétation
de ce chiffre car le retour sur investissement en matière
de sécurité et l'étude de l'impact financier des sinistres
ne sont globalement pas mesurés. Au sein du panel, seul 20%
des entreprises allant de 200 à 1000 salariés ont évalué le
coût que représentent les menaces informatiques et la rentabilité
des différentes solutions de protection.
Ensuite l'organisme évalue la sécurité en fonction des effectifs.
Et le constat le plus étonnant vient des grands comptes. 53%
des entreprises de plus de 1000 salariés ont prévu une procédure
de stockage hors site. Un chiffre relativement faible pour
cette catégorie qui pourtant est celle qui potentiellement
à le plus à perdre en cas de panne lié à des évènements incontrôlables
(incendies, canicule, panne de courant
). Par ailleurs, le
plan de restauration associé n'est testé annuellement que
par un tiers des sociétés.
Pour les entreprises de 200 à 500 salariés, 20% ne disposent
toujours pas d'effectifs en charge de leur sécurité informatique
alors qu'elles sont presque toutes équipées de connexion Internet.
Mais elles sont de bons élèves face à la menace virale puisqu'elles
mettent plus fréquemment leur antivirus à jour. A contrario,
41% déclarent ne pas avoir installé certains correctifs majeurs
ou recommandés pour leur système d'exploitation pourtant souvent
exploités par les récents vers sur le Web.
Les collectivités locales se font bien meilleures dans ce
domaine car toutes affirment avoir mis à jour leur système
d'exploitation sur l'ensemble des correctifs majeurs. Mais
elles pêchent au niveau des mises à jour de leurs antivirus
- 23% le font quotidiennement - et sensibilisent beaucoup
moins leur personnel aux règles de sécurité.
|