Résultats de l’Etude Menaces Informatiques & Pratiques de sécurité #MIPS2018

0
101

Au travers de l’édition 2016 de son enquête sur les menaces informatiques et les pratiques de sécurité (MIPS), le CLUSIF réalise, comme tous les 2 ans, un bilan approfondi des usages en matière de sécurité de l’information en France. 

Synthèse du Rapport MIPS “Menaces Informatiques et Pratiques de Sécurité” 

Cette conférence de restitution présentée par les responsables des trois volets de l’étude Lionel MOURER (administrateur du CLUSIF et président d’ATEXIO),Stéphane MONEGER (RSSI du CH de Brive) et Jérôme NOTIN (Directeur général de Cybermailveillance.gouv.fr), a été l’occasion de rappeler que cette enquête est unique en France se veut être une référence de par la taille et la représentativité des échantillons d’entreprises et des établissements de santé interrogés.

Entreprises : les attaques sont toujours bien présentes, mais… bis repetita, où est la gestion des incidents et le suivi de la sécurité ?

Point positif : le nombre d’acteurs de la SSI au travers de la mise en place d’organisations et de structures évolue toujours positivement… Pour autant, la « maturité SSI » stagne, principalement du fait 1] du manque de budget attribué à la SSI (36% des répondants), et 2] des contraintes organisationnelles (29%).

Côté budget, on constate une stagnation comparativement à 2016 (-1 point), pondérée par le fait que le poste ayant eu la plus grosse augmentation, cette année encore, est la mise en place de solution, avec 23% (27% des répondants ne savent pas…). On reste toujours dans la technique : ainsi pour beaucoup la sécurité reste une histoire de mise en place de solution technique…

Côté Politique de Sécurité de l’Information (PSSI), le nombre d’entreprises l’ayant formalisé continue sur la bonne pente à 75% (+ 6 points vs 2016 à isopérimètre) ; mais ce chiffre n’est que de 69% sur le nouveau périmètre, tiré vers le bas par les entreprises de 100 à 200 salariés. La DSI reste prépondérante dans la formalisation de la PSI (52%), alors que le RSSI est à 43%.

La fonction de Responsable de la Sécurité des Systèmes d’Information (RSSI ou RSI) est en recul entre 2016 et 2018 (67% vs 63%) et 85% des Banques-Assurances en ont un ! Les RSSI sont pour 49% d’entre eux rattachés à la Direction Générale améliorant grandement son « pouvoir d’arbitrage » et pour 30% à la DSI… L’importance du rôle de RSSI commencerait-elle à être comprise par les DG ? Concernant les ressources humaines, les chartes sont maintenant bien déployées (84% en ont) et la sensibilisation s’établit à 50%, dont 15% qui la mesure.

L’inventaire des actifs est réalisé à 87% et 61% des entreprises ont classifié leurs actifs. Par ailleurs, si 80% des entreprises ont inventorié les risques auxquels elles sont exposées, seules 29% d’entre elles ont réalisé une évaluation formelle s’appuyant sur une méthode ou un référentiel (EBIOS à 24%, ISO 27005 à 21%, MEHARI à 11%, etc.).

La cryptographie est toujours peu utilisée (30% en font l’usage) et lorsqu’elle l’est, c’est la DSI qui en a largement le contrôle (72%). La sécurisation physique passe par 3 dispositifs majeurs : détecteur incendie (73%), contrôle d’accès par badge (62%) et caméra (57%).

Du côté des technologies de protection, certains outils commencent à être un peu plus généralisés. Par exemple (chiffres 2016 vs 2018 à isopérimètre) : pare-feu sur PC portable passe de 80% à 88%, anti-virus/anti-malware sur smartphone et tablettes passent de 42% à 54%, pare-feu sur smartphone et tablettes passe 24% à 37%.

La formalisation des procédures de déploiement des correctifs de sécurité (patch management) est à 56% en 2018 et 75% des entreprises réalisent une veille permanente en vulnérabilités et en solutions de sécurité de l’information.

L’usage des équipements personnels (BYOD – Bring Your Own Device) est interdit pour 72% des entreprises… La sécurité dans le cycle de développement régresse encore et de fait reste toujours trop insuffisante : prise en compte à 14%, – 3 points vs 2016 à isopérimètre. Pourtant, un grand nombre d’attaques sont possibles du fait de failles applicatives liées au développement (injection, XSS, etc.).

L’infogérance représente toujours 44% de la gestion des SI des entreprises, dont 13% en totalité. Quand c’est le cas, 38% ne mettent toujours pas en place d’indicateurs de sécurité et 55% ne réalisent aucun audit sur cette infogérance. Ces chiffres sont encore plus flagrants sur les plus petites entreprises. Après une augmentation vertigineuse entre 2012 et 2016 (+28 points), l’utilisation du Cloud augmente toujours fortement cette année (+ 14 points) et près de la moitié (48%) des entreprises y font maintenant appel.

Côté « incidents de sécurité de l’information », le trio de tête est composé de (chiffre 2016 vs 2018 à isopérimètre) : pannes d’origine interne (31% vs 28%), infections par virus (44% vs 27%) et pertes de services essentiels (24% vs 22%). Malgré cela, seules 41% des entreprises disposent d’une cellule de collecte et de traitement des incidents de sécurité de l’information… De plus, au regard du Panorama de la Cybercriminalité du CLUSIF, 29% ont connu des attaques par Phishing(64% sans impact) et 17% via des fraudes au président.

Pour la continuité d’activité, c’est l’indisponibilité des « systèmes informatiques de gestion » qui représente le scénario le plus couvert (54%). Le BIA (Bilan d’Impact sur l’Activité), prenant en compte les attentes des « métiers » est réalisé 55% (dont 6 en cours) : comment les autres s’assurent-elles que leur PCA répond aux attentes de l’entreprise ? Enfin, pour ceux qui en dispose, 25% des plans « utilisateurs » et 20% des plans « IT » ne sont jamais testés : alors, sont-ils réellement efficients ?

Le RSSI n’intervient que pour 10% dans les déclarations « CNIL », en 4ème position après le DSI (34%), le Service RH (13%) et le CIL (11%). Le Règlement Général sur la Protection des Données (RGPD) a mobilisé de nombreuses ressources et 68% des entreprises se disent prêtes (dont 46% partiellement).

Sur une période de deux ans, 66% des entreprises interrogées ont réalisé au moins un audit ou contrôle de sécurité du Système d’Information (58% des audits d’architecture et 47% des tests d’intrusion). Ces audits sont motivés principalement par des exigences contractuelles ou règlementaires (33%), le respect de la PSSI (20%), des audits de tiers externes comme les assureurs ou les clients (16%).

Au secours : les tableaux de bord de la sécurité de l’information (TBSSI) baissent encore passant à 22% (vs 25% en 2016 à isopérimètre) ! Pourtant, le TBSSI reste un moyen simple et efficace, pour autant que l’on ait choisi les bons indicateurs, de ‘piloter’ la sécurité de l’information au sein de son entreprise…

Pour conclure ce résumé pour les Entreprises de plus de 100 salariés, on identifie clairement une meilleure maturité des plus grandes entreprises par rapport aux plus petites. Pour autant, les « attaques » sur l’information de désarment pas et chacun se doit de rester attentif dans la protection et prêt à réagir au moindre incident…

Établissement de santé : enfin une fonction RSSI au service de PSSI largement répandues !

L’enquête 2018 fait l’objet d’une modification significative de son périmètre, puisqu’il est étendu aux hôpitaux publics et structures d’hébergement médicalisé de plus de 100 lits. Les analyses développées dans ce document seront soit basées uniquement sur les données 2018, soit feront appel à des comparaisons avec les précédentes enquêtes avec des données 2018 « redressées périmètre 2014 ».

La sécurité des Systèmes d’Information de santé est soumise à un cadre réglementaire en constante évolution. Cette enquête va permettre de mesurer certains effets d’Hôpital numérique et autres exigences réglementaires (PGSSI-S, Certification des comptes, etc.). Elle traduit aussi les premiers impacts de la règlementation RGPD et des mises en œuvre des Groupements Hospitaliers de Territoire (GHT) : nouveaux métiers, stratégies de territoire, mutualisation…

Un des faits majeurs de l’étude est la croissance spectaculaire du nombre d’établissements ayant formalisé leur PSSI (de 50% des établissements en 2014 à 92% en 2018). Le pilotage de la sécurité de l’information s’appuie majoritairement sur des normes ou des référentiels.

Beaucoup d’établissements ont effectué un inventaire au moins partiel de leurs risques, et en ont déduit un plan de réduction de ces risques. Le gestionnaire des risques est principalement le RSSI. Il est très positif de noter globalement une « croissante forte de la fonction RSSI » qui est attribuée dans 80% des établissements. Cela devient un « vrai métier » exercé à temps plein dans presque 1 établissement sur 2 (le chiffre a doublé en 4 ans). On parle maintenant d’ « équipe » SSI dans 3/4 des établissements (+30%).

On constate en revanche que les établissements sont incapables de bien évaluer les coûts liés à la sécurité de l’information (81% des répondants). De même, peu d’établissements (1/3) font une analyse de l’impact financier des incidents.

Cependant ces mêmes établissements affirment que budget sécurité de l’information est en augmentation pour 1/3 d’entre eux. C’est une tendance forte par rapport à la précédente enquête qui pointait majoritairement une stabilité des budgets pour 2 établissements sur 3. L’enquête pointe quand même le manque de budget (pour 52% des répondants) et le manque de personnel qualifié (43%) comme les principaux freins à la conduite des missions de sécurité de l’information. Et là, il n’y a malheureusement pas d’amélioration par rapport à l’étude de 2014.

Tous les établissements ou presque ont une charte d’utilisation du SI. D’autre part, de plus en plus d’établissements mettent en place des procédures de gestion des départs (de 60% à 80% des établissements). Enfin, 3 établissements sur 5 ont un programme de sensibilisation à la sécurité de l’information (en croissance de 50% sur 4 ans), avec un gros focus sur les VIP.

L’inventaire des actifs (informations et supports) est quasiment généralisé. L’inventaire, au moins partiel des risques devient une généralité (81% des répondants) cependant avec le bémol que seulement 1/3 des établissements utilise une méthode (EBIOS, ISO 27005, MEHARI).

On constate une très nette priorité à la protection des outils de mobilité qui prend ainsi en compte la transformation des usages en particulier le nomadisme. De même, Il y a une augmentation significative du nombre d’établissements de santé effectuant de la veille en vulnérabilités. Mais seulement 1 sur 2 formalise des procédures de déploiement de correctifs de sécurité. Enfin, ces vulnérabilités concernent un périmètre mal maîtrisé en particulier le biomédical.

Le fait notable dans les pratiques de sécurité est le filtrage des accès internet qui explose, puisqu’il passe de 14% en 2010 à 75% des établissements en 2018. Il y a stabilité pour les interdictions qui frappent le BYOD (77%) et les RESEAUX SOCIAUX (44%).
Le recours à des spécialistes de l’hébergement de données de santé est relativement répandu puisque 42% des établissements ont externalisé tout ou partie de leur SI.

Les établissements semblent se donner les moyens de collecter les incidents de façon plus exhaustive, et d’être plus efficaces dans leur traitement (¾ des établissements ont une cellule contre moins de 50% en 2014). Parallèlement, l’enquête mesure un recul global de la sinistralité, mais les dépôts de plaintes et les signalements d’incidents graves restent faibles.

La gestion de la Continuité d’Activité continue à progresser dans le monde des hôpitaux à travers la mise en place de dispositifs de gestion de crise, ou la progression des tests de PCA/PRA.

Enfin, et concernant la conformité, plus de 8 établissements sur 10 déclarent être conformes aux exigences du Programme Hôpital Numérique. 56% des établissements seraient (partiellement) prêts pour le Règlement Général sur la Protection des Données (RGPD). Cette tendance, se matérialise en particulier à travers les audits puisque 7 établissements sur 10 déclarent mener en moyenne de 1 à 5 audits par an.

Internautes : de meilleures pratiques de sécurité, mais certaines sont encore difficiles d’adoption !

Cette année encore, l’échantillon pour réaliser notre étude est représentatif, après redressement, de la population française. Cette population, pour la première année, utilise son téléphone mobile autant que son ordinateur portable pour se connecter à Internet.

Sur le plan de l’économie collaborative, les usages sont très différents entre l’Île-de-France (+5 points de 22% à 27%) et la province car ceux-ci restent stables au niveau national (16%). Concernant l’utilisation des équipements personnels utilisés dans un cadre personnel, la baisse identifiée en 2016 se poursuit au même rythme soit -4 points pour atteindre 36%. Le paiement des achats en ligne par les internautes se fait encore majoritairement sur un ordinateur plutôt que sur une tablette ou un téléphone mobile : 51% des sondés se refuse à utiliser des équipements mobiles pour finaliser un achat potentiel.

D’une manière générale, la perception des risques sur les données détenues par les internautes est relativement stable depuis 2014. En parallèle, la perception des menaces liées à l’usage d’Internet sur la vie privée reste extrêmement forte, et stable depuis 2014 : 68% des sondés considère toujours en 2018 qu’Internet met leur vie privée en danger (16% fortement).

Malgré cette perception, seuls 58% déclarent vérifier et modifier régulièrement les paramètres de sécurité et confidentialité de leur profil sur les réseaux sociaux. En complément, l’étude ne montre pas d’évolution majeure dans l’utilisation des moyens de protection technique des équipements, et les équipements mobiles restent peu protégés : seulement un équipement sur deux dispose d’un moyen de protection.

Finalement et concernant les Internautes, le niveau d’information liés au droit des internautes sur leurs données détenues par les fournisseurs de services numériques est encore très faible. L’entrée en application cette année du RGDP permettra, à n’en pas douter, une meilleure appréhension de ces droits et une meilleure protection des données personnelles que ces fournisseurs de services détiennent sur les internautes : l’étude 2020 permettra de le valider…
 
Pour conclure

N’en doutons pas, la menace est encore bien présente et l’enquête montre de nouveau que les erreurs, les malveillances et les incidents de sécurité liés à l’information ne fléchissent pas !

La maturité des entreprises et des établissements de santé en matière de sécurité de l’information dépend encore pour beaucoup soit des « attaques » qu’ils ont vécues au sein de leur SI, soit des lois et règlements qui leur incombent. À quand une prise de conscience de la valeur de l’information sans obligation ?Le temps des politiques de sécurité « parapluie », que l’on formalise pour se donner bonne conscience, est globalement terminé ! les dirigeants doivent enfin le comprendre. Il y va de la survie de leurs organisations, au regard des enjeux qu’elles portent et des données dont elles ont la responsabilité…

Pour vous aider dans la mise en œuvre de vos mécanismes de sécurité de l’information (organisationnels et techniques, vous pouvez toujours prendre en compte les bonnes pratiques issues de (liste non exhaustive) l’ANSSI, de la CPME, du GIP ACYMA et bien entendu, du CLUSIF…