Menaces informatiques et Pratiques de sécurité en France Édition Paris, mercredi 25 juin 2014

Transcription

1 Menaces informatiques et Pratiques de sécurité en France Édition 2014 Paris, mercredi

2 Enquête 2014 Les Entreprises M. Lionel MOURER Administrateur Président Mme Annie BUTEL Responsable Continuité d'activité Groupe 2

3 Les entreprises présentation de l échantillon 350 entreprises françaises de plus de 200 salariés ont été interrogées Les personnes interrogées des RSSI dans 35 % des cas (53 % pour les entreprises de + de salariés) des responsables informatique dans 56 % des cas Les résultats sont redressés pour obtenir des chiffres représentatifs par secteur d activité et/ou par taille 3

4 Le Système d Information : épine dorsale des entreprises Votre entreprise a-t-elle une dépendance à l'informatique Niveaux de dépendance Forte : une indisponibilité de moins de 24 heures a des conséquences graves Modérée : une indisponibilité jusqu à 48 heures est tolérable Faible : une indisponibilité même de longue durée n a pas de conséquence grave 4

5 Un budget sécurité en légère progression Quelle a été l'évolution du budget sécurité par rapport à l'année précédente? Plus grosse augmentation : mise en place de solutions 5

6 Organisation : un RSSI qui s éloigne de la DG et qui dispose de moyens limités La fonction RSSI estelle clairement identifiée et attribuée? Le RSSI est rattaché à la Direction Générale dans 27 % des entreprises (32 en 2012, 34 % en 2010, 45 % en 2008) 6

7 Classification : légère avancée AdR : en (légère) régression Avez-vous inventorié toutes les informations et leur avez-vous attribué un propriétaire? Avez-vous réalisé une analyse formelle, basée sur une méthode, des risques liés à la sécurité du SI de votre entreprise? 7

8 Des actions de sensibilisation encore très partielles mais mieux contrôlées Existe-t-il un programme de sensibilisation à la sécurité de l information dans votre entreprise? Sensibilisation des VIP : elle passe de 18% en 2012 à 31% en 2014 est-ce l effet PRISM?... 8

9 Ouverture du SI et usage des nouvelles technologies : «rejet» du BYOD Politique d accès au SI 9

10 Menaces informatiques et Pratiques de sécurité Entreprises Technologies de sécurité utilisées 10

11 Infogérance, SaaS, ASP : encore peu usitée et un contrôle en baisse Avez-vous placé tout ou partie de votre SI sous contrat d'infogérance? Si oui, effectuez-vous des audits sur cette infogérance? 11

12 Une sinistralité en forte reprise Votre entreprise a- t-elle subi des incidents de sécurité de l information consécutifs à? 12

13 - Entreprises Un «dispositif de contrôle» toujours déficient Combien d audits de sécurité du SI sont menés sur une moyenne de 2 ans? Votre entreprise a-t-elle mis en place un tableau de bord de la sécurité informatique? 13

14 Gestion de la Continuité d Activité : quels scénarios? La gestion de la Continuité d Activité couvre-t-elle les scénarios suivants? Les entreprises qui ont un processus de continuité d activité passent de 69 % à 73 % Résultats stables mais baisse pour le scénario d indisponibilité d un fournisseur essentiel 14

15 Et les exigences Métier dans tout cela? Avez-vous évalué les exigences Métiers en termes de RTO et RPO dans le cadre d un BIA? Meilleure prise en compte des exigences Métiers! Lié à l externalisation croissante? 15

16 Menaces informatiques et Pratiques de sécurité Entreprises Les exercices utilisateurs en hausse! A quelle fréquence les PCA sont-ils testés par les utilisateurs désignés dans le cadre de l activation du PCA? Nette hausse, mais encore 25% n en font pas 16

17 Menaces informatiques et Pratiques de sécurité Entreprises Et les exercices techniques? A quelle fréquence les plans de continuité informatiques sont-ils testés? 4% des entreprises qui ne testaient jamais s y mettent! Nouvelle question sur l exhaustivité de la couverture des solutions testées : 59 % des entreprises couvrent 75 à 100 % de leurs solutions 17

18 Menaces informatiques et Pratiques de sécurité Entreprises Une gestion de crise en crise! La gestion de crise est-elle formalisée dans votre entreprise? Seulement 51% des entreprises ont une gestion de crise formalisée : baisse de 3 points en 2 ans Mais, grande disparité en fonction des secteurs 18

19 Menaces informatiques et Pratiques de sécurité Entreprises Une gestion de crise en crise! La gestion de crise dans votre entreprise comprendelle une cellule de crise? Là aussi forte dépendance du secteur d activité 19

20 Menaces informatiques et Pratiques de sécurité Entreprises Une gestion de crise en crise! La gestion de crise dans votre entreprise comprend-elle une salle de gestion de crise équipée ou un processus d escalade? Là aussi forte dépendance du secteur d activité mais peut mieux faire! 20

21 Au final : peut (encore) mieux faire! Le nombre de RSSI s accroît d année en année (c est bien!) dans un contexte financier et organisationnel toujours très contraint! Avec eux la maturité des entreprises en matière de sécurité de l information augmente, mais encore (trop?) doucement Reste (encore et toujours ) à traduire les politiques par des actions concrètes d amélioration de la sécurité «Celui qui déplace une montagne commence par déplacer de petites pierres» Confucius 21