Bien que se défendant de tout pessimisme, le Clusif (Club de la Sécurité de l’Information Français) publie son traditionnel rapport annuel sur l’état des menaces en France, et le résume en un mot : laborieux. Si les années précédentes ont été marquées par un effort (faible mais certain) dans le domaine des politiques de sécurité et des investissements en équipements et logiciels de protection, force est de constater que le mouvement s’essouffle. La faute à qui ou à quoi ? probablement aux restrictions budgétaires conjoncturelles qui affectent en priorité les postes « non directement productifs », probablement aussi en raison des forts investissements qui ont parfois grevés les budgets durant les années précédentes (SarbOx pour les entreprises internationales, Bales II, PCI-DSS, ISO 27xx…).
Dans le détail, l’étude du Clusif a porté cette année sur 30 entreprises (de plus de 200 personnes), 151 hôpitaux et 1000 internautes. La prise en compte par le Club de « l’homo informaticus » hors entreprise est d’autant plus intéressante qu’elle sert d’étalon à l’efficacité des campagnes de sensibilisation, en dehors de toute « influence » d’entreprise. En outre, le parc « grand public » tend à prendre une importance d’autant plus grande que 21 % des foyers possède désormais plus de 3 ordinateurs, que 80 % d’entre eux sont connectés en permanence, et que 58% accèdent à Internet en dehors de leur domicile. L’on pourrait presque avancer que le secteur grand public est plus « mobile » que celui des entreprises.
Dès que l’on aborde l’aspect sécurité lié à l’usage de l’informatique, il apparaît que le « ressenti » évolue très nettement dans le « bon sens »… ce qui ne veut pas dire que les attitudes et les pratiques suivent ces déclarations. Ainsi, 73% des internautes considèrent qu’internet met en danger leur vie privée. Un chiffre en nette hausse par rapport à l’an dernier. Que craignent ces usagers ? 80% des personnes craignent les virus, 76% les spywares, 71% spam, 68% les phishing et escroqueries… l’on pourrait presque dire que les craintes sont inversement proportionnelles à la fréquence des menaces. Paradoxalement, 68% ont peur des vols d’identité, 60% des intrusions, alors que dans les deux cas, les conséquences sont généralement plus « tangibles » et coûteuses qu’une « simple » attaque virale. Et si 59% des internautes utilisent une liaison wifi, elles font généralement preuve d’un manque de maturité avec risques de connexion à un « faux portail » ou à un « Rogue Access Point ». Paradoxe également cette notable « montée en confiance » des liaisons https. Ils étaient 94% l’an passé à faire attention à la présence du fameux « petit cadenas » lors d’une session sécurisée… 97% cette année. A l’heure où certaines banques américaines décident d’abandonner précisément ces techniques en raison du sentiment de fausse sécurité qu’elle procure et de la facilité avec laquelle une telle liaison peut être « simulée », l’on se rend compte que l’inertie des messages et des réactions du public.
Si, dans le secteur privé,les questions de sensibilisation et d’évaluation des menaces sont en revanche nettement mieux perçues et maîtrisées, cela ne veut pas pour autant dire que toutes les pratiques techniques sont mises en œuvres. Ainsi, après avoir interrogé un panel de 350 entreprises de plus de 200 salariés, le Clusif dégage quelques changements d’attitude par rapport à l’an passé. Notamment une nette croissance (+14%) de la mise en œuvre de politiques de Sécurité des Systèmes d’Information (SSI) dans les entreprises. Paradoxalement, alors que l’on voyait la SSI s’émanciper, l’an passé, des directions Informatiques pour dépendre directement des Directions Générales, la proportion de SSI chapeautés par la DSI est plus importante cette année. Ce n’est pas là un retour en arrière, mais une conséquence directe de l’accroissement du nombre de SSI. Croissance que confirme un autre chiffre, celui de l’augmentation du nombre de RSSI (49%, +12% vs 2008).
Côté outils, les investissements favorisent les « classiques » et les déploiements de certains outils frisent le 100%. Le tiercé gagnant est remporté par les antivirus, les firewall, les antispam (97,95 et 91%), suivis de loin par les IDS/IPS (34/27%, progression de +11% vs 2008), l’accès réseau –NAC- (23%), les outils de chiffrement (17%, +7%), le DLP (9%). Si les outils spécifiquement « fuite d’information » ont encore du mal à décoller, les mécanismes pouvant prévenir ces fuites se portent très bien. Et notamment le SSO (chez 21% des personnes interrogées, en hausse de 14%) et le Web SSO (8%, +5%).
Outre le traditionnel « périmétrique »,les hommes du métier agrandissent leurs panoplies et les outils de mesure. Pour preuve, une très nette diminution (-19%) des personnes annonçant ne pas avoir déclaré d’incident. Ils ne sont plus que 26%, ce qui serait la preuve non pas d’une augmentation des vulnérabilités ou des attaques, mais une meilleure appréhension des problèmes jusqu’à présent passés « sous les radars ».
Efforts également sur le plan des conformités.68% du panel se déclare conforme à la CNIL, 20% « conformes pour leurs traitements sensibles ». Les tableaux de bords de sécurité progressent de 11%, mais ne sont utilisés que dans 34% des entreprises. Même pauvreté de moyen à propos des audits de sécurité : près d’un quart des personnes interrogées avouent n’en avoir jamais fait.