in

Menaces informatiques et pratiques de sécurité en France – Synthèse de la conférence thématique du CLUSIF du 23 juin 2016.

Le CLUSIF vient de publier son rapport biennal « Menaces informatiques et pratiques de sécurité en France » (MIPS). L’étude vise à établir un état des lieux des pratiques de sécurité et de la sinistralité informatique en France.

« MIPS offre une photographie de la situation. Nous savons où nous en sommes et dans deux ans, apparaîtront sans doute de nouvelles menaces qui se forment en ce moment. Un travail comme celui de MIPS est basé sur une enquête qui dure d’année en année et doit s’adapter aux évolutions de la cyber menace. », a rappelé Lazaro Pejsachowicz, le président du CLUSIF, à l’occasion de la conférence de présentation du rapport 2016.

« Ce travail commence donc par une rédaction des questions appropriées, tenant compte de l’actualité puis, vient le temps de poser les questions au panel. Vient enfin le moment de l’interprétation des résultats. Il faut donc rappeler l’importance de la participation des RSSI au groupe de travail de préparation du questionnaire et au groupe de travail qui analyse les résultats de l’enquête », a souligné Lazaro Pejsachowicz.

Les entreprises de plus de 200 salariés – Par Lionel MOURER, Atexio – Responsable du groupe de travail MIPS du CLUSIF

Lionel Mourer, Responsable du Groupe de Travail MIPS, administrateur du CLUSIF et Président d’ATEXIO, a pour sa part donné un aperçu de la situation dans les entreprises de plus de 200 salariés. Quelque 334 réponses ont été enregistrées sur 78591 sociétés de cette cible en France. « Le questionnaire pour l’enquête 2016 est basé sur l’ISO 27002:2013 afin d’être au plus près de ce qui se fait aujourd’hui dans ces domaines », a-t-il précisé.

En ce qui concerne les entreprises, les secteurs visés sont la Banque-Assurance, le Commerce, l’Industrie-BTP, les Services, les Transports-Télécoms. Le taux de réponse atteint environ 10%. Dans 34% des cas, les répondants sont des RSSI mais ce nombre passe à 55% lorsque les entreprises dépassent 1000 salariés. Premier enseignement, le budget sécurité continue de stagner (pour 67% des sondés contre 54% en 2014), comme c’était déjà le cas il y a deux ans.

Le secteur des Transports-Télécoms se démarque avec le plus grand nombre d’entreprises où le budget sécurité augmente. Cette évolution s’explique sans doute par le vote de la Loi de programmation militaire (LPM) qui définit les Infrastructures d’importance vitale (OIV). Dans 33% des cas, le budget alloué à la sécurité est en forte (plus de 10%) ou moyenne (moins de 10%) augmentation. Les postes ayant enregistré les hausses les plus importantes sont la « Mise en place d’éléments organisationnels » (+ 4 points à 16%) et la « Formation Sensibilisation » (+ 3 points à 12%). Toutefois, pour nombre d’entreprises, la sécurité passe encore trop exclusivement par la simple mise en place de solutions techniques. Par ailleurs, le RSSI revient doucement vers la Direction Générale des entreprises. Dans 30% des cas, les RSSI sont rattachés à la DG contre 27% en 2014. Mais la plupart du temps (42% contre 46% en 2014), le RSI ou le RSSI est rattaché à la DSI. Leur nombre a progressé de 181% en huit ans. Les missions du RSSI évoluent toutefois assez peu. La stratégie et les politiques de prévention et de sécurité ne se taillent pas la part du lion. Les RSSI sont encore lourdement impliqués dans des tâches techniques (définition des architectures, suivi des projets).

En ce qui concerne les déclarations CNIL, le RSSI arrive en cinquième position. La DSI est généralement en charge des déclarations CNIL dans les établissements, suivie du CIL. En termes de définition de la politique de sécurité de l’information (PSI), les RSSI ont été impliqués à 38% dans le processus (contre 39% en 2014). La DSI était pour sa part impliquée dans 63% des cas (contre 54%).

En ce qui concerne la classification, on peut noter une légère amélioration. Si 47% des entreprises ont procédé à une analyse formelle des risques en 2016 (contre 51% deux ans plus tôt), seules 23% des entreprises n’ont pas procédé à cette classification contre 32% en 2014 et 39% en 2012. Les entreprises sont enclines à procéder à des actions de sensibilisation (49% contre 45% lors de la dernière étude), mais la sensibilisation des directions générales est en baisse notable à 20% contre 31%. Ceci s’explique peut-être par la fin de l’effet des révélations d’Edward Snowden. Seules 2% des entreprises pratiquent des « Serious Games », qui restent complexes et coûteux à mettre en place.
La cryptographie est quant à elle toujours peu utilisée. Seules 34% des entreprises l’implémentent, avec des disparités selon les secteurs. Elle est utilisée par exemple par 51% des entreprises dans la Banque-Assurance. En revanche, la sécurité des supports physiques (papier, bandes) est assez bien assurée puisque 70% des entreprises les protègent (contre 75% en 2014 toutefois). En ce qui concerne les technologies utilisées pour sécuriser les Systèmes d’Information, on note une évolution sensible pour les IDS. Quelque 64% des entreprises les utilisent désormais contre 49% il y a deux ans. Les outils de chiffrement sur les PC portables sont également en progression avec 43% d’utilisateurs contre 33% en 2014.

Le « Bring Your Own Device » (BYOD) est en recul

Ce sont désormais 68% des entreprises qui interdisent l’accès au SI par des postes non maîtrisés contre 59% en 2014, la différence se faisant au niveau de l’autorisation sous condition (29% cette année contre 39% en 2014). Ce recul était déjà très perceptible en 2014. L’usage du WiFi se déploie pour sa part de plus en plus et passe 52% à 60%. En revanche, précise Lionel Mourer, on note une baisse importante de la mise en place de processus de développement sécurisé : de 24% il y a deux ans on passe à 17%. Avec des disparités selon les secteurs, puisque ces processus sont présents dans 36% des entreprises des Transports-Télécoms et 12% seulement dans les Industries-BTP. Le recours à l’infogérance reste stable (44% des entreprises ont mis leur système d’information en infogérance comme en 2014). Le recours au Cloud est quant à lui en légère augmentation à 42% contre 38%. Pour ce qui est de la sinistralité, les infections par virus, sans que l’entreprise soit d’ailleurs visée en soi, sont la première cause avancée par les sondés avec 44% contre 30% précédemment. La perte de services essentiels a nettement reculé à 24% contre 39% il y a deux ans. Les actes de chantage ou d’extorsion sont quant à eux passés de 5% à 11%. Les entreprises ont été confrontées cette année à une nouvelle question, permettant de mesurer leur exposition aux risques évoqués lors du Panorama de la cybercriminalité du CLUSIF présenté en janvier 2016. Cette question révèle que 142 sociétés ont été mises en présence d’opérations de phishing avec un seul cas de perte de données. Quelque 26% ont dû faire face à des cas de rançon ou de fraudes aux présidents et 25% à des opérations de fraudes aux moyens de paiement. Seules 3% des entreprises ont été confrontées à de l’hacktivisme et 2% à des cyber-conflits. 1% rapportent des cas de cyber-espionnage. La mesure de l’impact financier de ces incidents semble peu prise en compte puisque 6 entreprises sur 10 disent ne pas s’y intéresser. La première préoccupation des sociétés étant de résoudre le problème auquel elles sont confrontées. Il ressort par ailleurs du rapport MIPS que la gestion de la continuité d’activité est encore un sujet à développer : 30% des entreprises annoncent ne rien avoir mis en place. Les plus petites étant les plus mal loties. Les mêmes lacunes apparaissent en matière de gestion de crise : 44% n’ont pas de politique sur ce sujet. Pour ce qui est de la prévention, les dispositifs de contrôle ont encore une large marge d’amélioration. Dans 22% des cas, aucun audit, aucun contrôle des systèmes de sécurité informatique (SSI) n’a été mené sur une période de deux ans. Dans 60% des cas, entre un et cinq ont été réalisés. De même, pour 25% des sondés, l’entreprise n’a pas mis en place de tableau de bord de la SSI.

Les Collectivités Territoriales – Par Thierry HENNIART, RSSI Région Hauts-de-France

Thierry Henniart, CIL de la Région Hauts-de-France, RSSI et Urbaniste SI sur le périmètre de l’ancienne Région Nord – Pas de Calais, a pour sa part présenté la partie de l’étude consacrée aux Collectivités Territoriales (203 réponses sur les quelques 1270 Collectivités de la cible2). Les chiffres sont à comparer avec ceux de 2012 puisque les Collectivités Territoriales sont interrogées tous les quatre ans, en alternance avec le monde de la Santé. Le panel des Collectivités Territoriales est composé des Villes de plus de 30 000 habitants, des Communautés de Communes de plus de 10 000 habitants, des Communautés d’Agglomération, des Communautés Urbaines, des Métropoles et des Conseils Départementaux, Conseils Régionaux (Conseils Territoriaux). Si les Collectivités Territoriales déclarent une forte dépendance à l’informatique et au numérique (75% contre 68% il y a quatre ans), les moyens alloués sont en stagnation. Les budgets informatiques sont inférieurs à 100 000 euros pour 54% des sondés (contre 45% en 2012) et seuls 7% des budgets alloués à la sécurité sont en augmentation de plus de 10%. Les personnes interrogées font remonter une pénurie en personnel qualifié, une raréfaction des budgets, un manque de connaissances, des contraintes organisationnelles et toujours une réticence des Directions Générales, des métiers et des utilisateurs. Toutefois, plus de la moitié des Villes et des Conseils Territoriaux ont aujourd’hui formalisé une Politique de Sécurité de l’Information (PSI). Quand celle-ci est formalisée, elle est soutenue à 90% par la Direction Générale. Pour pratiquement 6 Collectivités sur 10, la PSI a été conçues ou mise à jour depuis moins d’un an et pour 2 sur 10 depuis moins de 3 ans. Dans les Collectivités, la fonction du RSSI est en légère évolution. Si quelque 40% sont dédiés à la fonction (soit 13% de moins qu’il y a quatre ans), une part non négligeable est mutualisée avec d’autres fonctions, comme le Correspondant Informatique et Libertés. Cet état de fait peut s’expliquer par le manque de profils spécialisés, la réduction des effectifs ou la taille des organisations. Si 27% des RSSI sont rattachés à la Direction des Systèmes d’Information, principalement dans les grandes organisations, 38% d’entre-eux sont rattachés au Directeur Général des Services qui s’occupe des systèmes d’information dans les plus petites organisations telles que les Communautés de Communes.
Autre point intéressant de l’étude, 49% des collectivités ont une charte d’usage des moyens informatiques. Celle-ci est opposable à tous les agents et à 60% des cas aux élus. Elle est également opposable dans 28% des cas aux prestataires, ce qui est une nouveauté.
L’inventaire des actifs se maintient avec 22% d’inventaire total et 32% d’inventaire partiel. Toutefois, la classification des actifs est en net recul avec seulement 5% (-5 points) de classification complète et 31% (+1 point) de classification partielle. Cette tendance à la baisse est sans doute liée à ce que ce travail est fastidieux et difficile à maintenir dans le temps.

En revanche, l’étude montre une augmentation importante des moyens de contrôle d’accès. L’authentification forte par certificat électronique sur support matériel progresse de 57% en 4 ans (58% d’adoption). Le Single Sign On (SSO) et le Web SSO augmentent de 52% (30% d’adoption). Les outils d’automatisation de la gestion des droits d’accès progressent également. Cependant, ces bonnes nouvelles sont légèrement ternies par la baisse importante de la formalisation des procédures. Les outils ont été déployés, mais les procédures n’ont été ni réfléchies ni rédigées. La part des Collectivités déclarant par exemple disposer d’une procédure formelle de création, modification et suppression de comptes utilisateurs nominatifs est en nette diminution. Cette baisse est encore plus marquée lorsque l’on s’intéresse à la population sensible des « administrateurs ». Les Collectivités pensent-elles qu’une fois que les automatismes tels que les workflows d’approbation et les modèles d’habilitation sont en place, le formalisme n’est plus de mise ? La rosace de menaces dans les Collectivités est assez similaire à celle des entreprises. Le recours aux IDS/IPS stagne à 44% et les solutions de collectes et d’analyses de logs de type SIEM sont utilisées à un niveau comparable à celui des entreprises.

Les systèmes d’information sont accessibles depuis des moyens de plus en plus maîtrisés.

Les accès externes autorisés sous condition depuis des postes de travail fournis par les Collectivités sont en hausse (passant de 57% à 65%) et les accès distants depuis des postes non maîtrisés sont principalement interdits. L’accès au Web est également majoritairement filtré.
En revanche, 90% des Collectivités ne gèrent pas la sécurité de leurs développements informatiques. Cela s’explique peut-être parce que le développement n’est pas au coeur de leurs métiers. Mais quelle politique est adoptée vis à vis de leurs éditeurs de logiciels et progiciels ? Les Collectivités sont généralement contraintes de faire confiance aux éditeurs dans la mesure où le marché de solutions est restreint. Il y a par ailleurs peu de compétences en interne pour définir et imposer des règles aux prestataires externes. Certains points comme le Règlement Européen sur la protection des données à caractère personnel – qui leur sera opposable de plein droit le 28 mai 2018 – et le concept de « privacy by design » devraient jouer à l’avenir.
L’appel l’infogérance pour 30% des sondés est en baisse de 10 points par rapport à 2012. On note une progression de +123% d’usage de services dans le cloud par rapport à il y a quatre ans. Celui-ci reste sous le contrôle de la DSI ou du RSSI dans 72% des cas.
La perte de services essentiels est en recul constant depuis 4 ans passant de 44% à 18%. La sinistralité liée aux virus est déclarée dans 42% des cas contre 25% il y a quatre ans et les pannes d’origine interne dans 30% des cas contre 24%.
La conformité aux obligations Informatique et Libertés reste un point délicat puisque 54% des sondés se déclarent totalement conformes (+1 point seulement) et 33% conformes pour les traitements les plus sensibles. Quelque 38% des collectivités ont désigné un Correspondant Informatique et Libertés (+23%).
En ce qui concerne la conformité au Référentiel Général de Sécurité (RGS), 18% se déclarent totalement conformes (+100%) et 26% en partie conformes (-7%).
Les Collectivités Territoriales sont au tournant de la numérisation et de la relation avec les citoyens. Notamment en raison de la dématérialisation des échanges avec les citoyens et les autres administrations. Les efforts devront donc être maintenus si ce n’est renforcés pour assurer la protection de leurs systèmes d’information, tant pour des raisons opérationnelles que pour répondre aux contraintes légales et réglementaires.

Les Internautes – Par Eric FREYSSINET, Ministère de l’Intérieur

MIPS s’intéresse également aux internautes. Le colonel Eric Freyssinet, de la Mission de lutte contre les cybermenaces au Ministère de l’intérieur a supervisé cette partie de l’étude.
« Le Smartphone détrône l’ordinateur personnel juste derrière le PC portable pour consultation d’internet dans le foyer », a-t-il précisé. La connexion des internautes tend à devenir permanente et se poursuit en dehors du foyer sur tablette ou smartphone. À la maison, le Wifi est plébiscité puisque 85% des internautes déclarent l’utiliser pour se connecter à Internet contre 79% en 2014 et 59% en 2010.
Les internautes déclarent à 40% utiliser des équipements personnels pour des usages professionnels tandis que l’inverse n’est vrai que pour 37% d’entre eux, on perçoit donc peut-être un début de tassement des pratiques de partage des ressources entre vie privée et vie professionnelle.
L’économie collaborative s’installe dans les usages (16% des internautes, notamment chez les plus jeunes). Les Internautes effectuent de plus en plus de leurs démarches administratives en ligne (48% en 2016 contre 40% en 2014).
Le paiement en ligne est toujours très utilisé, mais sous conditions. La première étant la présence de TLS (anciennement appelé SSL). Celle d’outils de paiement sécurisés spécifiques est perçue comme un point positif. Enfin, les internautes font confiance par habitude et usage d’une plateforme, ou encore d’une marque reconnue. Le paiement se fait encore plutôt via PC portables ou fixes plutôt qu’avec des Smartphones ou des tablettes (74% versus 34%).
Si la perception des risques sur les documents personnels (documents, photos, vidéos, etc.) avait fortement augmenté entre 2012 et 2014, elle est notablement stable cette année, en ce qui concerne les ordinateurs fixes ou portables.
Pour les Smartphones et tablettes, la confiance continue de se dégrader : les internautes qui ne perçoivent aucun ou peu de risques pour leurs données sont aujourd’hui 27% contre 30% en 2014.
La protection de la vie privée reste une grande préoccupation. Quelque 17% des sondés estiment qu’Internet met fortement en danger leur vie privée (stable) et 53% (+1 point) pensent que le réseau met un peu leur vie privée en péril.
Mais que faire pour se protéger ? Parmi ceux qui utilisent les réseaux sociaux, seuls les deux tiers (63%) disent vérifier et modifier régulièrement les réglages des paramètres de sécurité et de confidentialité de leur profil sur les réseaux sociaux… Seuls 51% des internautes disent modifier régulièrement les paramètres de sécurité et de confidentialité de leur profil sur le système d’exploitation (Windows, Linux ou Mac OS) de leur PC.
Les internautes ont subi des pertes de données en 2016, mais moins qu’en 2014. Ainsi, 15% ont été touchés sur des tablettes ou des Smartphones, contre 17% en 2012. En ce qui concerne les ordinateurs, le pourcentage passe à 24%, mais contre 35% en 2012. Le Cloud fait son apparition dans le rapport MIPS en 2016 avec 11% d’internautes ayant perdu des données.
Les menaces qui préoccupent le plus les internautes sont celles liées à Internet : les virus, suivis du phishing et de la fraude à la carte de paiement, le vol d’identité et les logiciels espions.
Les facteurs de risques évoqués par les internautes, comme l’absence d’anti-virus et de mises jour, témoignent d’une bonne connaissance des pratiques habituelles de sécurité à adopter.
Ce qui se retrouve dans l’énumération des moyens de protection : un anti-virus à jour, un pare-feu, une sécurisation du WiFi par mot de passe…
En revanche, les Smartphones et tablettes sont encore peu protégés par rapport aux ordinateurs.
Les particuliers utilisent peu la cryptographie et de moins en moins le contrôle parental, précise Eric Freyssinet. Peut-être les outils les plus avancés (on peut aussi citer les systèmes de gestion centralisée de mots de passe) doivent-ils encore être améliorés en matière d’ergonomie.
Toutefois, les internautes se tiennent au courant par différents canaux des menaces informatiques et les jeunes sont les plus avertis.

Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.