Você está na página 1de 102

Menaces informatiques et pratiques de scurit en France

dition 2010

Les entreprises de plus de 200 salaris Les hpitaux Les particuliers Internautes

Club de la Scurit de lInformation Franais

Remerciements
Le CLUSIF remercie les personnes qui ont constitu le Comit dExperts ayant particip cette tude. NOM M. BESENVAL Stphane M. BOURCIER Stphane M. BOURSAT Jean-Marc M. BRUCKMANN Francis M. BUTEL Annie M. CALEFF Olivier M. CARTAU Cdric M. CHIOFALO Thierry M. CONSTANT Paul M. COURTECUISSE Hlne M. DOIDY Mathieu M. FREYSSINET ric M. GAZAY Emmanuel M. GIORIA Sbastien M. GOONMETER Nuvin M. GRONIER Loup M. GROSPEILLER ric M. GURIN Olivier M. HADOT Daniel M. HAMON Bruno M. JOUAS Jean-Philippe M. LOINTIER Pascal M. MINASSIAN Vazrik M. MOURER Lionel M. PEJSACHOWICZ Lazaro M. RICHY Paul M. RITZ Jean-Philippe M. ROSE Philippe M. ROULE Jean-Louis M. VANHESSCHE Patrick ENTIT OZSSI LE-DE-FRANCE MINISTRE DE LA DFENSE DEVOTEAM FT ORANGE BNP PARIBAS DEVOTEAM CHU NANTES BOLLOR LOGISTICS CLUSIF LISIS CONSEIL ACCENTURE GENDARMERIE NATIONALE ACCENTURE FR CONSULTANTS ACCENTURE DEVOTEAM MINISTRE DE LA SANT CLUSIF MINISTRES FINANCIERS SIDEXE CLUSIF CHARTIS ADENIUM ESR CONSULTING CNAMTS ORANGE OCLCTIC BEST PRACTICES SYSTMES D'INFORMATION CLUSIF CONSULTANT EN SCURIT DES SI

Le CLUSIF remercie galement vivement les reprsentants des entreprises et hpitaux ainsi que les internautes qui ont bien voulu participer cette enqute. Enqute statistique ralise pour le CLUSIF par le cabinet GMV Conseil et Harris Interactive.

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

3/102

Avant-propos
Une politique de scurit (de linformation) est la fois une ncessit conomique en raison de la dpendance croissante de nos activits aux informations numriques et parfois une ncessit rglementaire pour le respect dune conformit. Cest pourquoi, lemploi dune mthode danalyse de risques, telles que EBIOS ou MHARI, permet dapprcier ses besoins intrinsques de scurit et dordonner les priorits de mise en uvre de plans relatifs. Mais la connaissance des faits, de la ralit terrain , est tout aussi importante et cest pour cela que les rapports du CLUSIF ont toujours suscit un intrt de la part dun lectorat de plus en plus important. Autrefois appeles les statistiques du Clusif et ralises partir de donnes du monde de lassurance, ces rapports sont maintenant labors partir dune enqute nationale, par des professionnels, pour acqurir une photographie la plus reprsentative de lchantillon cibl : entreprise, administration, internaute Le nombre croissant de tlchargements, le rfrencement dans des prsentations en confrence et dans les formations, la traduction en anglais pour un accs international en sont dautres tmoignages. La lecture et lexploitation des donnes ainsi recueillies prsentent des avantages quelle que soit la nature de votre activit : pour le Responsable ou Fonctionnaire de la Scurit des Systmes dInformation ou pour un chef dentreprise, cest le moyen de mettre en perspective sa propre politique de scurit ou didentifier les freins rencontrs par des entreprises tierces, pour un Offreur de biens ou un Prestataire de services en Scurit des Systmes dInformation, cest mieux apprcier la nature du march, le dploiement des offres et/ou les attentes et besoins combler, pour nos services institutionnels et ceux en charge dune mission de veille, quelle soit technique, rglementaire ou socitale, cest lopportunit de dtecter des phnomnes mergents ou reprsentatifs dune volumtrie, voire sa contrapose si on considre par exemple la rticence toujours forte voquer les fraudes financires et les malveillances internes. La lecture de ce rapport peut donc se faire en multicritres et en fonction dun besoin immdiat ou non, sachant que les donnes restent relativement prennes ce qui justifie une livraison biennale. Enfin, au nom de lassociation et des futurs lecteurs, je tiens remercier lensemble des contributeurs ce rapport, professionnels membres de lassociation, mais aussi les experts invits collaborer ce Groupe de Travail.

Pascal LOINTIER Prsident du CLUSIF

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

4/102

Synthse de ltude
Au travers de ldition 2010 de son enqute sur les menaces informatiques et les pratiques de scurit (MIPS), le CLUSIF ralise, comme tous les 2 ans, un bilan approfondi des usages en matire de scurit de linformation en France. Cette enqute se veut tre une rfrence de par la taille et la reprsentativit des chantillons dentreprises (350 entreprises ont rpondu) et dhpitaux (151 ont rpondu) interrogs. Par ailleurs, elle se veut relativement exhaustive, puisque cette anne, elle passe en revue lensemble des 11 thmes de la norme ISO 27002, relative la scurit des Systmes dInformation. Enfin, cette anne, elle reprend le volet trs complet consacr aux pratiques des particuliers utilisateurs dInternet domicile (1 000 rpondants). Cette synthse reprend lune aprs lautre chacune des thmatiques abordes et en prcise les tendances les plus remarquables.

Entreprises : le travail continue laborieusement !


Avec un sentiment de dpendance l'informatique toujours en hausse, les entreprises continuent davancer dans la prise en compte de la Scurit des Systmes dInformation (SSI). Toutefois, les changements concrets se font petits pas La prise en compte thorique de la SSI est de plus en plus visible, tant dans la formalisation de la Politique de Scurit des Systmes dInformation (PSSI) (73%, + 14% vs 2008), lexistence de charte SSI (67%, +17% vs 2008) que dans lvolution du nombre de Responsables de la SSI (RSSI) (49%, + 12% vs 2008) ; avec toutefois une baisse quant son rattachement la Direction Gnrale (34%, - 11% vs 2008), certainement lie au fait que les RSSI rcents proviennent souvent de la Direction des Systmes dInformation (DSI). Lutilisation des normes est galement en hausse. On constate, depuis prs de 4 ans maintenant, la mise en place dune organisation et de structures de la SSI (RSSI, Correspondant Informatique et Liberts (CIL), PSSI, charte, etc.) sans que, toutefois, la mise en application concrte de ces politiques ne dcolle rellement ! Les budgets restent trs serrs, parfois inconnus, et encore souvent rservs la mise en uvre concrte de moyens techniques au dtriment de la sensibilisation des utilisateurs (57% nen font pas). Nouvel entrant cette anne dans notre enqute, le thme ISO 27002 numro 9 (scurit physique), nous montre que pour 41% des entreprises, le responsable des donnes papier nest pas clairement identifi. Peu de diffrences dans lutilisation des technologies de scurit, lanti-virus, le pare-feu et lanti-spam restent trs largement en tte (respectivement 97%, 95% et 91%). Les IDS/IPS, technologies arrives maturit, progressent (34% et 27%, +11% vs 2008). Le chiffrement pour les utilisateurs volue (17%, +7% vs 2008), mais reste un niveau faible. Les technologies rcentes (type NAC ou DLP) peinent se dployer (respectivement 23% et 9%) Seul 10% des entreprises ont plac leur SI sous infogrance et quand cest le cas, prs dune sur trois ne met pas en place dindicateurs de scurit !

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

5/102

Ct contrle daccs, le SSO et le Web-SSO dcollent enfin (respectivement 21% et 8%, +14% et +5% vs 2008), signe dune meilleure prise en compte de la simplification daccs des utilisateurs. Cerise sur le gteau, ce mcanisme permet galement une meilleure traabilit. Parmi les points positifs : la veille est de plus en plus ralise, tant sur les vulnrabilits que sur les solutions de scurit (34%, +13% vs 2008). Idem pour les procdures de dploiement de correctifs de scurit ou patch management (64%, +16% vs 2008). Autre point positif, un mieux sur la gestion des incidents, avec une quantit dincidents identifie en hausse (26% dclare ne pas avoir eu dincident, -19% vs 2008), certainement d des mcanismes dalerte plus pertinents, pour un niveau de dpt de plainte quasi identique 2008 (5%, -1%). Reste que 33% (-7% vs 2008) des entreprises ne disposent toujours pas dun plan de continuit dactivit pour traiter les crises majeures ! Enfin, les aspects conformit , pour lesquels des progrs restent faire, au travers : des obligations CNIL : en lgre progression (68% conforment , 20% conforment pour leurs traitements sensibles , respectivement +4% et +1% vs 2008), des audits de scurit : 25% des entreprises nen font toujours pas !, du tableau de bord de la scurit informatique : 34% seulement en dispose (malgr les +11%).

Hpitaux : la scurit est en marche !


Avec la parution au Journal Officiel le 29 novembre 2009 des arrts actant la dissolution du GIP-CPS (Groupement dIntrt Public - Carte de Professionnel de Sant) et llargissement du primtre des missions de lAgence des Systmes dInformation Partags de sant (ASIP), une nouvelle tape a t franchie dans la rforme de la gouvernance des systmes dinformation de sant. Sur la page daccueil de son site internet, lASIP affirme : Scuriser les donnes de sant : une condition indispensable au dveloppement du Dossier Mdical Personnel (DMP) et de la tlmdecine . Les directions informatiques des hpitaux sont de plus en plus convaincues de la ncessit absolue du pilotage mdical des projets et de la participation des soignants : la scurit doit devenir une valeur partager, do lapparition dans les hpitaux ou un niveau rgional de responsables scurit des systmes dinformation (RSSI), qui cumulent souvent leur fonction avec celle de Correspondant Informatique et Liberts (CIL). La mise en conformit des tablissements avec le dcret confidentialit relve aussi de leurs comptences. De huit membres en 2008, le club des RSSI hospitaliers est pass une quinzaine en 2009. Les thmes abords sont notamment : lidentifiant patient (IP) et le problme des appareils biomdicaux. Par ailleurs, dans le cadre du projet de loi Hpital Sant Patients Territoires (HPST), il a t dcid de regrouper la MAINH (Mission nationale dAppui lInvestissement Hospitalier, la MEAH (Mission nationale dExpertises et dAudites Hospitaliers) et le GMSIH (Groupement pour la Modernisation des Systmes dInformation de Sant) au sein dune nouvelle entit : lAgence Nationale dAppui la Performance des tablissements de sant et mdico-sociaux (ANAP). La Scurit apparat maintenant souvent comme une proccupation de la Gouvernance des hpitaux (soutenue 94% par la DG) : la monte en puissance des contraintes lgislatives et rglementaires nest pas trangre cette tendance. Llaboration de la Politique de Scurit
Menaces informatiques et pratiques de scurit en France CLUSIF 2010 6/102

et des plans daction est de plus en plus lie lanalyse de risques, base principalement sur les directives du GMSIH (36%). Depuis la dernire enqute en 2006, les hpitaux ont adopt les chartes de scurit (63%, +21% vs 2006) et mis en place des CIL (39%, +10%). Ils nont pas rsist au nomadisme, ni au dveloppement des rseaux sans fil et de la tlphonie sur IP. En progression, la dtection des incidents de scurit : laugmentation des vols de matriels informatiques (44%) et de la perte de services essentiels (46%) est forte, en raison de laugmentation de la pntration des Systmes dInformation dans les actes mdicaux. En retrait toujours : la sensibilisation gnrale des salaris la scurit de linformation (27%, +2% vs 2006), la mise en place de plans de continuit mtiers (54% en tout ou partie, +18% vs 2006), les audits de scurit (49% nen font pas) et les tableaux de bord de suivi (7%, +1% vs 2006). Mme si travers cette enqute MIPS 2010 on peut constater quelques rponses discordantes, probablement dues la subjectivit de l'observation sur des domaines difficilement quantifiables, ou au fait que la scurit est encore dpendante de la culture de chaque tablissement, il apparat clairement que les dfis relever par les hpitaux dans les prochaines annes sont encore importants et multiples !

Vers une matrise de la scurit par les Internautes ?


Dune manire gnrale, la perception de la menace (spam, fishing, intrusion, virus, logiciel espion, etc.) rsultant de la connexion Internet est en trs lgre diminution par rapport ltude prcdente (23% risque important ou trs important , vs 25% en 2008). En revanche, le sentiment de danger concernant la protection de la vie prive augmente (73% mise en danger de la vie prive - fortement ou un peu , vs 60% en 2008). Concernant les usages, ils voluent peu : 96% stockent et manipulent des photos ou des vidos, 90% traitent des documents personnels (courriers, comptabilit, etc.), seuls 42% traitent des documents professionnels (-7% vs 2008). Enfin, concernant le paiement dachats en ligne, les blocages diminuent. En effet, 90% des internautes dclarent accepter de le faire : 68% sous conditions (utilisation de https : 99% de confiance, notorit de lenseigne accde : 72% de confiance ou utilisation dune e-card : 68% de confiance), et 22% sans condition Enfin et concernant les moyens et comportements de scurit mis en uvre, on observe que les ordinateurs sont peu protgs par des mots de passe (5%) ou des contrles biomtriques (11%), mais aussi que les mises jour de scurit semblent tre dployes rgulirement (+90%), quil sagisse de dploiement automatique ou manuel. Les mesures de protection professionnelles sont trs peu utilises sur lordinateur familial : 80% nutilisent pas de chiffrement, 88% nont pas dantivol physique et 65% nont pas de protection de leur alimentation lectrique Au final, nous observons une banalisation de lusage Internet, avec un sentiment de scurit qui ne change pas grce une meilleure connaissance de loutil informatique et de ses dangers. La menace semble se transfrer vers une proccupation plus importante concernant les donnes personnelles.

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

7/102

Pour conclure
Pour autant, la menace ne faiblit pas et notre enqute montre de nouveau que les malveillances et les incidents de scurit sont bien prsents : attaques virales, vols de matriel, accroissement des problmes de divulgation dinformation et attaques logiques cibles sont toujours au menu ! Passer des politiques de scurit parapluie , que lon formalise pour se donner bonne conscience, vers des pratiques tangibles, vritablement ancres dans les processus de gestion de linformation, reste lenjeu pour les annes venir Pour les plus courageux dentre vous, ltude dtaille et argumente vous attend dans le reste de ce document Bonne lecture !

Lionel MOURER Pour le Groupe de Travail Enqute sur les menaces informatiques et les pratiques de scurit

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

8/102

Sommaire
REMERCIEMENTS .................................................................................... 3 AVANT-PROPOS ..................................................................................... 4 SYNTHESE DE LETUDE ............................................................................ 5 SOMMAIRE ............................................................................................ 9 LISTE DES FIGURES ................................................................................11 METHODOLOGIE ....................................................................................13 LES ENTREPRISES ..................................................................................16
Prsentation de lchantillon....................................................................... Dpendance linformatique des entreprises de plus de 200 salaris ....................... Moyens consacrs la scurit de linformation par les entreprises ......................... Thme 5 : Politique de scurit ................................................................... Thme 6 : Organisation de la scurit et moyens ............................................... Thme 7 : La gestion des risques lis la scurit des SI ...................................... Thme 8 : Scurit lie aux Ressources Humaines .............................................. Thme 9 : Scurit Physique ....................................................................... Thme 10 : Gestion des oprations et des communications ................................... Thme 11 : Contrle des accs logiques .......................................................... Thme 12 : Acquisition, dveloppement et maintenance ...................................... Thme 13 : Gestion des incidents Sinistralit .................................................. Thme 14 : Gestion de la continuit dactivit .................................................. Thme 15 : Conformit .............................................................................. 16 17 17 20 22 25 27 29 30 36 38 40 42 45

LES HOPITAUX ......................................................................................52


Prsentation de lchantillon....................................................................... Budget Informatique ................................................................................. Moyens consacrs la scurit de linformation ................................................ Thme 5 : Politique de scurit ................................................................... Thme 6 : Organisation et moyens ................................................................ Thme 7 - Gestion des biens / Inventaire ........................................................ Thme 8 Ressources humaines ................................................................... Thme 9 Scurit physique du dossier patient papier ........................................ Thme 10. Gestion des communications et des oprations .................................... Thme 11 Contrle daccs ....................................................................... Thme 12 - Acquisition dveloppement et maintenance du SI ................................ Thme 13 Gestion des incidents ................................................................. Thme 14. Gestion de la continuit ............................................................... Thme 15 - Conformit .............................................................................. 52 53 54 55 57 58 60 62 63 67 68 70 74 78

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

9/102

LES INTERNAUTES .................................................................................82


Prsentation de lchantillon....................................................................... 82 Partie I Identification et inventaire ............................................................. 83 Partie II Perception de la menace rsultant de la connexion Internet et sensibilit de lutilisateur ........................................................................................... 84 Partie III Les usages de linternaute ............................................................. 89 Partie IV Moyens et comportements de scurit............................................... 94

GLOSSAIRE ........................................................................................ 100

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

10/102

Liste des figures


Figure 1 Dpendance des entreprises l'informatique.............................................................. 17 Figure 2 Part du budget informatique allou la scurit dans les entreprises ............................... 18 Figure 3 volution du budget scurit selon les secteurs d'activits ............................................. 18 Figure 4 volution du budget scurit ................................................................................. 19 Figure 5 Existence d'une politique scurit ........................................................................... 20 Figure 6 Support de la Direction Gnrale la PSI .................................................................. 20 Figure 7 - Appui de la PSI entreprise sur une norme de scurit ............................................... 21 Figure 8 Attribution de la fonction RSSI ............................................................................... 22 Figure 9 Prise en charge de la fonction RSSI, lorsquil nexiste pas de RSSI .................................... 22 Figure 10 - Rattachement hirarchique du RSSI au sein de lentreprise ........................................... 23 Figure 11 - Rpartition des missions du RSSI ............................................................................ 23 Figure 12 - Effectif total de lquipe scurit permanente au sein de lentreprise ............................. 24 Figure 13 Inventaire et attribution dun propritaire des informations de lentreprise ...................... 25 Figure 14 Nombre de degrs de sensibilit de linformation identifis .......................................... 25 Figure 15 Mthode d'analyse des risques utilise .................................................................... 26 Figure 16 Existence d'une charte de scurit ......................................................................... 27 Figure 17 Existence d'une charte de scurit : un effet de taille ................................................. 27 Figure 18 Outils de sensibilisation la scurit ...................................................................... 28 Figure 19 Responsables de la scurit physique des donnes sur papier ........................................ 29 Figure 20 - Accs au Systme d'Information de l'entreprise ......................................................... 30 Figure 21 - Technologies de scurit / lutte antivirale, anti-intrusion, gestion des vulnrabilits .......... 32 Figure 22 Part des SI sous contrat dinfogrance .................................................................... 34 Figure 23 - Suivi de linfogrance par des indicateurs de scurit ................................................. 34 Figure 24 Ralisation daudit sur linfogrance ...................................................................... 35 Figure 25 - Technologies de contrle d'accs logique dployes en entreprise .................................. 37 Figure 26 Veille en vulnrabilits et en solutions de scurit ..................................................... 38 Figure 27 - Formalisation des procdures de dploiement de correctifs de scurit ........................... 38 Figure 28 - Dlai ncessaire pour dployer les correctifs en cas de menace grave ............................. 39 Figure 29 Existence dune cellule de collecte et de traitement des incidents de scurit .................. 40 Figure 30 Dpts de plaintes suite des incidents lis la scurit de linformation ........................ 40 Figure 31 Typologie des incidents de scurit ........................................................................ 41 Figure 32 - Existence dun processus de gestion de la continuit d'activit ...................................... 42 Figure 33 Couverture de la gestion de la continuit d'activit .................................................... 42 Figure 34 - Frquence des tests et des mises jour des plans de continuit..................................... 43 Figure 35 - Types de solution de secours informatique mises en uvre .......................................... 44 Figure 36 Existence dun Correspondant Informatique et Libert ................................................ 45 Figure 37 - Types de donnes traites par les entreprises et mesures de scurits mises en uvre ........ 46 Figure 38 Nombre d'audits de scurit du SI ralis en moyenne par an ........................................ 47 Figure 39 - Types d'audits ou de contrles de scurit raliss ..................................................... 47 Figure 40 Motivations pour la ralisation des audits ................................................................ 48 Figure 41 - Mise en place dun tableau de bord de la scurit ...................................................... 49 Figure 42 Destinataires du tableau de bord de la scurit ......................................................... 49 Figure 43 - Indicateurs suivis dans le tableau de bord de la scurit .............................................. 50 Figure 44 Taille des hpitaux interrogs .............................................................................. 52 Figure 45 Profil des interviews ......................................................................................... 53 Figure 46 Rpartition des budgets informatiques .................................................................... 53 Figure 47 Part du budget informatique consacre la scurit des Systmes dInformation ............... 54 Menaces informatiques et pratiques de scurit en France CLUSIF 2010 11/102

Figure 48 Normes de scurit utilise pour supporter la Politique de Scurit de l'Information .. 55 Figure 49 Entits ayant contribu llaboration de la Politique de scurit ................................. 56 Figure 50 Temps consacr par le RSSI aux diffrentes tches ..................................................... 57 Figure 51 Ralisation de linventaire des informations ............................................................. 58 Figure 52 Ralisation dune analyse des risques ..................................................................... 58 Figure 53 Existence dune charte de scurit destination du personnel ...................................... 60 Figure 54 Moyens utiliss pour assurer la sensibilisation du personnel .......................................... 61 Figure 55 Scurit des nouvelles technologies ....................................................................... 63 Figure 56 Infogrance du Systme dInformation .................................................................... 65 Figure 57 Suivi de linfogrance par des indicateurs de scurit ................................................. 65 Figure 58 Audits de linfogrance ....................................................................................... 66 Figure 59 Existence dune procdure formelle d'enregistrement, de rvision et de dsinscription ........ 67 Figure 60 Existence de rgles de constitution et de premption des mots de passe .......................... 67 Figure 61 Veille permanente en vulnrabilits et solutions de scurit ......................................... 68 Figure 62 Dlai moyen ncessaire pour dployer les correctifs ................................................... 69 Figure 63 Types dincidents survenus .................................................................................. 70 Figure 64 Natures des principaux incidents survenus ............................................................... 71 Figure 65 Rsorption de limpact financier des sinistres ........................................................... 72 Figure 66 Existence dun processus formalis et maintenu de la gestion de la continuit dactivit ...... 74 Figure 67 La gestion de la continuit dactivit concerne ....................................................... 74 Figure 68 Frquence des tests et mises jour des plans de continuit dactivit ............................. 75 Figure 69 Existence dun processus formalis de gestion de crise ................................................ 76 Figure 70 Solutions de secours .......................................................................................... 76 Figure 71 Frquence des audits ......................................................................................... 79 Figure 72 Nature des audits .............................................................................................. 79 Figure 73 Menaces sur les fichiers et le matriel .................................................................... 84 Figure 74 Menaces sur la vie prive .................................................................................... 84 Figure 75 volution des dangers ........................................................................................ 85 Figure 76 volution de la perception des menaces lies aux spams et au phishing ........................... 85 Figure 77 volution de la perception des menaces lies aux intrusions, aux virus et aux logiciels espions ........................................................................................................................... 86 Figure 78 volution de la perception des menaces lies au vol didentit ...................................... 86 Figure 79 Perception des menaces lies au wifi...................................................................... 87 Figure 80 Perception des facteurs aggravant les risques ........................................................... 87 Figure 81 Types dusage de lordinateur familial .................................................................... 89 Figure 82 Connexion distance aux rseaux dentreprises ........................................................ 90 Figure 83 Tlchargements de films et vidos ....................................................................... 90 Figure 84 Usage de lordinateur familial pour stocker ou manipuler des documents de travail ............ 91 Figure 85 Usage des rseaux sociaux ................................................................................... 91 Figure 86 Critres de confiance dans la scurit pour les paiements en ligne ................................. 92 Figure 87 Critres de scurit pour les paiements en ligne ........................................................ 93 Figure 88 Politique de mise jour ...................................................................................... 94 Figure 89 Protection par onduleur ...................................................................................... 95 Figure 90 Usage des mots de passe douverture de session ........................................................ 95 Figure 91 Usage protections poste de travail ......................................................................... 96 Figure 92 Politique de sauvegarde ...................................................................................... 96 Figure 93 Sentiment de scurit ........................................................................................ 97

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

12/102

Mthodologie
Lenqute du CLUSIF sur les menaces informatiques et les pratiques de scurit en France en 2010 a t ralise au cours des mois de janvier et fvrier 2010, en collaboration avec le cabinet spcialis GMV Conseil, sur la base de questionnaires denqute labors par le CLUSIF. Trois cibles ont t retenues pour cette enqute : les entreprises de plus de 200 salaris : 350 entreprises de cette catgorie ont rpondu cette enqute, les hpitaux : 151 hpitaux ont accept de rpondre cette enqute, les particuliers internautes : 1 000 individus, issus du panel d'internautes de l'institut spcialis Harris Interactive, ont rpondu cette enqute via Internet.

Pour les deux premires cibles, le questionnaire utilis a t construit en reprenant les thmes de la norme ISO 27002 dcrivant les diffrents items couvrir dans le domaine de la scurit de linformation. Lobjectif tait de mesurer de manire assez complte le niveau actuel dimplmentation des meilleures pratiques de ce domaine. Ces diffrents thmes, numrots dans la norme de 5 15, sont les suivants : thme 5 : Politique de scurit, thme 6 : Organisation de la scurit et moyens, thme 7 : Gestion des actifs et identification des risques, thme 8 : Scurit des ressources humaines (charte, sensibilisation), thme 9 : Scurit physique et environnementale, thme 10 : Gestion des communications et des oprations, thme 11 : Contrle des accs, thme 12 : Acquisition, dveloppement et maintenance, thme 13 : Gestion des incidents de scurit, thme 14 : Gestion de la continuit, thme 15 : Conformit (CNIL, audits, tableaux de bord).

Pour ce qui concerne les particuliers internautes, les thmes suivants ont t abords : caractrisation socioprofessionnelle des personnes interroges et identification de leurs outils informatiques, perception de la menace informatique, sensibilit aux risques et la scurit, incidents rencontrs, usages de linformatique et dInternet domicile, pratiques de scurit mises uvre (moyens et comportement).

Les rponses aux questions ont t consolides par GMV Conseil en prservant un total anonymat des informations, puis ont t analyses par un groupe dexperts du CLUSIF, spcialistes du domaine de la scurit de linformation. Afin de simplifier la comprhension du document, le choix a t fait de ne citer que les annes de publication des rapports, savoir 2010, 2008 et 2006. Les enqutes ont t ralises sur le premier trimestre de lanne de publication et les chiffres cits portent donc sur lanne prcdente, respectivement 2009, 2007 et 2005. Enfin, le groupe dexperts tient galement prciser que toute enqute de ce type contient ncessairement des rponses discordantes dues la subjectivit de l'observation sur des domaines difficilement quantifiables ou, dans le cas du domaine spcifique de la scurit du SI, de la culture et de la maturit de chaque entreprise, hpital ou internaute. Menaces informatiques et pratiques de scurit en France CLUSIF 2010 13/102

Entreprises
Prsentation de lchantillon Dpendance linformatique entreprises de plus de 200 salaris Moyens consacrs la scurit linformation par les entreprises Thme 5 : Politique de scurit Thme 6 : Organisation de la scurit et moyens Thme 7 : La gestion des risques lis la scurit des SI Thme 8 : Scurit lie aux Ressources Humaines Thme 9 : Scurit physique Thme 10 : Gestion des oprations et des communications Thme 11 : Contrle des accs logiques Thme 12 : Acquisition, dveloppement et maintenance Thme 13 : Gestion des incidents Sinistralit des de

Thme 14 : Gestion de la continuit dactivit Thme 15 : Conformit

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

15/102

Les Entreprises
Prsentation de lchantillon
Pour l'dition 2010 de son enqute, le CLUSIF souhaitait interroger exactement le mme chantillon d'entreprises que celui interrog en 2006 et 2008 afin de pouvoir comparer les progrs ou les ventuelles rgressions. Ainsi, la cible est constitue des entreprises de plus de 200 salaris des secteurs d'activit suivants : Industrie, BTP, Commerce, Transport Tlcoms, Services Finance.

350 entreprises ont rpondu la sollicitation du CLUSIF (entretien de 28 minutes en moyenne), avec un taux d'acceptation d'environ 10% (en hausse de 4% par rapport 2008) : sur 100 entreprises contactes, seulement 10 ont accept de rpondre nos questions, ce qui a impliqu d'appeler environ 3 500 entreprises ! Lchantillon est construit selon la mthode des quotas avec 2 critres leffectif et le secteur dactivit des entreprises pour obtenir les rsultats les plus reprsentatifs de la population des entreprises. Cet chantillon est ensuite redress sur leffectif et le secteur dactivit pour se rapprocher de la ralit des entreprises franaises, sur la base des donnes INSEE.

Entreprise Type Industrie BTP Commerce

Taille .

200-499 salaris 68 8 24 17 20 137 39,1% 65%

500-999 salaris 36 7 9 7 16 75 21,4% 19%

1 000 et plus 39 8 15 29 47 138 39,4% 16%

Total 143 23 48 53 83 350

Total en % 40,9% 6,6% 13,7% 15,1% 23,7% 100,0%


Redressement

Donnes INSEE 42% 6% 17% 9% 27% 100%

Transport Tlcoms Services - Finance Total Total en %


Redres s ement

Donnes INSEE

100%

Au sein de chaque entreprise, nous avons cherch interroger en priorit le Responsable de la Scurit des Systmes dInformation (RSSI). Celui-ci a rpondu pour 29% (21% en 2008) des entreprises interroges, mais plus de 40% dans les plus de 1 000 salaris. Toutes tailles et secteurs confondus, les personnes sondes sont 72% des DSI (Directeur des Systmes dInformation), des Directeurs ou Responsables informatiques ou des RSSI.

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

16/102

Les entreprises de plus de 200 salaris

Dpendance linformatique des entreprises de plus de 200 salaris


Le Systme dInformation stratgique pour toutes les entreprises
L'enqute confirme cette anne encore que l'informatique est perue comme stratgique par une trs large majorit des entreprises : tous secteurs confondus et quelle que soit leur taille, 73% d'entre elles jugent lourde de consquences une indisponibilit de moins de 24h de leurs outils informatiques (avec un maximum de 83% pour le secteur du commerce). Votre entreprise a-t-elle une dpendance linformatique

Forte; 80%

Modre; 19%

1%

0%

10%

20%

30%

40% Forte

50% Modre

60% Faible

70%

80%

90%

100%

Figure 1 Dpendance des entreprises l'informatique

Moyens consacrs la scurit de linformation par les entreprises


Un budget informatique moyen 1,45 million
Lorsqu'on les interroge sur leur budget informatique, 51% des entreprises rpondent (soit 2 fois plus quen 2008). Ainsi, 58% ont un budget infrieur 1 million d'euros, 20% compris entre 1 et 2 millions d'euros et 15% entre 2 et 5 millions d'euros. Enfin, 7% des budgets sont suprieurs 5 millions d'euros pour un maximum de 20 millions d'euros.

Un budget scurit dont le primtre semble encore et toujours mal cern


Plutt que de les interroger sur un budget en valeur absolue, peu significatif s'il n'est pas trs prcisment corrl avec les caractristiques de taille et de mtier de chaque rpondant, nous avons interrog les RSSI sur la part du budget informatique ddi la scurit de l'information. Peu dvolution entre les rsultats des annes prcdentes et ceux que nous dcouvrons aujourdhui. Les responsables scurit ont toujours des difficults se positionner puisque 30% dentre eux (mme chiffre quen 2008) avouent ne pas savoir quel poids leur budget reprsente dans le budget informatique. De plus, lorsque ce budget est clairement identifi par rapport au budget informatique, on ne peut que constater une grande htrognit.

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

17/102

Les entreprises de plus de 200 salaris

Quel pourcentage reprsente le budget scurit par rapport au budget informatique ?

2010

7%

20%

26%

16%

30%

2008 0%

14%

19% 20% Moins de 1%

16% 40% De 1 3%

21% 60% De 3 6% Plus de 6%

30% 80% Ne sait pas 100%

Figure 2 Part du budget informatique allou la scurit dans les entreprises

Une inquitante stagnation des budgets scurit


En terme d'volution, il est intressant de noter que ces budgets sont majoritairement constants et quelle que soit la taille de l'entreprise. Ce sentiment de stagnation est heureusement relativis quelques augmentations : 61% des entreprises du secteur BTP et 43% des Transport et Tlcoms augment leur budget cette anne, parfois de manire trs importante (15% des entreprises du BTP not une augmentation de plus de 10% de leur budget). En 2010, quelle a t l'volution du budget scurit (par secteur) ?
Services Finance Transport 2% Tlcoms Industrie 11%

ce, par ont ont

13%

39%

27%

20%

49%

43%

7%

52%

23%

14%

Commerce 2%

69%

11%

18%

BTP 0% 0% 10%

36% 20% 30% 40% Constant 50% 60%

61% 70% 80% Ne sait pas 90%

4% 100%

En rgression

En augmentation

Figure 3 volution du budget scurit selon les secteurs d'activits

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

18/102

Les entreprises de plus de 200 salaris

En 2010, quelle a t l'volution du budget scurit par rapport 2008 ?

2010 4% 6%

48%

18%

8%

16%

2008 2% 3%

43%

19%

18%

15%

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

En forte rgression (plus de 10%) Constant En forte augmentation (plus de 10%)

En rgression (moins de 10%) En augmentation moyenne (moins de 10%) Ne sait pas

Figure 4 volution du budget scurit

Les contraintes organisationnelles et le budget freinent le RSSI


Enfin, lorsque l'on cherche connatre les freins la conduite des missions de scurit dans leur entreprise, les RSSI citent par ordre dimportance dcroissante : 1re raison cite (45%, +10% vs 2008) : le manque de budget, 2me raison cite (30%, -6% vs 2008) : les contraintes organisationnelles, 3me raison cite (24%, -3% vs 2008) : la rticence de la hirarchie, des services ou des utilisateurs, 4me raison cite (14%, -9% vs 2008) : le manque de personnel qualifi, 5me raison cite (13%, hors top 5 en 2008) : le manque de connaissance.

Les deux freins principaux sont le manque de moyens budgtaires (+10% par rapport 2008 : nous navons pas fini de nous alarmer) et les contraintes organisationnelles. Au chapitre des bonnes nouvelles, la rticence de la Direction des Systmes dInformation sort du top 5 (3% seulement, contre 8% en 2008) et lutilisateur du Systme dInformation semble de moins en moins systmatiquement peru comme une gne par les RSSI. Le manque de personnel qualifi tait le frein numro 2 en 2006, 4me en 2008, place quil occupe toujours, tout en perdant 9%. Ce rsultat pourrait sembler satisfaisant si ce ntait que le dtail des rponses montre un rsultat moins convenable quil ny parat puisque plus dun RSSI sur deux dnoncent ce manque de personnel comme frein majeur (choix 1 ou choix 2 des freins les plus importants). Lagitation forcene du march de lemploi dans le secteur de la SSI et le toujours haut niveau du nombre doffres restent dailleurs dautres tmoins de cette insatisfaction continue.

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

19/102

Les entreprises de plus de 200 salaris

Thme 5 : Politique de scurit


Une formalisation qui augmente toujours
Le nombre dentreprises ayant formalis leur Politique de Scurit de lInformation (PSI) a augment de prs de 10% en deux ans. Aujourdhui, prs des deux tiers des entreprises ont formalis leur PSI, alors quen 2008, un peu plus de la moiti lavaient labor. Votre entreprise a-t-elle formalis sa Politique de Scurit de l'Information (PSI) ?

2010

63%

37%

0%

2008

55%

42%

3%

0%

10%

20%

30%

40% Oui

50% Non

60% Ne sait pas

70%

80%

90%

100%

Figure 5 Existence d'une politique scurit

De plus, cette politique est jour dans la mesure o 75% des entreprises interroges lont actualise il y a moins de deux ans. Dailleurs la PSI des entreprises est massivement soutenue par la Direction Gnrale (73% en 2010, +14% vs 2008), qui a contribu pour plus de la moiti son laboration. La Politique de Scurit de l'Information est-elle soutenue par la Direction Gnrale de votre entreprise ?

2010

73%

21%

4%

2%

2008

59%

36%

4%

1%

0%

10%

20%

30%

40%

50% Oui, en partie

60% Non

70%

80%

90%

100%

Oui, en totalit

Ne sait pas

Figure 6 Support de la Direction Gnrale la PSI

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

20/102

Les entreprises de plus de 200 salaris

En outre, mme si environ un tiers des entreprises fondent leur Politique de Scurit de lInformation (PSI) sur les normes ISO (27001, 27002, 27799), il convient de remarquer que prs de la moiti des entreprises ne sappuie sur aucune norme. La Politique de Scurit de lInformation (PSI) de votre entreprise s'appuie-t-elle sur des normes de scurit ?
Non ISO 2700x Guide PSSI ANSSI ISO 27799 EBIOS MEHARI Autre Ne sait pas 0% 7% 5%
3%

41% 24%

44%

17%

6%
6%

6% 2008 2010

2% 2%

3% 3%

13%

25%

13%

10%

15%

20%

25%

30%

35%

40%

45%

50%

Figure 7 - Appui de la PSI entreprise sur une norme de scurit

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

21/102

Les entreprises de plus de 200 salaris

Thme 6 : Organisation de la scurit et moyens


Une fonction RSSI qui prend de lampleur
La fonction de Responsable de la Scurit des Systmes dInformation (RSSI ou RSI) est de plus en plus clairement identifie et attribue au sein des entreprises, ce qui marque un net progrs par rapport aux annes prcdentes. En effet, prs de la moiti dentre elles bnficient de ses services, alors quen 2008, plus de 60% des organisations navaient pas pleinement identifi son rle. La fonction de Responsable de la Scurit des Systmes dInformation (RSSI) est-elle clairement identifie et attribue ?

2010

49%

51%

1%

2008

37%

61%

2%

0%

10%

20%

30%

40% Oui

50% 60% Non Ne sait pas

70%

80%

90%

100%

Figure 8 Attribution de la fonction RSSI

Toutefois, seule la moiti des RSSI sont ddis cette tche temps plein et lorsque le RSSI nexiste pas, cette mission reste fortement attache la Direction des Systmes dInformation ou Direction Informatique. Lorsquil nexiste pas de RSSI, par quelle autre fonction la mission de RSSI est-elle prise en charge ?
Le Responsable du Contrle Interne; 3% Le Risk Manager; 0% Autre; 10% Ne sait pas; 4%

Une autre personne de la direction informatique; 44%

Le Directeur des Systmes d'Information; 39%

Figure 9 Prise en charge de la fonction RSSI, lorsquil nexiste pas de RSSI

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

22/102

Les entreprises de plus de 200 salaris

Un rattachement en perptuelle volution


Le RSI ou RSSI est soit rattach la DSI (36%), soit la Direction Administrative et Financire (DAF) (12%) ou directement la Direction Gnrale pour prs de la moiti (34%) des entreprises interviewes, en fort recul par rapport 2008 (-11%). Ceci peut sexpliquer par larrive plus nombreuse de RSSI au sein dentreprises de tailles moyennes ayant un niveau de maturit en SSI encore faible. Quel est le rattachement hirarchique du RSSI au sein de votre entreprise ?
2010; 36% 32% 34% 45% 16% 15% DAF 5% Ne sait pas 2% 3% 0% 10% 20% 30% 40% 50% 12% 2008 2010

DSI DG

Autres

Figure 10 - Rattachement hirarchique du RSSI au sein de lentreprise

Le RSSI consacre en moyenne 50% de son temps aux aspects techniques et oprationnels (dfinition des architectures, suivi des projets, gestion des droits daccs, etc.). Le temps restant est partag galit entre les aspects fonctionnels (PSI, analyse des risques), et les aspects de communication (sensibilisation) et juridiques. Dans le cadre de ses missions, quel pourcentage de son temps le RSSI consacre-t-il aux aspects

2010

24%

23%

30%

10%

13%

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

Fonctionnels

Techniques

Oprationnels

Juridiques

Communication

Figure 11 - Rpartition des missions du RSSI

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

23/102

Les entreprises de plus de 200 salaris

Enfin, prsent, prs de 80% des entreprises ont en permanence une quipe scurit, alors quil y a deux ans, seul prs 57% des entreprises en bnficiaient. Toutefois, dans 61% des cas, le RSSI est encore un homme ou une femme seul(e) ou en binme seulement ! Quel est leffectif total de lquipe scurit permanente au sein de votre entreprise ?
3% 2010 21% 61% 10% 5% 1% 2% 1%

2008

43%

41%

12%

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

Pas d'quipe scurit permanente De 3 5 personnes Plus de 10 personnes

De 1 2 personnes De 5 10 personnes Ne sait pas

Figure 12 - Effectif total de lquipe scurit permanente au sein de lentreprise

Les moyens humains affects la gestion des problmes de scurit de linformation apparaissent en retrait de ce qui pourrait tre attendu au regard de la dpendance exprime des entreprises vis--vis de leur Systme dInformation.

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

24/102

Les entreprises de plus de 200 salaris

Thme 7 : La gestion des risques lis la scurit des SI


Une notion dinventaire encore peu ancre dans la culture des entreprises
La notion dinventaire des informations et de leurs supports nest pas encore compltement ancre dans la culture des entreprises. En effet, seulement 30% des entreprises ont ralis un inventaire complet de leurs donnes et 4% lont fait sur des donnes qui ne dpendent pas uniquement de loutil informatique. Sur les 66% restants, 32% ont effectu un inventaire partiel alors que 34% nont rien ralis. Avez-vous inventori toutes les informations et leur avez-vous attribu un propritaire ?

Non; 34%

4%

32%

Oui, en totalit; 30%

0% Non

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

Oui, en partie, sur les activits de l 'entreprise et ce qui ne dpend pas seulement de l 'informatique Oui, en partie, sur les systmes informatiques Oui, en totalit
Figure 13 Inventaire et attribution dun propritaire des informations de lentreprise

Une fois linventaire ralis, la question de la classification des informations se pose. 23% des entreprises ayant ralis un inventaire annoncent avoir effectu une classification des informations ce qui signifie que seulement 7% des entreprises disposent de cette classification sur la totalit de leurs biens informationnels. Lchelle des critres utilise comporte, pour une majorit (42%) trois niveaux de sensibilit, alors que pour 26% une chelle deux niveaux semble suffisante ; le reste utilisant une chelle 4 niveaux, voire plus. Combien de degr de sensibilit de linformation votre entreprise a-t-elle identifie ?

Deux; 26%

Trois; 42%

Quatre; 17% Ci nq ou +; 15%

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

Figure 14 Nombre de degrs de sensibilit de linformation identifis

Cette information est intressante car elle fait ressortir quune grande majorit (+ 50%) utilise une chelle disposant dun nombre impair de niveaux, ce qui offre toujours la possibilit dutiliser un niveau mdian, donc non significatif Sans surprise, le critre de confidentialit des informations arrive en tte (88%) des critres employs devant la notion de disponibilit (69%). Pour autant, la confidentialit nest quassez rarement trait au niveau attendu Menaces informatiques et pratiques de scurit en France CLUSIF 2010 25/102

Les entreprises de plus de 200 salaris

Une pratique de lanalyse de risque difficile cerner


Seulement 38% des entreprises ralisent des analyses de risques avec une mthode formelle, 20% le font sur une partie du Systme dInformation et 3% sur des activits qui ne dpendent pas uniquement du Systme dInformation. Au final, 15% des entreprises ralisent une analyse de risques exhaustive sur lensemble de leur Systme dInformation par le biais dune mthode formelle (MEHARI, EBIOS, etc.). Sur ces 38%, le nombre ayant entrepris un plan daction suite lanalyse de risque, reste quasi-identique entre 2008 et 2010, soit environ 90%. Ce qui change, cest la proportion ayant ralise ce plan sur lensemble du Systme dInformation qui est passe de 41% en 2008 54% en 2010. linverse, les entreprises nayant agi que sur une partie du SI, sont passes de 49% en 2008 35% en 2010. La prise en compte de la scurit sur la globalit du SI effectue donc un net progrs comme les chiffres le laissent apparatre clairement. Concernant la ralisation des analyses de risque, le RSSI trouve sa position de leader largement conforte en 2010, au dtriment des propritaires des actifs ou des projets et de la direction informatique. En 2008, 20% des analyses de risques taient effectues par des tiers mal identifis ; en 2010, on saperoit que les responsables des services gnraux commencent sengager dans une dmarche danalyse de risques. Le dbat nest pas clos Si analyse de risque avec une mthode formelle, quelle mthode est utilise ?

ISO 27005; 35%

11%

6%

Autre; 27%

21%

0%

10%

20%

30% ISO 27005

40% 50% 60% MEHARI EBIOS Autre

70% 80% Ne sait pas

90%

100%

Figure 15 Mthode d'analyse des risques utilise

La norme ISO est-elle une mthode danalyse de risque ? Si lon en croit les rponses lenqute, il semblerait que pour une majorit, la rponse soit oui , car 36% des personnes interroges reconnaissent lavoir utilise pour mener bien une analyse de risque et 27% utilise une autre mthode. Les mthodes formelles telles quEBIOS ou MEHARI ne recueillent quun score de 18% avec un avantage MEHARI, certainement li aux outils disponibles. Est-ce un problme de perception (lourdeur des mthodes), ou un manque de comptences, toujours est-il que presque un tiers des entreprises (27%) utilise une autre mthode, souvent propritaire.

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

26/102

Les entreprises de plus de 200 salaris

Thme 8 : Scurit lie aux Ressources Humaines


Chartes de scurit : augmentation sensible, toute taille dentreprise confondue
La proportion dentreprises qui dclarent disposer dune charte scurit a globalement fortement progress (+15 +20% selon leur taille) entre 2008 et 2010. Reste quun tiers des entreprises nen dispose toujours pas. Pourtant, ce document contribue de manire importante la sensibilisation des utilisateurs et la rglementation de leurs pratiques. Existe-t-il une charte de scurit destination du personnel de l'entreprise ?

2010

Non; 24%

9%

Oui; 67%

2008

39%

11%

50%

0%

10%

20%

30%

40% Non

50% En cours

60% Oui

70%

80%

90%

100%

Figure 16 Existence d'une charte de scurit

Les entreprises de plus de 1000 personnes (avec prs de 83%) ainsi que celles du secteur des services (40%) ont une longueur davance, signe dune certaine maturit de la politique de scurit et de moyens plus consquents. Existe-t-il une charte de scurit destination du personnel de l'entreprise (par taille) ?
Existence d'une charte scurit 90% 80% 70% 60% 60% 50% 40% 30% 20% 11% 10% 0% 200-499 500-999 1000 et + Ensemble 5% 4% 9% En cours d'laboration 77% 67% 83%

Figure 17 Existence d'une charte de scurit : un effet de taille

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

27/102

Les entreprises de plus de 200 salaris Dans prs de neuf entreprises disposant dune charte scurit sur dix (88%), cette charte est communique lensemble des collaborateurs (qui la signent dans 40% des cas) et son contenu prcise les sanctions disciplinaires applicables dans 53% des cas (-3% vs 2008). Sur ce dernier point, la taille de lentreprise a une influence : 64% de plus de mille salaris ont intgr les sanctions dans le rglement intrieur, contre 47% pour les PME de 200 499 salaris.

La sensibilisation des collaborateurs : une pratique toujours peu rpandue


Lexistence dune charte nest pas toujours complte par des oprations de sensibilisation des collaborateurs aux bonnes pratiques de scurit. Seulement un tiers des entreprises (32%, -3% vs 2008) a institu des programmes de sensibilisation la scurit de linformation (46% des entreprises de plus de mille salaris). La panoplie des outils de sensibilisation la scurit nest toujours pas bouleverse par rapport nos deux dernires enqutes. Ainsi, les actions les plus simples publication darticles sur lIntranet ou le journal interne (19%) et la sensibilisation des nouveaux arrivants (27%) sont les plus utilises. En revanche, leur efficacit nest pas mesure dans 63% des cas. Quels sont les moyens utiliss pour assurer la sensibilisation ?
Session de sensibilisation des nouveaux arrivants Publications (Intranet, affiches, articles, mailing) Formation ddie des populations spcifiques Formation priodique de tout le personnel Dpliants et goodies Quiz ou questionnaire ludique sur Intranet Autres 0% 3% 5% 10% 15% 20% 25% 30% 6% 13% 16% 16% 19% 27%

Figure 18 Outils de sensibilisation la scurit

Globalement, nous estimons que les actions de sensibilisation restent encore largement insuffisantes alors que le facteur humain est toujours, juste titre, prsent comme un des points de faiblesse majeur en termes de scurit dans lentreprise : seul 16% du personnel (-2% vs 2008) fait lobjet de formation / information de manire rcurrente et seulement 27% des nouveaux arrivants sont sensibiliss (contre 36% en 2008). On prfre se contenter pour linstant dune communication standardise, sous la forme de diffusion d'articles et/ou d'affiches, qui est clairement moins efficace, mais somme toute moins chre

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

28/102

Les entreprises de plus de 200 salaris

Thme 9 : Scurit Physique


La gestion des donnes sur papier en mal de responsable
La responsabilit de la scurit physique des donnes sur papier est gnralement mal identifie (dans 41% des cas). Or le RSSI (ou le RSI) a un vrai rle jouer dans ce domaine. En effet, au-del des risques dintrusion informatiques, laccessibilit des informations sensibles sur papier constitue un enjeu. Le dveloppement des risques lis lintelligence conomique et lespionnage implique une plus grande vigilance et constitue un vritable axe de progrs. La scurit physique des donnes sur papier est-elle de la responsabilit...

Pas clairement identifie; 41%

Des directions Mtiers; 25%

Du RSSI; 17%

9%

8%

0%

10%

20%

30%

40%

50%

60% Du RSSI

70%

80%

90%

100% Autre

Pas clairement identifie

Des directions Mtiers

Des services gnraux

Figure 19 Responsables de la scurit physique des donnes sur papier

Le Responsable des Services Gnraux donne les moyens (destructeur de documents, armoire forte, coffre-fort, copieur diskless) en fonction des besoins exprims par les Directions mtiers. Le RSSI ou le RSI, avec le Responsable Sret, sont les garants de la bonne cohrence des dispositifs de protection des documents papiers au sein de lentreprise.

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

29/102

Les entreprises de plus de 200 salaris

Thme 10 : Gestion des oprations et des communications Scurisation des nouvelles technologies
Lvolution des nouvelles technologies connectes avec le SI se stabilise : peu de nouvelles grandes innovations (telles que le wifi, les PDA/Smartphones ou la ToIP) sont apparues sur le march. Dun autre ct, la politique des entreprises par rapport lusage de ces nouvelles technologies mrit lentement : globalement, linterdiction pure et simple au sein des politiques de scurit diminue en tant que mthode retenue pour se prmunir des risques de scurit induits par leurs usages. Quelle est votre politique daccs au Systme d'Information de l'entreprise ?
Accs au SI depuis un poste contrl
2010

8% 7% 31% 27% 51% 30% 47% 49% 17% 8% 5% 19% 19% 35%

77% 78% Interdit; 69% 71% 46% 63% 43% 44% 43% 67% 75%

14% 13%

1%

2008

2%

Accs au SI depuis un poste non contrl

2010 0% 2008 1% 2010 2% 2008 4% 2010

0%

1%

PDA et smartphones

1% 3%

Connexion (interne) au LAN en Wifi

9% 5%

1%

2008

2%

VoIP / ToIP

2010

5%

2008

6%

MSN, Skype, etc.

2010

1%

2008

0%

10%

20%

30%

40%

50%

60%

70%

80% Interdit

90% NSP

100%

Autoris sans condition

Autoris sous condition

Figure 20 - Accs au Systme d'Information de l'entreprise

Un accroissement du nomadisme
Le dveloppement de nouveaux modes de travail plus efficaces (avoir accs sa messagerie de nimporte o), plus verts (minimiser les dplacements), voire plus scuritaires (travailler de chez soi en cas de pandmie) pousse au dploiement des nouvelles technologies lies la mobilit. Si laccs au SI via un ordinateur portable fourni par lentreprise reste stable, lusage dun poste de travail non matris (cybercaf, PC personnel, etc.) est de plus en plus autoris (sous condition) pour entrer dans le SI. Compte tenu du besoin de nomadisme grandissant, cette autorisation connat nanmoins Menaces informatiques et pratiques de scurit en France CLUSIF 2010 30/102

Les entreprises de plus de 200 salaris une hausse limite (+4%) du fait de la difficult matriser les vulnrabilits et menaces que ce type daccs peut engendrer. Les PDA / smartphones connaissent une augmentation importante de leur usage (plus de la moiti des entreprises lautorise) alors mme que le march du tlphone portable en gnral est en baisse. Ces quipements, essentiels pour les entreprises qui ont toujours besoin de plus de ractivit, portent en eux des failles de scurit (politique de code PIN / mot de passe faible, vol ou perte dinformations confidentielles, installation dapplications comportant du code malveillant, etc.) qui constitueront un dfi certain pour les SI de demain. Lutilisation du wifi en entreprise reste assez stable, en lgre augmentation (56% contre 54%) : cette technologie, pour laquelle il existe des systmes dauthentification et de chiffrement maintenant solides, entre dans le paysage rseau classique du SI des entreprises.

Une hausse attendue du dploiement de la VoIP et de la ToIP


Dans un contexte de rduction des cots, le dploiement de la VoIP ou de la ToIP constitue toujours dans lesprit des entreprises une source dconomie importante. Les fortes prvisions dquipement des annes prcdentes nont pas menti : cette technologie est en solide augmentation et ce alors que les besoins de disponibilit et de qualit du service sont toujours aussi importants.

La messagerie instantane encore peu autorise


Nouveaut de ltude : la messagerie instantane apparat comme une nouvelle technologie peu utilise puisque 75% des entreprises interroges interdisent son usage. Les problmatiques de scurit lies sont nombreuses (confidentialit et chiffrement des changes, journalisation des conversations, transmission des virus, fuite dinformation, etc.) et le dploiement de cette technologie semble fortement rebuter les DSI car elle reprsente une source de risques importante. Cette position est cependant nuancer en considrant que les systmes de messagerie instantane dentreprise, au contraire des systmes publics, permettent de garder une bonne matrise du niveau de scurit.

Technologies de protection et de gestion des vulnrabilits


Comme lors de ltude prcdente, on distingue clairement 3 technologies faisant lobjet dun quipement systmatique, ou quasi. Ce sont les antivirus/antispywares, les antispams et les firewalls. Concernant les premiers, 40% des entreprises dclarent avoir t malgr tout victimes dincidents. Sans oublier que Conficker est sans doute pour quelque chose dans ces 40%, il nen reste pas moins que garantir une mise jour parfaite dun parc tendu (en quantit, en nombre de sites, en ordinateurs portables) est souvent une tche ardue Les autres technologies ne font pas lobjet dun usage aussi systmatique, avec un niveau dquipement allant de 10 50%.

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

31/102

Les entreprises de plus de 200 salaris

Quelles technologies de scurit utilisez-vous pour lutter contre les vulnrabilits, les intrusions ?
Antivirus

2010 2008 2010 2008 2010 2008 2010

97% 90% 95% 85% 91% 82% 37% 29% 37% 16% 12% 34% 23% 30% 14% 23%
Question non pose

3% 0% 5%2% 3%
0% 5%

Pare-feu rseau

9% 3%3% 6% 3% 0% 10% 5%
6% 9% 5% 6% 3%

Antispam

SIM

19% 14% 8% 66% 12% 53% 48%

38%

2008
Contrle des cls USB

2010 2008 2010

50%

48%

6% 10%

IDS

2008
Chiffrement des changes

2010 2008 2010

44%

3%

27% 16% 27% 34% 23% 9%

10% 62% 10% 18% 12%

54%

9% 13%

IPS

2008
Pare-feu personnel

2010 2008 2010 2008 2010 2008 2010 2008

62% 44% 52%


Question non pose 13% 4%

1%

Chiffrement donnes locales

Network Access Control (NAC)

17% 10% 9% 5% 20%

22% 60% 74%


Question non pose

54%

7% 10% 12%

Data Leak Protection (DLP)

0%

10%

20%

30%

40%

50%

60%

70% Non utilis

80% NSP

90%

100%

Usage gnralis

Usage partiel

Figure 21 - Technologies de scurit / lutte antivirale, anti-intrusion, gestion des vulnrabilits

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

32/102

Les entreprises de plus de 200 salaris

Ct scurit rseau, les IDS/IPS ont vu leur usage crotre de 10% depuis la dernire tude, portant le taux dquipement des entreprises environ 50%. Ces quipements permettant de dtecter et de bloquer les attaques (des vers par exemple) en coutant le rseau peuvent tre de trs bons complments un firewall de primtre (cest dailleurs souvent intgr aux firewalls de type UTM), et peuvent fournir aussi un cloisonnement interne pour limiter lampleur dune infection sans limiter les changes (et donc les usagers) lintrieur du rseau dentreprise. Toujours sur le rseau, le NAC qui existe depuis quelques annes reste relativement peu implant (65% des entreprises sen passent). Il faut dire que si la fonction apporte (contrler laccs physique au rseau) est trs intressante dans le contexte de la scurit primtrique, la mise en place peut parfois tre complique. Venant en complment des infrastructures rseau, les SIMs (qui permettent dexploiter les journaux en provenance des composants du rseau) quipent de plus en plus dentreprises : 13% de plus en 2 ans, et la tendance devrait se confirmer pour atteindre le niveau de 60%. En effet, les organisations ont besoin de garder des traces pour des analyses a posteriori dincidents de scurit ; et parfois, en allant un peu plus loin, de grer des alertes et de la corrlation (les deux pouvant tre lies). La maturit des produits aujourdhui sur le march adresse en gnral bien la problmatique de base (concentration de logs htrognes, gestion de leur archivage et des accs qui y sont faits), et propose galement des fonctions dalerte et de corrlation qui, elles, ncessitent un important travail danalyse pralable (et rcurrent) pour tre pertinentes dans le cadre de lentreprise concerne. Du cot du poste de travail, les pare-feu personnels voient leur prsence diminuer de 15% pour arriver 40% en 2010. Il faut dire que les FW personnels, historiquement surtout dploys sur les parcs dordinateurs portables (potentiellement exposs hors du primtre protg), disparaissent dornavant au profit des filtres rseau inclus dans les suites de protection du poste de travail dsormais dployes sur les parcs. Ces suites peuvent comprendre un firewall, mais surtout un Hosts IPS dont le rle est galement de protger contre les attaques rseau, mais avec un impact souvent plus lger en termes dadministration. noter que ces fonctions host IPS ont pu rvler leur utilit relle en permettant dans certains cas de limiter la diffusion de vers tels que Conficker . Le contrle des priphriques fait galement parti des fonctionnalits ajoutes aux suites de protection du poste de travail, facilitant ainsi sa mise en place aujourdhui de 45% (en progression de 15% par rapport 2008). Ce contrle de priphriques qui reprsente un enjeu important (pour contrler lentre des virus et les fuites de donnes) nest pas proprement parler une nouveaut mais plutt une remise au got du jour des politiques de blocage des lecteurs de disquette qui ont exist par le pass (souvent suite des infections virales). Les outils de chiffrement de donnes utilisateur voient leur niveau de dploiement augmenter avec 40% dentreprises quipes en 2010, en progression de 10% par rapport 2008. La spcificit de cette technologie est dtre dploye en majorit sur un primtre restreint. Les ordinateurs portables restent les plus concerns par cette mesure, tant particulirement susceptibles de stocker des donnes importantes (en comparaison des postes fixes qui pourront travailler exclusivement sur le rseau), et tant par nature plus sujets au vol. Le taux dquipement reste malgr tout relativement faible au regard des parcs de portable en circulation, mais la croissance prvisible du niveau dquipement reste stable (5% dintentions dachat pour lanne 2010). Le chiffrement des changes est aujourdhui bien implant avec plus de 50% dentreprises quipes. Il reste utilis le plus souvent dans un contexte purement rseau (80% des entreprises quipes dchanges chiffrs le sont pour du VPN) et beaucoup moins pour le chiffrement des changes serveurs (30% font du https). Il sera dailleurs intressant de surveiller ce dernier indicateur : en effet, de plus en plus dapplications stratgiques ou contenant des donnes confidentielles sont mises disposition en mode Web, et sont donc faciles intercepter pour qui le souhaiterait. Dernire technologie sur le march, et surtout la seule porter sur le contenu des informations en tant que tel, le DLP est conu pour contrler le flux de donnes aux frontires de lentreprise et plus prcisment, se prmunir contre la fuite dinformations. Le niveau dquipement reste encore faible (15%), mais il faut dire que la technologie est rcente et que les produits adressant lensemble des portes de sortie du primtre de lentreprise (passerelles mail et Web, postes de travail, supports amovibles, etc.) sont encore rares Menaces informatiques et pratiques de scurit en France CLUSIF 2010 33/102

Les entreprises de plus de 200 salaris

Infogrance
Linformation dans les nuages (Cloud Computing), les applications en mode hberg (SaaS, ASP) ont le vent en poupe. Ce nest pas un sujet nouveau que dexternaliser tout ou partie de son SI chez un tiers, surtout pour une recherche de cot moindre ou tout simplement par manque de comptences Lentreprise qui externalise son SI doit alors porter une attention particulire sur le respect par son prestataire dindicateurs de services, dont la scurit doit faire partie. Avez-vous plac tout ou partie de votre systme d'information sous contrat d'infogrance ?

2010

10%

Oui en partie; 25%

Non; 64%

1%

2008 0%

9% 10%

25% 20% 30% 40% 50% Oui en partie 60%

63% 70% 80% 90%

3%

100%

Oui en totalit

Non

Ne sait pas

Figure 22 Part des SI sous contrat dinfogrance

Il semble que cette externalisation progresse trs faiblement, le Cloud Computing ntant donc pas encore mature Toutefois, le suivi dindicateurs de scurit est plus pouss, signe vident dune maturit plus forte des SI (ITIL, ISO27000). Exercez-vous un suivi rgulier de cette infogrance par des indicateurs de scurit ?

2010

Oui; 66%

Non ; 30%

4%

2008 0% 10% 20%

58% 30% 40% Oui 50% Non 60% Ne sait pas 70%

38% 80% 90%

4%

100%

Figure 23 - Suivi de linfogrance par des indicateurs de scurit

En revanche, les audits des SI infogrs sont fortement en baisse (28% en 2010, -30% vs 2008), tout en notant quapparaissent les audits ponctuels, signe probable de la mise en place dlments de contrles ou dindicateurs au sein des infogreurs, souvent lis la mise en uvre de bonnes pratiques ou de normes (ITIL, ISO 20000, ISO 27000, etc.) ; ces indicateurs tant alors souvent fournis aux clients.

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

34/102

Les entreprises de plus de 200 salaris

Effectuez-vous des audits sur cette infogrance ?

2010

28%

Ponctuellement; 24%

Non; 43%

5%

2008

Oui, au moins une fois par an; 58% 0% 10% 20% 30% 40% 50% 60% 70% Non

39%

3%

80%

90%

100%

Oui, au moins une fois par an

Ponctuellement

Ne sait pas

Figure 24 Ralisation daudit sur linfogrance

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

35/102

Les entreprises de plus de 200 salaris

Thme 11 : Contrle des accs logiques


On constate que ces technologies restent peu dployes, et surtout que la situation ne semble pas avoir volue en deux ans, puisque les rsultats 2010 sont presque identiques ceux de 2010, lexception du SSO et du Web SSO. Alors que louverture des systmes et surtout le nomadisme se sont considrablement acclrs depuis 2006, cette absence dvolution ct contrle daccs est proccupante.

Stagnation de la biomtrie et des certificats


Les moyens dauthentification sont la cl de vote de lidentit numrique et sont donc un des lments fondamentaux de scurisation des SI, notamment pour les aspects lis la traabilit. Si la trs grande majorit des entreprises nutilise toujours pas dauthentification forte, ni nenvisage dexprimenter les diverses solutions disponibles courant 2010, on constate galement une stagnation de la biomtrie : 3% des entreprises lutilise largement (-1% vs 2008) et 14% sont en cours dexprimentation (+1% vs 2008). Concernant lutilisation des certificats sur support logiciel ou matriel, on note ici aussi, globalement, une stagnation : 19% pour lauthentification par certificat lectronique logiciel (+4% vs 2008) et 7% pour lauthentification forte par certificat lectronique sur support matriel (-1% vs 2008). Tout comme en 2008, il faut noter que les entreprises pionnires en la matire ne sont pas les plus grandes, mais celles dans la tranche de 500 999 salaris. Elles sont par exemple 25% (+6% vs 2008) utiliser largement des certificats logiciels, et 27% (+12% vs 2008) des certificats sur support matriel (carte puce, cl USB cryptographique, etc.), contre respectivement 21% et 18% sur lensemble des entreprises.

Gestion des habilitations : lthargie tonnante


Les modles de gestion des habilitations nont pas volu en quatre ans, 6 entreprises sur 10 nayant pas de gestion par rle ou par profil mtier (tel que le modle RBAC : Role Based Access Control), et nenvisageant pas court terme de sen doter. Ce modle tant une condition souvent ncessaire la matrise des droits, il est craindre que ces entreprises ne puissent rationaliser leurs processus de gestion de droits. Mme constat pour la mise en place dun workflow de validation des habilitations (18%, +3% vs 2008). Seule la mise en uvre dun systme de distribution automatique des droits (provisioning) fait une progression sensible, avec 18% dentreprises disposant de dispositifs pleinement oprationnels stables (+9% vs 2008). Le faible nombre dentreprises envisageant de renforcer leur gestion des habilitations en 2010 est surprenant (entre +3 et +5%), puisque les volutions lgales et rglementaires (Loi sur la Scurit Financire, Sarbanes-Oxley, Solvency II, etc.) tendent augmenter le niveau dexigence en matire de traabilit et de matrise des droits daccs.

Contrle daccs et SSO : ils dcollent tranquillement !


Les dispositifs de Single Sign-On (SSO et Web SSO) prennent enfin leur envol Toutefois, les chiffres restent faibles au regard des enjeux : SSO, 21% dploy (vs 7% en 2008), Web SSO, 8% dploy (vs 3% en 2008).

Reste que prs des deux-tiers des entreprises nenvisagent toujours pas de telles solutions, qui apportent pourtant un rel confort aux utilisateurs, facilitant ainsi le respect des politiques de mots de passe plus strictes et une traabilit accrue.

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

36/102

Les entreprises de plus de 200 salaris

Quelles sont les technologies de contrle d'accs logique que vous avez dployes ?
Modle d'habilitation par rle ou profil mtier

2010

26% 24% 21% 7% 12% 19% 15% 18% 9%


5%

9% 3% 11% 9%
7% 4%

60%

3% 2% 2% 3%

2008

59%

2010
SSO

62%

2008
Authentification par certificat lectronique logiciel

73%

2010

21% 26% 7% 3%

4%

54%

1% 2% 2% 2%

2008

5%

52%

Provisionning

2010

70%

2008

9% 3% 18% 9% 3% 17% 12% 11% 2% 10%


6% 5% 5%

77%

Authentification Workflow par mot de passe d'approbation non rejouable des habilitations

2010

68%

2% 3% 1% 4% 2% 4%

2008

15% 13% 11% 8%

60%

2010

70%

2008

72%

Web SSO

2010

75%

2008 3% 7% 4%

82%

Authentification par certificat Authentification lectronique sur biomtrique support matriel

2010

7% 8% 14%

18% 15%
2%

5%

68%

2% 1% 0% 3% 70% 80% 90% NSP 100%

2008

5%

71%

2010 3%

81%

2008 4%

3%

77%

0%

10%

20%

30%

40%

50%

60% Envisag

Largement utilis

Expriment

Non utilis

Figure 25 - Technologies de contrle d'accs logique dployes en entreprise

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

37/102

Les entreprises de plus de 200 salaris

Thme 12 : Acquisition, dveloppement et maintenance


Veille et patch management en nette progression
Les SI, quils soient directement dvelopps en interne ou via des prestataires, voire acquis (progiciels), se doivent dtre rgulirement surveills dun point de vue scurit. Les vulnrabilits tant monnaie courante, il convient de mettre en place une veille et des processus de mise jour particuliers. Cette veille en vulnrabilits et en solutions de scurit est en nette progression. Limpact des failles publies et faisant rgulirement la une des journaux aidant srement cette prise de conscience. Ralisez-vous une veille permanente en vulnrabilits et en solutions de scurit ?

2010

Oui ; 34%

Oui en partie; 37%

Non; 28%

1%

2008

21% 0% 10% 20% 30%

38% 40% 50% 60% 70% Non

38% 80% Ne sait pas 90%

3%

100%

Oui, systmatiquement

Oui en partie

Figure 26 Veille en vulnrabilits et en solutions de scurit

De mme, la formalisation des procdures oprationnelles de mise jour est en trs forte amlioration indiquant une maturit videmment plus forte des Systmes dInformation et de leur rle central. Avez-vous formalis des procdures de dploiement de correctifs de scurit (patch management) ?

2010

Oui; 64%

Non; 35%

1%

2008

48%

51%

1%

0%

10%

20%

30%

40% Oui

50% Non

60% Ne sait pas

70%

80%

90%

100%

Figure 27 - Formalisation des procdures de dploiement de correctifs de scurit

Toutefois, cette maturit semble impacter directement les dlais de mise en uvre de ces mises jour en les augmentant plus dune journe.

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

38/102

Les entreprises de plus de 200 salaris

En cas de menace grave, en moyenne quel dlai est ncessaire pour dployer les correctifs ?
2010; 23%

Dans l'heure Dans la journe dans les 3 jours Lors de sessions planifies de mise jour Ne sait pas 0%
5%

26%

54% 12% 4%
4%

60%

5%

2008

2010

7%

10%

20%

30%

40%

50%

60%

70%

Figure 28 - Dlai ncessaire pour dployer les correctifs en cas de menace grave

Concernant les dveloppements, peu de socits (20%) dclarent mettre en uvre des cycles de dveloppements scuriss. Parmi les entreprises ayant mis en place un cycle scuris, la majorit ne colle pas une mthode formelle (INCAS, OWASP CLASP, Cigital DSL, SDLC, etc.), mais applique plutt des bonnes pratiques pragmatiques.

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

39/102

Les entreprises de plus de 200 salaris

Thme 13 : Gestion des incidents Sinistralit


De plus en plus dentreprises grent les incidents de scurit
Les entreprises prennent conscience de la ncessit de suivre les incidents de scurit du SI : un peu plus de la moiti (51%, +12% vs 2008) comprend dornavant une quipe charge de collecter et traiter ces incidents. Selon des facteurs comme la taille de lentreprise ou limportance accorde la scurit du SI, cette quipe correspond une cellule ddie la scurit (20%) ou mutualise avec dautres quipes informatiques (31%). Existe-t-il une cellule de collecte et de traitement des incidents de scurit ?

2010

20%

32%

Non; 46%

2%

2008

13%

26%

59%

2%

0%

10%

20%

30%

40%

50%

60%

70% Non

80% Ne sait pas

90%

100%

Oui, cellule ddie

Oui, cellule partage

Figure 29 Existence dune cellule de collecte et de traitement des incidents de scurit

Sans surprise, les incidents lis linformatique sont en quasi-totalit collects (94%) tandis que ceux lis aux autres types dinformations ou aux processus sont majoritairement moins associs aux incidents de scurit du SI (respectivement 39% et 45%).

mais dposent toujours aussi peu de plaintes


Alors que le nombre dincidents de scurit du SI augmente dans les entreprises, les RSSI sont toujours aussi peu enclins porter plainte (seulement 5%, -1% vs 2008). Le dpt de plainte comporte un risque datteinte limage des entreprises qui souhaitent viter de dfrayer la chronique avec des incidents de scurit impliquant parfois les donnes de leurs clients, employs, fournisseurs ou partenaires (par exemple : fuite dinformation massive). Au cours de lanne passe, votre entreprise a-t-elle dpos des plaintes suite des incidents lis la scurit de linformation ?

2010

5%

Non; 90%

5%

2008

6% 0% 10% 20% 30% 40% Oui

91% 50% Non 60% Ne sait pas 70% 80% 90%

3%

100%

Figure 30 Dpts de plaintes suite des incidents lis la scurit de linformation

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

40/102

Les entreprises de plus de 200 salaris Par rapport 2006 et 2008, il n'y a pas de grosse volution dans les types d'incidents rapports. Les infections par des virus augmentent (+9% vs 2008), alors que les erreurs de conception diminuent fortement (24% vs 34% en 2008 et 58% en 2006). Au cours de lanne passe, quel type dincidents de scurit votre entreprise a-t-elle t soumise ?
46% 38%
46%

Erreurs d'utilisation Perte de services essentiels Pannes d'origine interne

45% 43%
47%

44%
37%

40% 40%

Infections par virus Vol / disparition de matriel Erreurs de conception 9% 7% 8% 24%

31%

36%

37% 35%
44%

34%

58%

Evnements naturels Intrusions sur les systmes d'information Attaques logiques cibles

8%

2%
2%

4%

6%

6%

Accidents physiques

4%
6%

5% 2006 5% 2008 2010

Divulgations

4%
4%

Sabotages physiques Actes de dnigrement ou d'atteinte l'image Fraudes informatiques ou tlcom Actes de chantage, extorsion informatique

4% 2%
3%

3%
3%

3%

3% 2%
2%

0% 1%
1%

0%

10%

20%

30%

40%

50%

60%

70%

Figure 31 Typologie des incidents de scurit

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

41/102

Les entreprises de plus de 200 salaris

Thme 14 : Gestion de la continuit dactivit


Une gestion de la continuit dactivit globalement bien prise en compte
Globalement, la gestion de la continuit dactivit semble bien prise en compte par les entreprises. Elle est en forte progression par rapport ltude mene en 2008 (+12%). Laugmentation doit rsulter en partie des fortes recommandations, voire obligations, de continuit dactivit auxquelles sont dsormais confrontes de plus en plus dentreprises. Existe-t-il un processus formalis et maintenu de gestion de la continuit d'activit de l'entreprise ?

2010

Oui ; 40%

27%

Non; 33%

2008

28%

33%

39%

0%

10%

20%

30%

40%

50%

60%

70%

80% Non

90%

100%

Oui, globalement

Oui, pour certaines activits

Figure 32 - Existence dun processus de gestion de la continuit d'activit

Malgr cela, on constate toujours des ingalits. En effet, un tiers des entreprises interroges na toujours pas pris en compte cette problmatique au sein de leurs organisations. Ceci tant dit, nous attirons lattention sur le fait que dans cette tude la gestion de la continuit dactivit couvre essentiellement les enjeux lis aux systmes informatiques. Or, faut-il rappeler que la continuit dactivit doit dabord dfinir les exigences de continuit mtier pour ensuite, et seulement ensuite, identifier les moyens techniques permettant dy rpondre. Si prs dune entreprise sur 2 nidentifie pas en amont les besoins mtiers en termes de continuit dactivit, alors les moyens informatiques mis en places peuvent-ils convenablement rpondre aux besoins mtiers des entreprises ? La gestion de la continuit d'activit dans votre entreprise concerne-t-elle ?
Les systmes informatiques Les quipements techniques Les locaux Les processus mtier Les archives Autres 0% 2% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 32% 62% 57% 54% 94%

Figure 33 Couverture de la gestion de la continuit d'activit

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

42/102

Les entreprises de plus de 200 salaris

Des tests en lgre rgression


On constate une faible diminution du nombre de tests raliss plusieurs fois par an (-4%) mais, linverse, une augmentation significative du nombre de tests raliss une seule fois par an (+9%). Ceci semble tonnant voire peu rassurant. En effet, le lecteur est en droit de sinterroger sur le fait quun seul test ralis au cours dune anne dactivit puisse correctement couvrir tous les besoins de lorganisation concerne. quelle frquence les plans de continuit dactivit sont-ils tests et mis jour ?
Plusieurs fois par an Une fois par an Moins d'une fois par an Lors de changement(s) important(s) Jamais Ne sait pas 0% 4% 5% 10% 15% 20% 25% 30% 35% 40% 45% 50% 2008 2010 7% 5%
6%

2010

30%

34% 38%

47%

2008

10%

7%

8%

Figure 34 - Frquence des tests et des mises jour des plans de continuit

Cela reste peu probable et apporte un doute supplmentaire sur la comprhension de la notion de test dans le cadre dun plan de continuit dactivit. Enfin, il reste prs de 20% des entreprises qui affirment faire des tests seulement lors de changements importants, ne pas en faire du tout ou ne pas savoir. Gageons que cet inquitant et peu rassurant ratio continue de baisser dans les prochaines annes pour le bien des entreprises concernes.

Une vision informatique de la continuit : une absence des aspects mtier ?


Prcdemment, nous avons vu que 67% des entreprises interviewes ont dclar avoir mis en place globalement ou pour certaines de leurs activits un processus formalis et maintenu de gestion de la continuit d'activit. Or, on constate que prs dune entreprise sur deux ne dispose pas dun processus formalis de gestion de crise. Ceci est singulier voire alarmant car tout PCA englobe forcment des procdures et organisations de gestion de crise en cas dincident. Pour cette raison, les rsultats doivent tre pris avec beaucoup de prcaution au niveau de la comprhension. En effet, tout processus de continuit dactivit qui ne comprend pas une organisation et une gestion de crise ne peut pas tre considr comme un vrai PCA ! De plus, ces mmes personnes qui dclarent avoir mis en place des processus de continuit, rpondent 72% quelles nont pas identifi leurs besoins en RTO et RPO. Cela signifierait que seules les proccupations des responsables informatiques en matire de RTO et RPO seraient prises en compte et, qu linverse, celles affiches par les besoins mtiers ne le seraient pas. Une fois encore, le lecteur peut sinterroger sur la bonne comprhension de la question par la personne interviewe.

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

43/102

Les entreprises de plus de 200 salaris

Une rpartition des moyens de reprise lgrement diffrente


Les moyens de sauvegardes classiques continuent baisser (-9%). linverse, le secours froid aprs avoir diminu de 2% entre 2006 et 2008 augmente significativement (+7%). lexception de ces deux ratios, on constate des chiffres trs comparables dune tude sur lautre. Les nouvelles technologies comme les nouveaux moyens de sauvegardes tl-distants qui, pour certains dentre eux proposent des crneaux horaires prcis, sont sans doute lorigine de ces rsultats. Quels types de solution de secours informatique utilisez-vous pour rpondre des sinistres majeurs ?

Moyens de s a uvega rdes cl a s s i ques

2010

70%

79%

Secours cha ud (redma rra ge i mmdi a t s ur des ma chi nes redonda ntes a ctives )

50%

53%

Secours froi d (redma rra ge di ffr s ur des moyens redonda nts non a ctifs )

49% 42% 10%

Autres s ol utions

11% 2008 2010

Aucune s ol ution de s ecours

1% 1% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90%

Figure 35 - Types de solution de secours informatique mises en uvre

Enfin, les cots en matire de solutions de sauvegardes ont eu tendance beaucoup baisser ces dernires annes. De fait, les acteurs en matires de stockage comme de sauvegardes distantes deviennent accessibles et de plus en plus nombreux.

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

44/102

Les entreprises de plus de 200 salaris

Thme 15 : Conformit
Ce thme aborde les lments lis la conformit sous 3 aspects : la conformit avec la loi Informatique et Liberts , laudit des Systmes dInformation, lutilisation de tableau de bord.

1/ Conformit avec la loi Informatique et Liberts


Une amlioration relative de la conformit avec les obligations de la CNIL
Aprs avoir stagn entre 2006 et 2008, on observe une amlioration sensible dans la prise en compte des obligations de la CNIL. Elle se traduit par une augmentation de 5% du nombre dentreprises qui disent tre au moins partiellement en conformit amenant prs de 9 entreprises sur 10 rpondant tre conformes au moins pour les traitements les plus sensibles. Ces bons chiffres sont relativiser avec le nombre de Correspondants Informatique et Liberts (CIL) qui, bien quaugmentant sensiblement (+7% vs 2008), concerne encore moins du tiers des entreprises interroges. On peut esprer voir ces chiffres samliorer suite aux annonces rcentes de la CNIL sur l'augmentation du nombre de contrles en 2010, notamment pour apprcier l'efficacit du CIL. Votre entreprise met-elle en place un Correspondant Informatique et Libert tel que dfini par la CNIL ?

1000 et +

53%

6% 4%

32%

6%

500-999

41%

7%

14%

34%

4%

200-499

25%

12%

11%

47%

6%

0%

10%

20%

30%

40%

50%

60%

70%

80% Non

90%

100%

Oui, c'est dj fait

Oui, c'est prvu

C'est l'tude

Ne sait pas

Figure 36 Existence dun Correspondant Informatique et Libert

Une mconnaissance des donnes traites


Le questionnaire senrichissait cette anne dune question relative aux types de catgories de donnes personnelles traites. On pourra trouver surprenant que seulement 75% des entreprises de plus de 200 salaris traitent des donnes de clients ou prospects et seulement 39% traitent des donnes bancaires de clients. Faut-il comprendre quun quart des entreprises nont pas la liste de leurs clients sous forme numrique et que plus de 60% nutilisent que des factures papier ? Les rponses cette question de ltude sont cohrentes avec le faible niveau de classification des donnes effectues dans les entreprises et on ne pourra que supposer que ces rsultats proviennent dune mconnaissance des donnes traites par lentreprise.

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

45/102

Les entreprises de plus de 200 salaris On remarquera que seulement un peu plus de la moiti traitent les traces de connexions Internet des employs. Ce rsultat est faible pour une pratique faisant gnralement partie des premires mesures de scurit envisages ; les rglementations en vigueur poussent en effet la collecte de ce type dinformation. On pourra par ailleurs se rjouir que la grande majorit des rponses affirmatives indiquant traiter un type de donnes ont mis en uvre des mesures de scurit quils estiment adaptes , mme sil est impossible dvaluer objectivement la qualit des mesures en place. Traitez-vous les types de donnes suivantes, et si oui estimez-vous avoir mis en place des mesures de scurit adaptes ?
Donnes sensibles (mdicales, appartenance syndicale, croyances philosophiques ou religieuses...) Traces de connexion Internet et tlphonie par vos clients

21% 20% 22% 22% 39% 38% 59% 57% 75% 70% 0% 10% 20% 30% 40% 50% 60% 70% 80%

Donnes bancaires de vos clients

Traces de connexion Internet et tlphonie par vos salaris

Clients et prospects Traite ce type de donnes Dont mesures de scurit adaptes

Figure 37 - Types de donnes traites par les entreprises et mesures de scurits mises en uvre

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

46/102

Les entreprises de plus de 200 salaris

2/ Les audits
Le nombre des audits mens et leur nature stables sur 4 ans
Plus des deux-tiers (71%) des entreprises mnent au moins un audit une fois par an, alors que 25% nen mnent pas du tout (-10% vs 2008) ! Combien d'audits de scurit du SI sont-ils mens en moyenne par an ?

2010

8%

De 1 5 par an; 63%

Aucun; 25%

4%

2008

5%

54%

35%

6%

0%

10%

20%

30%

40%

50%

60% Aucun

70%

80%

90%

100%

Plus de 5 par an

De 1 5 par an

Ne sait pas

Figure 38 Nombre d'audits de scurit du SI ralis en moyenne par an

Le chiffre de 71% est en progression par rapport 2008 (+12%) et retrouve le niveau de 2006 o lon avait not un bond spectaculaire. Quels types d'audits ou contrles de scurit sont mens au sein de votre entreprise ?

2010

60%

59%

43% 4%

5%

2008

48%

53%

46%

13%

22%

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

Vrification des configurations techniques Tests d'intrusion rseaux Ne sait pas

Vrification de l'organisation et des procdures Autres

Figure 39 - Types d'audits ou de contrles de scurit raliss

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

47/102

Les entreprises de plus de 200 salaris

La PSI comme principal moteur


Ces audits sont trs largement motivs par la politique interne ou des exigences contractuelles ou rglementaires Quelles motivations dclenchent les audits ?
Obligation incluse dans la politique Aprs un incident Exigence contractuelle ou rglementaire Audit de tiers externes (assurances, clients) Sur les projets sensibles 0% 10% 20% 24% 22% 30% 40% 50% 60% 30% 29%

54%

Figure 40 Motivations pour la ralisation des audits

A noter que la part daudits mens par un prestataire externe sest galement stabilise par rapport lenqute prcdente (24%, -1% vs 2008)

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

48/102

Les entreprises de plus de 200 salaris

3/ Les tableaux de bord de scurit


Plus de 65% des entreprises ne mesurent toujours pas leur niveau de scurit rgulirement
Votre entreprise a-t-elle mis en place un tableau de bord de la scurit informatique ?

2010

Oui; 34%

Non; 65%

1%

2008 0%

23% 10% 20% 30% 40% Oui 50% Non

75% 60% Ne sait pas 70% 80% 90%

2%

100%

Figure 41 - Mise en place dun tableau de bord de la scurit

noter, la continuit de la forte augmentation des entreprises qui le diffusent leur Direction Gnrale (72% contre 52% en 2008 et 28% en 2006). Si tableau de bord, quels en sont les destinataires ?

Le Directeur des Systmes d'Information La Direction gnrale Le RSSI Les Directions mtier La Direction des risques La Direction Juridique Autres 0% 8% 10% 20% 30% 40% 50% 60% 70% 80% 21% 19% 17% 61% 72%

85%

90%

Figure 42 Destinataires du tableau de bord de la scurit

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

49/102

Les entreprises de plus de 200 salaris

Des indicateurs qui voluent de la technique vers le fonctionnel et la conformit


Les indicateurs inclus dans le tableau de bord voluent ! Bien entendu, les aspects techniques restent prsents (nombre d'incidents sur une priode, vulnrabilits dtectes, etc.) mais certains des thmes les plus importants en matire de pilotage prennent de plus en plus de poids : conformit avec les normes : 66%, + 46% vs 2008 !, impacts directs et indirects des incidents de scurit : 45%, +5% vs 2008, valuation des risques mtier : 39%, +7% vs 2008, suivi du budget consacr la scurit de l'information : 37%, +17% vs 2008, etc. Si tableau de bord, quels types d'indicateurs y sont suivis ?
Nombre d'i nci dents s ur une pri ode

70% 66% 63% 56% 50% 45% 44% 39% 37% 36% 35% 16% 0% 10% 20% 30% 40% 50% 60% 70% 80%

Conformi t a vec l es normes (comme l 'ISO 27001) Conformi t a vec l a Pol i tique de Scuri t de l 'Informa tion Vul nra bi l i ts dtectes Nombre d'a tta ques a rrtes pa r l es di s pos i tifs de s curi t Impa cts di rects et i ndi rects des i nci dents de s curi t

Ta ux de mi s e jour des s i gna tures a ntivi ra l es Eva l ua tion des ri s ques mtier ("Ba l a nced ScoreCa rd") Sui vi du budget cons a cr l a s curi t de l 'i nforma tion Ta ux de mi s e jour des pa tches de s curi t Ava ncement des projets de s curi s a tion

Ta ux de pers onnes s ens i bi l i s es

Figure 43 - Indicateurs suivis dans le tableau de bord de la scurit

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

50/102

Hpitaux
Prsentation de lchantillon Dpendance linformatique des hpitaux Moyens consacrs la scurit linformation par les hpitaux Thme 5 : Politique de scurit Thme 6 : Organisation de la scurit et moyens Thme 7 : La gestion des risques lis la scurit des SI Thme 8 : Scurit lie aux Ressources Humaines Thme 9 : Scurit physique Thme 10 : Gestion des oprations et des communications Thme 11 : Contrle des accs logiques Thme 12 : Acquisition, dveloppement et maintenance Thme 13 : Gestion des incidents Sinistralit de

Thme 14 : Gestion de la continuit dactivit Thme 15 : Conformit

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

51/102

Les Hpitaux
Prsentation de lchantillon
Lenqute a t ralise par tlphone en janvier et fvrier 2010 auprs des hpitaux publics franais de plus de 200 lits : 151 hpitaux y ont rpondu, la personne cible tait le Responsable de la Scurit des Systmes dInformation, ou dfaut, le responsable informatique ou toute autre personne ayant cette question en charge.

Les rsultats de lenqute ralise en 2006 se rfraient une cible lgrement diffrente car les hpitaux de moins de 200 lits taient aussi inclus : 66% des hpitaux ayant rpondu lenqute en 2006 avaient moins de 200 lits, contre 34% de plus de 200 lits (soit environ 63 hpitaux). Parmi ces 151 hpitaux de plus de 200 lits, les tablissements de 200 500 lits sont en majorit (presque les deux-tiers). Un quart dentre eux comporte de 500 1 000 lits. Dix dentre eux (soit 7%) comportent plus de 1 000 lits. Quel est le nombre de lits de votre hpital ?

De 200 499 lits; 66%

Plus de 1000 lits; 8% De 500 999 lits; 26%

Figure 44 Taille des hpitaux interrogs

Le Directeur (ou responsable) Informatique a le plus souvent rpondu lenqute, dans un tiers des cas, le DSI reprsentant 17% des cas. Cependant, la cible prioritaire tait le Responsable de la Scurit des Systmes dInformation (RSSI), qui a pu tre joint dans 28% des cas seulement (42 hpitaux). En effet, dans la majorit des cas, il ny a pas de RSSI identifi, ni en tant quindividu ni en tant que fonction.

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

52/102

Les hpitaux publics franais de plus de 200 lits

Quelle est votre fonction au sein de l'hpital ?

Directeur / Resp. informatique; 34%

Autres; 21% RSSI; 28% DSI; 17%


dont resp. rseaux 9%

0%

10%

20%

30%

40%

50%

60% RSSI

70% DSI

80% Autres

90%

100%

Directeur / Responsable informatique

Figure 45 Profil des interviews

Budget Informatique
Le budget informatique serait-il une information confidentielle ?
Le taux de rponse cette question est faible. Il est probable que ce budget SSI ne soit pas toujours connu ou diffusable, surtout sil est faible. Le taux de rponse est cohrent avec celui de lenqute sur les entreprises. Il doit tre not que, dans le domaine hospitalier, une partie non ngligeable des investissements informatiques est ralise directement dans les services. combien s'lve votre budget informatique annuel (investissement et fonctionnement) ?

7% <30k

30 100k; 15%

100 400k; 32%

> 400k; 47%

0%

10% < 30k

20%

30%

40%

50% > 400k

60%

30 100k

100 400k

70% 80% 90% NB : taux de rponse de 48% seulement cette question

100%

Figure 46 Rpartition des budgets informatiques

Les budgets informatiques sont trs disparates. Ils sont globalement infrieurs ceux constats pour les entreprises.

Moyenne Minimum Maximum


Menaces informatiques et pratiques de scurit en France CLUSIF 2010

1 015 000 7 000 12 000 000


53/102

Les hpitaux publics franais de plus de 200 lits

On peut cependant signaler la difficult identifier et isoler ce qui, dans un budget SI, relve de la scurit. Pour un antivirus cest vident, mais pour une infrastructure de sauvegarde, est-ce du domaine de la scurit ou de linfrastructure ? De plus, lorsque lon fait lacquisition de systmes tout en un (comme par exemple les PACS) qui sont livrs nativement en cluster redonds, etc., comment identifier la part scurit ?

Moyens consacrs la scurit de linformation


Deux enseignements se dgagent : la capacit des interviews identifier leur budget scurit dans le budget informatique global a fortement diminu : la scurit des Systmes dInformation est-elle de moins en moins un sujet en soit ou est-elle devenue un sujet moins urgent ? Le problme est peut-tre de dfinir ce qui est du domaine de la scurit et ce qui ne lest pas, la part du budget informatique consacre la scurit a diminu : en 2006, 50% des personnes interroges positionnaient le budget scurit au del de 3% du budget informatique. Elles ne sont plus que 38% en 2010.

Quel pourcentage reprsente le budget scurit par rapport au budget informatique total ?

2010

<1%; 18%

1 3%; 15%

3 6%; 16%

+ de 6%; 22%

Ne sait pas; 29%

2006

<1%; 16%

1 3%; 20%

3 6%; 24%

+ de 6%; 26%

14%

0%

10%

20%

30% <1%

40%

50%

60% + de 6%

70% Ne sait pas

80%

90%

100%

1 3%

3 6%

Figure 47 Part du budget informatique consacre la scurit des Systmes dInformation

Ce constat est inquitant, car il doit tre corrl linterconnexion de linformatique mdicale avec linformatique de gestion dans beaucoup dtablissements de sant et donc une augmentation des risques. contrario, lchantillon nest pas constant et limportance des petits tablissements dans le panel peut expliquer une volution ngative.

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

54/102

Les hpitaux publics franais de plus de 200 lits

Thme 5 : Politique de scurit


La Politique de Scurit de lInformation dfinit notamment les grandes orientations en la matire pour une Organisation, montrant limplication de la Direction Gnrale. Une tendance samorce, consistant lier llaboration de la Politique de Scurit lanalyse de risques. Selon cette enqute 2010, 63% des hpitaux ont formalis leur Politique de Scurit, au lieu de 55% en 2008. La mise jour de cette Politique date de moins de deux ans pour 75% de ces hpitaux. La politique de scurit de linformation de votre hpital sappuie-t-elle sur des normes de scurit, et si oui lesquelles ?

Non ISO 2700x PSSI du GMSIH Guide PSSI ANSSI ISO 27799 MEHARI EBIOS Autre Ne sait pas 0% 5% 1% 14% 15% 15% 20% 25% 6% 11% 16% 14%

30%

34%

2006

2010

8%

8%

30%

22%

11%

10%

30%

35%

40%

Figure 48 Normes de scurit utilise pour supporter la Politique de Scurit de l'Information

Les tablissements hospitaliers sappuient sur des normes (2700x, 27799, etc.) pour laborer leur Politique de Scurit. En revanche, lutilisation de modles se dveloppe. Le GMSIH (Groupement pour la Modernisation du Systme dInformation Hospitalier) a produit un modle de Politique, et les hpitaux sont aujourdhui 14% sen inspirer pour llaboration de leur propre Politique de scurit. Par ailleurs, 8% au moins sappuient sur une mthode de gestion des risques pour llaboration de leur Politique.

Une implication forte de la Direction Gnrale


Lorsquune Politique de Scurit existe, les rsultats de lenqute 2010 rvlent que la Direction Gnrale soutient cette Politique 94% contre 99% en 2006. La Scurit apparat souvent comme une proccupation de la Gouvernance des hpitaux. La monte en puissance des contraintes lgislatives et rglementaires nest probablement pas trangre cette tendance. Menaces informatiques et pratiques de scurit en France CLUSIF 2010 55/102

Les hpitaux publics franais de plus de 200 lits

En revanche, limplication des RSSI indique manifestement que, dans la majorit des cas, le rle du RSSI au niveau Gouvernance du Systme dInformation nest pas avr. Limplication de la Direction Gnrale recouvre-t-elle une implication plus large des diffrentes composantes mtiers des hpitaux (les mdecins, les laboratoires, les soignants, etc.) ? Cela semble souhaitable En effet des organismes tels que lAFAI ou lISACA recommandent que les projets IT soient corrls aux projets mtier auxquels ils contribuent, et grs en tant que composantes de ces projets mtier. Quelles sont les entits ayant contribu llaboration de la Politique de scurit ?

La Direction des Systmes d'Information La Direction Gnrale Le Responsable de la Scurit des Systmes d'Information (RSSI) Le Responsable de la Production informatique La Direction des Ressources Humaines Le Responsable de lAudit ou du contrle interne La Direction Juridique Autres 0%
12% 9% 21% 20% 35% 43% 66%

74%

10% 20% 30% 40% 50% 60% 70% 80%

Figure 49 Entits ayant contribu llaboration de la Politique de scurit

Il est essentiel que les arbitrages concernant les projets IT majeurs soient rendus au niveau de la Gouvernance dune Organisation. Ainsi lon peut esprer que les projets IT et les objectifs du SI soient aligns sur les objectifs stratgiques de lOrganisation. Cest ce que recommande lAFAI, travers les onze vecteurs de valeur du SI (cf. sites de lAFAI, du CIGREF, etc.). Dans ce contexte, la Scurit, facteur cl de la performance, de la fiabilit, de la prennit dun SI, est ncessairement prise en compte au niveau de la Gouvernance du Systme dInformation. Les projets SI, dont les projets Scurit, par leur contribution aux projets mtier, sont vecteurs de cration de valeur dans les hpitaux, comme dans toute organisation.

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

56/102

Les hpitaux publics franais de plus de 200 lits

Thme 6 : Organisation et moyens


Le RSSI : une prsence en progression constante
La fonction de RSSI ou de RSI simpose peu peu dans le monde hospitalier : elle est clairement identifie et attribue dans 37% des cas en 2010 contre 27% en 2006. Cependant, cette fonction semble de moins en moins assure par une personne ddie : 41% des cas en 2006 vs 23% en 2010. La fonction de RSSI/RSI subit une volution nette vers un rattachement au primtre du DSI, tendance dj observe lors de notre prcdente enqute, ou vers les DAF (Directions Administratives et Financires). Le DSI saffirme de plus en plus comme le garant de la scurit des Systmes dInformation. Les Responsables scurit lui sont de plus en plus rattachs (32% en 2006 vs 36% en 2010) et de moins en moins la Direction Gnrale (45% en 2008 vs 34% en 2010). La DAF hrite de la fonction scurit dans 12% des cas contre 5% en 2008. La principale observation semble tre un recul du rattachement du Responsable Scurit la Direction Gnrale. Il serait intressant dvaluer si cette volution signifie un loignement des fonctions Scurit et Systmes dInformation de la Gouvernance de lOrganisation. Il se peut, en effet, que ce recul sexplique par le rattachement croissant de la Scurit au DSI et au DAF. Or, si ceux-ci sont effectivement prsents dans les instances de Gouvernance, la reprsentativit de la Scurit dans les instances de Gouvernance resterait alors stable. Dans le cadre des missions du RSSI, quel pourcentage reprsente le temps consacr aux aspects... ?

2010

Fonctionnels; 25%

Techniques; 30%

Oprationnels; 28%

7%

10%

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

Fonctionnels

Techniques

Oprationnels

Juridiques

Communication

Figure 50 Temps consacr par le RSSI aux diffrentes tches

Les fonctions oprationnelles et techniques reprsentent lactivit principale du Responsable Scurit (58%). Les aspects fonctionnels, davantage orients vers le management de la scurit (Politique scurit, analyse de risques, etc.), reprsentent seulement 25% de la charge du RSSI. Combien de personnes travaillent exclusivement la scurit de linformation au sein de votre hpital ? Nous nous sommes interrogs quant la pertinence de comparer brutalement certains chiffres : par exemple, la rponse Pas dquipe scurit permanente passe de 24% en 2006 38% en 2010. Cela peut paratre trs ngatif au premier abord. Certes, cela corrobore la baisse de fonction scurit porte par une personne ddie (41% en 2006 vs 23% en 2010), mais cela est-il reprsentatif dans lensemble du monde hospitalier ?

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

57/102

Les hpitaux publics franais de plus de 200 lits

Thme 7 - Gestion des biens / Inventaire


Inventaire des informations et de leur support
On constate que 57% seulement des hpitaux interrogs ont procd linventaire des informations en totalit (15%) ou en partie (informatique ou hors informatique). Ce qui est peu si lon considre que cet inventaire est la base des analyses de risques. Avez-vous inventori toutes les informations (et leur support) de votre hpital et leur avez-vous attribu un propritaire ?

Non; 43%

9%

33%

Oui; 15%

0% Non

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

Oui, en partie, sur les activits de l'hpital et ce qui ne dpend pas seulement de l'informatique Oui, en partie, sur les systmes informatiques Oui, en totalit
Figure 51 Ralisation de linventaire des informations

Le classement des informations, lui, est ralis par la moiti des hpitaux (48%), selon les critres de confidentialit (dans 82% des cas), de Disponibilit (62%, ce qui est rapprocher de lexistence de plans de continuit) et dIntgrit (48%) ou Autres (traabilit, Preuve, etc..), ceci avec, en moyenne, deux ou trois niveaux de sensibilit par critre.

Gestion des biens / Analyse de risques


Lanalyse de risques devrait simposer peu peu aux structures hospitalires, notamment en raison : du dcret Confidentialit du 15/07/2006 qui y fait rfrence, du lobbying ralis par le GMSIH (ANAP aujourdhui) avec une proposition de mthodologie.

Avez-vous ralis une analyse formelle, base sur une mthode, des risques lis la SSI ?

Non; 60%

3%

20%

Oui; 15%

2%

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

Non Oui, en partie, sur les activits de l 'hpital et ce qui ne dpend pas seulement de l 'informatique Oui, en partie, sur les systmes informatiques Oui, en totalit Ne sait pas
Figure 52 Ralisation dune analyse des risques

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

58/102

Les hpitaux publics franais de plus de 200 lits

Globalement, les analyses de risque menes en 2010 se sont traduites par des plans dactions de manire plus systmatique. Le Responsable Scurit est clairement reconnu comme le porteur de cette activit : 43% en 2010 contre 35% en 2006. La tendance dj amorce en 2006 se confirme. Cependant, il est difficile de comparer 60% de Non en 2010 40% seulement en 2006, car le libell en 2010 comporte le mot analyse formelle . Pour ce qui est de la mthode danalyse des risques utilise, la rfrence mthodologique privilgie est celle propose par le GMSIH.

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

59/102

Les hpitaux publics franais de plus de 200 lits

Thme 8 Ressources humaines


En quatre ans, les hpitaux ont adopt les chartes de scurit
Certes, le mouvement ne sest pas amplifi au point dassister une gnralisation, mais les progrs sont sensibles : la proportion dtablissements ne disposant daucune charte de scurit a ainsi diminu de moiti (de 42% en 2006 21% en 2010), surtout dans les hpitaux de plus de 500 lits. Ces chartes font lobjet dune diffusion plus large : elles sont signes par tous les salaris dans plus de la moiti des tablissements. Par ailleurs, ces chartes constituent des outils de management : des sanctions disciplinaires sont en effet prvues dans le rglement intrieur, en cas de manquement la charte, dans la quasi-totalit des tablissements (46% ont institu le principe de sanctions, 47% sont en cours de formalisation). Il reste toutefois un chantier pour lequel des progrs restent faire : celui de la sensibilisation plus gnrale des salaris la scurit de linformation. Dans plus de la moiti des tablissements (et les deux tiers des tablissements de moins de 500 lits), ni les contrats de travail ni les descriptifs de postes ne font tat des responsabilits et des exigences en matire de scurit des Systmes dInformation. Existe-t-il une charte de scurit destination du personnel de votre hpital ?

2010

63%

15%

21%

1%

2006

42%

14%

42%

2%

0%

10%

20%

30% Oui

40%

50% Non

60%

70%

80%

90%

100%

En cours

Ne sait pas

Figure 53 Existence dune charte de scurit destination du personnel

Cette situation se mesure galement avec un autre indicateur : lexistence dun programme de sensibilisation la scurit. Dans les deux-tiers des tablissements, il nexiste aucun programme de ce type, proportion qui na pas valu entre nos deux enqutes. Et lorsque de tels programmes existent, les impacts ne sont pas mesurs dans huit cas sur dix. En quatre ans, la hirarchie des outils utiliss a volu : les sessions de sensibilisation systmatiques pour les nouveaux arrivants sont dsormais privilgies (dans 50 % des tablissements, contre 30 % en 2006) alors que dans lenqute prcdente, les tablissements mentionnaient davantage les publications (Intranet, mailing, affiches, articles, etc.) et la formation priodique comme outils principaux de sensibilisation.

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

60/102

Les hpitaux publics franais de plus de 200 lits

Si charte de scurit, quels sont les moyens utiliss pour assurer la sensibilisation ?

Publications (Intranet, affiches, articles, mailing) Session de sensibilisation des nouveaux arrivants Formation priodique de tout le personnel Formation ddie des populations spcifiques Dpliants et goodies Quiz ou questionnaire ludique sur Intranet Autres 8% 5% 3% 0% 10% 20% 30% 40% 26% 18% 23% 12%

50% 42% 50% 30% 35% 43%

2006

2010

50%

60%

Figure 54 Moyens utiliss pour assurer la sensibilisation du personnel

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

61/102

Les hpitaux publics franais de plus de 200 lits

Thme 9 Scurit physique du dossier patient papier


Responsabilit sur le dossier patient
La question porte sur le dossier patient papier. Il est alors relativement logique que celui-ci ne soit pas du ressort du RSSI mais du professionnel de sant. Il est en revanche assez tonnant que, pour 26% des sonds, les responsabilits ne soient pas clairement identifies. La sparation des fonctions entre la DIM (Direction de linformatique mdicale) et la DSI dans les tablissements peut expliquer que le dossier patient ne soit pas considr comme du ressort du RSSI. Cependant, parle-t-on de la responsabilit de la dfinition des mtargles daccs au dossier papier, des dossiers papier en gnral, des archives des dossiers papier ? En gnral, les mtargles sont du ressort du DIM, les dossiers papiers des patients prsents sont de la responsabilit de lunit fonctionnelle hbergeante (donc mdecin traitant et chef de service), alors que les archives mdicales peuvent tre gres soit par le DIM, soit par la DSI, soit par les services gnraux.

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

62/102

Les hpitaux publics franais de plus de 200 lits

Thme 10. Gestion des communications et des oprations Scurit lie aux nouvelles technologies
Comme lors de la prcdente tude, les hpitaux se montrent globalement moins permissifs que les entreprises dans lutilisation des nouvelles technologies. Dun autre ct, on observe une diminution de leur interdiction pure et simple. Pourriez-vous positionner votre politique de scurit sur les aspects suivants ?
Accs au SI depuis un poste non Accs au SI depuis contrl un poste contrl

2010

61%

38%

1%

2006 2%

27%

70%

1%

2010

25%

75%

2006

8%

91%

1%

PDA et smartphones

2010 1%

29%

68%

2%

2006 4%

16%

76%

4%

Connexion (interne) au LAN en Wifi

2010 1%

62%

35%

2%

2006 2%

36%

59%

3%

VoIP / ToIP

2010 3%

28%

64%

5%

2006 3%

11%

81%

5%

MSN, Skype, etc.

2010 3%

15%

80%

2%

2006

0%

10%

20%

30%

40%

50%

60%

70%

80%

90% Ne sait pas

100%

Autoris sans condition

Autoris sous condition

Interdit

Figure 55 Scurit des nouvelles technologies

Lutilisation des postes nomades fournis par ltablissement est de plus en plus rpandue et accepte. En revanche, plus daccs sans condition. Le domaine hospitalier est en retrait par rapport aux entreprises (+ de 75% des entreprises autorisent les accs sous condition par des postes nomades et prs de 10% les Menaces informatiques et pratiques de scurit en France CLUSIF 2010 63/102

Les hpitaux publics franais de plus de 200 lits autorisent sans condition). Mais on peut sinterroger sur le bien-fond de cette tendance : autoriser laccs son SI sans conditions depuis lextrieur relve du suicide informatique Laccs partir de postes de travail non matriss est en augmentation mais reste largement interdit. Au vu des budgets informatiques et de la proportion de ces budgets ddie la scurit des Systmes dInformation, il est peu probable que ces consignes sappuient sur des dispositifs techniques limitant, voire interdisant la connexion dun quipement nappartenant pas ltablissement. Les rseaux sans fil prennent de plus en plus dampleur. Les hpitaux sont ici en avance par rapport aux autres entreprises. Ceci est logique car les technologies sans fil permettent de grer les dplacements du personnel mdical. Il est en revanche tonnant que lextension des rseaux sans fil ne soit pas corrle avec la mise en uvre de priphrique de type PDA, domaine o mme si la proportion quasiment double, le monde hospitalier reste en retrait par rapport au monde de lentreprise. Les rsultats seraient ventuellement diffrents si la question avait port uniquement sur les PDA et pas sur le couple PDA/Smartphone. On peut donc sinterroger sur lusage de ces rseaux sans fil dans les plus de 30% dtablissement qui nutilisent pas de terminaux mobiles. On peut ventuellement y voir une facilit pour viter un cblage ou une extension de cblage. En fait, la raison est simple : la question nest pas laccs depuis les PDA, mais laccs depuis les applications tournant sur les PDA. A ce jour elles sont trs peu nombreuses. Il doit tre rappel que les technologies wifi, outre les risques lis la confidentialit qui peuvent tre rgls, prsentent des risques intrinsques de perturbation et de dysfonctionnement, antinomiques de rseaux critiques tels que ceux prsents dans les hpitaux. Lusage de la tlphonie sur IP stend au sein des tablissements o elle a presque triple en trois ans. Lusage de la messagerie instantane reste faible. Globalement, la proportion dtablissement qui autorise lune ou lautre des technologies sans condition reste faible, voire diminue.

Les hpitaux ne rsistent pas au nomadisme


Les hpitaux, plutt frileux vis--vis du nomadisme en 2006 (accs extrieurs interdits 70% pour les postes nomades et 91% pour les postes non matriss, rejet des PDA / smartphones 76% et du wifi 59%), semblent dornavant mieux matriser les technologies associes et autoriser leur utilisation sous condition. Malgr le risque sur la confidentialit des donnes manipules, les chiffres autour du nomadisme augmentent et se rapprochent de ceux des entreprises : de 15 30% daugmentation pour laccs des postes nomades, des postes non matriss et du wifi. Seule exception : les PDA / smartphones, pourtant en hausse (+10%), restent bien moins autoriss quen entreprise (30% contre 53%). Lexplication de ce phnomne rside principalement dans les risques de perturbations, avrs ou non, sur les quipements sensibles des hpitaux. Quant la VoIP et la ToIP, 31% des hpitaux (contre 14% prcdemment) se dclarent favorables leur utilisation : linstar des entreprises, les hpitaux dploient de plus en plus cette technologie avec des besoins en disponibilit et en qualit de service un niveau similaire voire suprieur. Enfin, au vu des risques de scurit lis lutilisation de la messagerie instantane, cette technologie est l aussi peu autorise (interdiction 80% pour les hpitaux contre 75% pour les entreprises).

Lutte antivirale
Les niveaux dquipement des hpitaux sont du mme ordre que ceux constats pour les entreprises, hormis en ce qui concerne la technologie du chiffrement des donnes. Ceci amne penser que la dmarche de scurisation est la mme pour les entreprises et les hpitaux, les technologies tant aujourdhui globalement communes. Lutilisation du chiffrement des donnes utilisateur est globalement infrieure de 10% ce quon trouve en entreprise, mais le plus intressant est de voir que, dans le cas des hpitaux, la majorit des machines chiffres sont des ordinateurs fixes, ce qui explique une dmarche plus axe sur la confidentialit des donnes que sur le vol dquipements portables. Ceci est en effet comprhensible tant donn le niveau de confidentialit des donnes mdicales. On voit ici que si les technologies sont communes avec les entreprises, les risques adresser peuvent tre parfois diffrents. Menaces informatiques et pratiques de scurit en France CLUSIF 2010 64/102

Les hpitaux publics franais de plus de 200 lits

Infogrance
Moins dinfogrance dans les hpitaux
Il apparat que de moins en moins dhpitaux ont recours linfogrance (26%, soit une diminution de 11% depuis la prcdente tude), ce qui constitue une diffrence notoire avec les entreprises pour lesquelles la proportion reste stable (autour de 35% externalisent la fonction SI en partie ou en totalit). Cette baisse peut tre impute plusieurs raisons non exclusives : fort besoin de confidentialit, manque de confiance dans linfogrance, r-internalisation suite des expriences dinfogrance nayant pas atteint les objectifs de qualit ou de scurit escompts Avez-vous plac tout ou partie de votre systme d'information sous contrat d'infogrance ?

2010

Non; 74%

25% 1%

2006

62%

Oui, en partie; 27%

10%

1%

0%

10%

20% Non

30%

40%

50%

60%

70%

80%

90%

100%

Oui, en partie

Oui, en totalit

Ne sait pas

Figure 56 Infogrance du Systme dInformation

Un contrle de la scurit des contrats dinfogrance limit


Sil y a moins de suivi rgulier de linfogrance par des indicateurs de scurit, les hpitaux sont plus nombreux en 2010 exercer leur droit de regard sur les prestations associes via des audits de scurit au moins ponctuels. Si infogrance, exercez-vous un suivi rgulier de cette infogrance par des indicateurs de scurit ?

2010

Oui; 34%

Non; 58%

8%

2006

45%

54%

1%

0%

10%

20%

30%

40% Oui

50% Non

60% Ne sait pas

70%

80%

90%

100%

Figure 57 Suivi de linfogrance par des indicateurs de scurit

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

65/102

Les hpitaux publics franais de plus de 200 lits

Nanmoins, ce chiffre (31%) reste relativement faible et dnote globalement un contrle de la scurit limit dans les contrats dinfogrance. Si infogrance, effectuez-vous des audits sur cette infogrance ?

2010

13%

18%

64%

5%

2006

6%

12%

83%

0%

10%

20%

30%

40%

50%

60%

70% Non

80%

90%

100%

Oui, au moins une fois par an

Oui ponctuellement

Ne sait pas

Figure 58 Audits de linfogrance

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

66/102

Les hpitaux publics franais de plus de 200 lits

Thme 11 Contrle daccs


Globalement, les tablissements hospitaliers ont, depuis la dernire enqute, progresss dans ladoption et la mise en uvre des moyens de contrles daccs. Les SSO (Single Sign On) ainsi que lauthentification forte par certificat lectronique sur support matriel (carte puce ou cl puce) vont poursuivre leur diffusion dans plus dun quart des tablissements hospitaliers (respectivement 29% et 25% vont squiper en 2010). Le SSO est dj le mcanisme le plus utilis, de faon totale ou partielle, avec un tablissement sur cinq quip. En matire de gestion des droits, il reste des insuffisances lies labsence de procdure formelle d'enregistrement, de rvision et de dsinscription des droits des utilisateurs, dans plus dun tablissement sur deux (55%). Une procdure formelle d'enregistrement, de rvision et de dsinscription existe-t-elle ?

2010

24%

21%

55%

0%

10%

20%

30% 40% 50% 60% Oui en totalit Oui en partie

70% Non

80%

90%

100%

Figure 59 Existence dune procdure formelle d'enregistrement, de rvision et de dsinscription

Des rgles de constitution et de premption des mots de passe existent-elles pour tous les accs ?

2010

40%

32%

28%

0%

10%

20%

30% 40% Oui, pour tous

50% 60% 70% Oui, pour certains Non

80%

90%

100%

Figure 60 Existence de rgles de constitution et de premption des mots de passe

De mme, il ny a aucun contrle des mots de passe (pour leur constitution et leur premption) dans un tiers des tablissements.

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

67/102

Les hpitaux publics franais de plus de 200 lits

Thme 12 - Acquisition dveloppement et maintenance du SI


Veille sur les vulnrabilits
Les rponses aux questions relatives la veille sur les vulnrabilits et les dlais de dploiement des correctifs semblent marquer le pas par rapport lenqute 2006. Ralisez-vous une veille permanente en vulnrabilits et solutions de scurit ?

2010

19%

40%

40%

1%

2006

26%

35%

38%

1%

0%

10%

20%

30%

40%

50%

60%

70% Non

80% Ne sait pas

90%

100%

Oui, systmatiquement

Oui, en partie

Figure 61 Veille permanente en vulnrabilits et solutions de scurit

La diminution constate defficacit visible sur les tableaux correspond plus llargissement du primtre qu une diminution de lefficacit des tablissements interrogs en 2006. En effet, il est assez peu probable que les tablissements de moins de 200 lits mettent en place des traitements ayant besoin dune masse critique importante comme la veille ou le traitement des correctifs. Une forme de mutualisation sur ces sujets est peut tre inventer En revanche, nous constatons avec satisfaction un progrs, mme modr en matire de mise en place des procdures formalisant la gestion des correctifs. Ceci est dautant plus important que la sinistralit due aux erreurs de conception des logiciels est en nette progression autant du point de vue du nombre que, surtout, de leur gravit. Il doit tre not que ce progrs na pas permis une amlioration des performances mais au contraire une dgradation. Doit-on y voir une meilleure maitrise et donc des rponses plus exactes ? Ceci est probable. Il est galement intressant de constater la mme tendance dans les rponses des entreprises.

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

68/102

Les hpitaux publics franais de plus de 200 lits

Lexistence dun processus de dploiement des correctifs en progression


Il semble que si lon dtecte moins bien et moins globalement les failles, les processus pour dployer les correctifs soient, eux, de plus en plus formaliss : 47% des hpitaux du panel, contre 34% en 2006. En cas de menace grave, en moyenne quel dlai est ncessaire pour dployer les correctifs ?

Dans l'heure Dans la journe dans les 3 jours Lors de sessions planifies de mise jour Ne sait pas
4%

2010; 17%

2006; 30%

51%
50%

18%
13%

3%

7%

2006

2010

7%

0%

10%

20%

30%

40%

50%

60%

Figure 62 Dlai moyen ncessaire pour dployer les correctifs

Les rsultats sur le dploiement des correctifs sont tonnants. En effet, la meilleure dfinition des processus de dploiement na pas permis une amlioration des performances mais au contraire une dgradation. Doit-on y voir une meilleure maitrise et donc des rponses plus exactes ? Ceci est probable. Il est galement intressant de constater la mme drive dans les rponses des entreprises. In fine, il en reste nanmoins que plus de 80% des tablissements sonds semblent capable de dployer des correctifs en moins de 3 jours en cas durgence alors que seuls 19% sont srs dtre alerts par leur dispositif de veille

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

69/102

Les hpitaux publics franais de plus de 200 lits

Thme 13 Gestion des incidents


Les incidents de scurit sont de mieux en mieux dtects
quels types d'incidents avez-vous t confront ?

Pannes d'origine interne Perte de services essentiels Vol / disparition de matriel Erreurs d'utilisation Infections par virus Erreurs de conception Evnements naturels Intrusions sur les systmes d'information Sabotages physiques Attaques logiques cibles Actes de dnigrement ou d'atteinte l'image Accidents physiques Divulgations Fraudes informatiques ou tlcom Actes de chantage, extorsion informatique
0%

42% 32% 33%

46% 46%

44% 43% 42% 42%

47%

35% 38%

8% 7% 7% 7%

13%

2% 2% 5% 1%

5% 5%
6%

2006

2010

3%
3%

2%

3%

1%

0%

5%

10%

15%

20%

25%

30%

35%

40%

45%

50%

Figure 63 Types dincidents survenus

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

70/102

Les hpitaux publics franais de plus de 200 lits

Laugmentation de la perte de services essentiels est forte


Une cause probable pouvant tre laugmentation de la pntration des Systmes dInformation dans les actes mdicaux conjugue linterconnexion accrue de ces systmes avec des moyens informatiques traditionnels. nombre moyen d'incidents Origine Impact

Nature de lincident inconnue externe interne

moyen 35% 25% 12% 21% 35% 22%

faible

Perte de services essentiels Pannes d'origine interne Vol / disparition de matriel Erreurs d'utilisation Erreurs de conception Infections par virus

65%

34%

1%

4,5 5,4

43% 47% 85% 71% 49% 59%

26% 93% 43% 11%

7% 0% 49% 64%

67% 7% 8% 24%

5 42,2 20,1 9,8

Figure 64 Natures des principaux incidents survenus

Lanne 2010 marque, notamment, par linfection massive du vers Confiker laisse penser quune relation pourrait tre faite entre laugmentation des infections virales et la perte de services essentiels. En effet, ce malware a infect prs de la moiti des CHU de France avec parfois des interruptions de service quasi-totales pendant des dures pouvant aller jusqu' 3 semaines. Les dernires infections massives du mme ordre taient dues "I Love You" et autres malwares similaires. Louverture de ces systmes du personnel externe pouvant utiliser des moyens vhiculant des codes malveillants, tels que les cls USB ou autres supports amovibles, est un facteur de risque ncessitant une prise en considration. On peut aussi se demander si, tout simplement, ce nombre de pertes de services en forte augmentation nest pas d au fait que le panel 2010 comporte de plus gros hpitaux quen 2006, et quils ont une meilleure connaissance (grce de meilleurs circuits de remonte) de leurs incidents. Et ce dautant plus que la taille des hpitaux augmentant, il est normal que le nombre de pertes de services augmente aussi. Une autre piste explorer se situe du ct de la qualit de service des fournisseurs de service essentiels (FAI, lectricit, etc.), soumis une concurrence violente, et des mises en place de nouvelles infrastructures encore en cours de stabilisation. Une volution parat de prime abord notable depuis l'tude prcdente : elle concerne le ressenti en matire d'intrusions sur les systmes d'information qui atteint un taux remarquable de 7% d'hpitaux dclarant avoir rencontr de tels incidents (l'tude ne distinguant pas les tentatives des intrusions effectivement russies). Ce chiffre est cohrent avec le dploiement de plus en plus courant d'outils de dtection ou de prvention des intrusions et ne peut tre interprt comme une volution de ce type de risques.

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

71/102

lev 22% 28% 3% 8% 16% 19%

Les hpitaux publics franais de plus de 200 lits

Les vols de matriels ont progress de plus d'un tiers


Avec 44% des hpitaux dclarant avoir rencontr des incidents de cette nature, avec le plus souvent un impact faible. De tels chiffres sont lis la nature mme des hpitaux qui accueillent quotidiennement du public et au dveloppement des outils nomades. Ces disparitions de matriels devraient plus frquemment dboucher sur des dpts de plainte. Toutefois ces malveillances sont celles qui entrainent limpact le plus faible. La confirmation de cette tendance, invitable dans un tel environnement, doit inciter les hpitaux dvelopper l'utilisation du chiffrement ou de toutes techniques permettant de diminuer l'impact de tels vols ou disparitions de matriels, notamment sur les postes informatiques portables. Lvolution des erreurs de conception, les pannes dorigine internes ainsi que la baisse des erreurs dutilisation, sont difficilement interprtables compte tenu de lvolution du primtre de ltude et devront tre confirms dans les prochaines tudes et devront naturellement faire lobjet dune attention particulire. En effet les pannes dorigine internes sont celles ayant limpact le plus lev. Les erreurs de conception, significativement plus nombreuses, une menace relle limpact fort. Les erreurs dutilisation tant les plus frquentes, sont aussi celles, qui aprs le vol de matriel, ont limpact le plus faible. Les rsultats des types dincidents identifis dmontrent clairement une baisse des causes accidentelles (vnements naturels) alors que les causes malveillantes progressent.

Une gestion des incidents de scurit qui marque le pas


Comme la gestion des correctifs, la gestion des incidents de scurit semble marquer le pas. Encore une fois, les diffrences constates entre 2006 et 2010 ne sont pas suffisamment significatives au vu de la modification du panel de lenqute. Comment avez-vous rsorb l'impact financier de vos sinistres ?

Pas de rsorption
37%

46% 33% 17% 9% 1% 0%

Budget-trsorerie courante Assurance Ne sait pas Action juridique Financement bancaire (emprunt)
21%

38%

9%

2006

2010

1%

1%

0%

5%

10%

15%

20%

25%

30%

35%

40%

45%

50%

Figure 65 Rsorption de limpact financier des sinistres

Ainsi, la diminution du dpt des plaintes nest pas significative par rapport la modification du panel, les grands tablissements ont des structures spcifiques pouvant prendre plus aisment cette problmatique en charge. De mme en ce qui concerne l augmentation apparente du nombre dincidents. Tout ceci est mettre en rapport avec la dpendance croissante des tablissements par rapport leur Systme dInformation. Menaces informatiques et pratiques de scurit en France CLUSIF 2010 72/102

Les hpitaux publics franais de plus de 200 lits

Concernant la question relative aux impacts financiers, les chiffres doivent tre lus avec prudence. Si le risque financier est important, il ne faut pas oublier que la notion de risque vital a une signification trs concrte dans le milieu hospitalier, qui ne correspond pas la notion de faillite des entreprises prives. Il est probable que certaines rponses ont pris en compte lide de lanalyse du risque au del du risque financier.

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

73/102

Les hpitaux publics franais de plus de 200 lits

Thme 14. Gestion de la continuit


Globalement, maintenant plus de la moiti des tablissements interrogs dclarent avoir formalis le processus de gestion de la continuit de service : 22% dentre eux lont fait globalement. Existe-t-il un processus formalis et maintenu de la gestion de la continuit dactivit lhpital ?

2010

22%

32%

46%

2006

12%

24%

64%

0%

10%

20%

30%

40%

50%

60%

70%

80% Non

90%

100%

Oui, globalement

Oui, pour certaines activits

Figure 66 Existence dun processus formalis et maintenu de la gestion de la continuit dactivit

Malgr une forte progression (+18%) par rapport 2006, il reste toujours prs dun hpital sur deux qui na toujours pas trait la gestion de la continuit d'activit. Il est parier que cela est corrler avec la forte augmentation de la dpendance des hpitaux leur SIH dans des secteurs particulirement critiques (imagerie, laboratoire, mais aussi prescription connecte, etc.). La gestion de la continuit dactivit concerne-t-elle ?
Les systmes informatiques Les processus mtier Les quipements techniques Les locaux Les appareils mdicaux Les archives Autres
1% 37% 46% 56%

86%

53%

35%

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

Figure 67 La gestion de la continuit dactivit concerne

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

74/102

Les hpitaux publics franais de plus de 200 lits

La gestion de la continuit dactivit reste essentiellement technique


On ne doit donc pas parler dun PCA (Plan de Continuit dActivit au sens mtier du terme) mais plutt de PSI (Plan de Secours Informatique, qui ne concerne que les infrastructures techniques). Le PRA-PCA aborde encore trop peu souvent les aspects mtiers, qui sont le maillon faible de cette continuit. A quoi sert, en effet, de disposer dquipements de secours si les personnels ne connaissent pas la procdure pour les utiliser en cas de panne globale du systme ? Le chiffre le plus surprenant concerne celui des quipements mdicaux : pourtant, la plupart des services biomdicaux sont rompus depuis longtemps la continuit dappareils mdicaux dit vitaux (console de surveillance, respirateurs artificiels). quelle frquence les plans de continuit dactivit sont-ils tests et mis jour ?

Une fois par an Plusieurs fois par an Lors de changement(s) important(s) Jamais Moins d'une fois par an Ne sait pas 0% 5%

2010
14%

38% 17% 15%


33%

2008

27%

11%
11%

10%
11%

2006

2010

9% 10% 15% 20% 25% 30% 35% 40%

Figure 68 Frquence des tests et mises jour des plans de continuit dactivit

Globalement, les PCA sont tests et mis jours au moins une fois par an ou loccasion de changements importants. Ce qui est surprenant cest que lon constate (comme pour les entreprises), une diminution par rapport 2006 du nombre de tests raliss plusieurs fois par an (-10%). A linverse, on remarque une forte augmentation du nombre de tests raliss une fois par an (+14%). L encore, on peut sinterroger sur le bien fond dun seul test men dans lanne. En effet, ce seul test peut-il savrer concluant pour sassurer du bon dispositif de continuit dactivit de lhpital concern ? Les rsultats dans leurs globalits sont certainement du aux mmes raisons de dpendance croissante des hpitaux vis--vis de leurs SIH. Encore faudrait-il comprendre et dcrypter ce qui est couvert par ces tests.

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

75/102

Les hpitaux publics franais de plus de 200 lits

En effet, sil ne sagit que de tests de bascule technique, cest bien mais cela reste insuffisant. L aussi, il faudrait que les responsables des PCA au sein des hpitaux parviennent davantage inclure les contributions mtier. Existe-t-il un processus formalis de gestion de crise ?

2010

31%

27%

42%

0%

10%

20% 30% 40% 50% 60% 70% Oui, globalement Oui, pour certaines activits

80% Non

90%

100%

Figure 69 Existence dun processus formalis de gestion de crise

Prs dun tiers des hpitaux disposent dun processus formalis de gestion de crise
Cest est un bon score mais modrer face aux 42% des hpitaux qui nen disposent pas ! Ce qui est surprenant, cest que le rsultat des hpitaux en matire de gestion de crise est suprieur celui des entreprises, alors que ces dernires sont pourtant plus nombreuses avoir mis en place des PCA. La gestion de crise semble donc mieux maitrise par les hpitaux, sans doute au regard de la criticit de leur obligations en cas dincident grave. Toutefois, tous ces rsultats doivent tre pris avec grande prcaution en termes de comprhension. Est-il utile de rappeler que tout processus de continuit dactivit englobe obligatoirement une gestion de crise ? Plus de 80% des mmes personnes interroges qui dclarent avoir mis en place des processus de continuit, rpondent pourtant quelles nont pas identifi leurs RTO et RPO ! Il sagit certainement dune question dlicate poser une direction mtier et celle pour laquelle il est le plus facile dobtenir une rponse. Combien de temps pouvez-vous supporter que votre systme informatique sarrte dclenche souvent un regard tonn de la part de linterlocuteur. Ce dernier rpond le plus souvent que tout doit tre mis en uvre pour quil ny ait jamais darrt . Ajoutons enfin cela quil ny a pas ou trs peu de culture de risque lhpital, et pas seulement dans le domaine des Systmes dInformation. Quels types de solution de secours informatique utilisez-vous pour rpondre des sinistres majeurs ?
84% 54%

Sauvegardes classiques Secours chaud Secours froid Autres solutions Ne sait pas Aucune 10% 1%
7% 35% 30%

88%

42%

2006

2010

1%

2010; 0%
1%

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

Figure 70 Solutions de secours

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

76/102

Les hpitaux publics franais de plus de 200 lits

Une progression globale de solution de secours informatiques saffiche au regard de lensemble de ces rsultats. Ces derniers montrent de fortes corrlations avec ceux constats auprs des entreprises. linverse, le secours froid comme le secours chaud augmentent considrablement. L aussi, les nouvelles technologies comme les nouveaux moyens de sauvegardes tl distants sont sans doute lorigine de toutes ces augmentations lexception des moyens de sauvegardes classiques qui baissent denviron 6%. Ces dernires annes, la baisse des cots des solutions de sauvegardes et/ou de redmarrage chaud comme froid permettent sans aucun doute aux RSSI des hpitaux de mieux apprhender leurs solutions de secours informatiques.

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

77/102

Les hpitaux publics franais de plus de 200 lits

Thme 15 - Conformit
Une conformit aux lois et rglements en lgre augmentation
Une progression de quatre points sest opre en 2010, par rapport 2006, sur la conformit aux obligations de la CNIL : 94% des hpitaux interrogs estiment tre en conformit totale ou sur les traitements les plus sensibles. De mme, la mise en place dun Correspondant Informatique et Libert (tel que dfini par la CNIL) progresse nettement : cette mise en place est faite ou dcide dans 43% des hpitaux (contre 37% en 2006). En revanche, 38% des hpitaux ne la encore ni fait ni prvu, cette fonction entrant probablement dans le primtre dun autre poste. A la question Votre hpital est-il soumis des lois et/ou rglementations spcifiques en matire de scurit des informations , 31% des rpondants rpondent non ou ne savent pas. Or, la confidentialit des donnes personnelles mdicales sur informatique obit aux textes relatifs au secret de la vie prive (art. 9 du Code civil), au secret mdical (art. R 4127-4 du Code de la sant publique et, pour le secret professionnel, art. 226-13 du Code pnal), la loi garantissant la confidentialit des correspondances prives par voie de tlcommunications, notamment celles qui concernent la sant, et la loi Informatique et Liberts qui exige, elle aussi, la confidentialit et la scurit des donnes (art. 29). En effet, selon la loi n78-17 du 6 janvier 1978 relative linformatique, aux fichiers et aux liberts, les droits du patient et les devoirs du mdecin concernant les dossiers mdicaux informatiss sont les suivants : le droit l'information (article 28) et le droit l'opposition et l'oubli (article 26), le droit de contestation et de rectification (article 36), et le droit la scurit (article 29). Par ailleurs, la loi relative lassurance maladie crant le dossier mdical personnel (DMP) pour chaque assur social a t adopte le 13 aot 2004. Actuellement, le DMP a pu tre expriment par 17 sites pilotes dsigns dans la circulaire DHOS/E3 n2006-281 du 28 juin 2006 relative la mise en uvre du dossier mdical personnel par les tablissements de sant. Nous pouvons citer notamment les CHU de Lille, Strasbourg, Toulouse ou encore Amiens mais galement des tablissements de soins privs. Le dcret confidentialit du 15 mai 2008 a concrtis les recommandations de la CNIL, dans la mesure o il impose lutilisation de la Carte Professionnel de Sant (CPS) comme procd didentification et dauthentification pour toute transmission ou accs aux donnes de sant, et plus particulirement au DMP, y compris au sein dune mme structure. Cette mconnaissance des lois peut donc surprendre : le profil du rpondant est-il en cause, ou sa sensibilisation aux aspects juridiques de la scurit ?

Audits de scurit : une pratique restant amliorer


Concernant les audits de scurit du SI, la frquence annuelle est trs variable : la moiti du panel nen ralise aucun (quelle que soit la taille de ltablissement), 34% des tablissements de moins de 500 lits en ralisent 1 2 par an (45% pour les hpitaux de plus de 500 lits), et 12% en ralisent plus de 3 par an.

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

78/102

Les hpitaux publics franais de plus de 200 lits

Combien d'audits de scurit du SI sont-ils mens en moyenne par an ?

+ de 2; 12%

1 ou 2; 38%

Aucun; 49%

1%

0%

10%

20%

30% + de 2

40% 1 ou 2

50% Aucun

60%

70%

80%

90%

100%

Ne sait pas

Figure 71 Frquence des audits

On peut penser que linterprtation du terme audit est en jeu : dans le monde mdical, laudit est une procdure diffrente des contrles de routine. Il est habituellement effectu par un auditeur interne ddi, ou un cabinet extrieur. Si audit(s), de quels types ?
Vrification des configurations techniques Vrification des droits d'accs des utilisateurs Vrification de l'organisation et des procdures Tests d'intrusion rseaux Autres Ne sait pas 3% 3% 23%

44% 42% 37%

81%

100%

67%

58%

2006
4%

2010

0%

20%

40%

60%

80%

100%

Figure 72 Nature des audits

Dans la question suivante, on voit que les diffrentes natures des audits et leur primtre expliquent la variabilit de cette frquence. Ainsi, pour les hpitaux pratiquant des audits , seuls 37% procdent une vrification totale du primtre Scurit (organisation et procdures), ce qui est en nette rgression par rapport 2006 et compte tenu de la taille des tablissements interrogs. Le reste des audits est technique : tests dintrusion (23%), configurations techniques (44%), droits daccs (42%). Il est trs tonnant de voir quen 2006 tous les hpitaux interrogs contrlaient leurs droits daccs, y compris les hpitaux de petite taille, contre 42% en 2010 : quelque soit la taille de lhpital, et a fortiori pour les grands tablissements, ceci devrait faire partie des incontournables. Menaces informatiques et pratiques de scurit en France CLUSIF 2010 79/102

Les hpitaux publics franais de plus de 200 lits Les motivations qui dclenchent ces audits sont de diverses natures : politique de scurit ( 46%), en raison de projets sensibles (46%), contractuelle ou rglementaire (38%), demands par les tutelles ou les assureurs (10%). Par ailleurs, 38% des audits sont dclenchs suite un incident. Malheureusement comme souvent, cest la suite dun sinistre que lon prend conscience de la ncessit de prendre des mesures de protection. Cest aussi vrai dans le domaine de la scurit civile (par exemple un carrefour dangereux) que dans celui des Systme dInformation. Lhpital nchappe pas la rgle. noter que 30% des rpondants ne savent pas pourquoi ces contrles sont pratiqus : on peut supposer quils ne sont pas responsables de les pratiquer eux-mmes.

Tableaux de bord de la scurit informatique : une quasi-absence surprenante


Sans progression depuis 2006, de faon surprenante si lon considre que les hpitaux interrogs en 2010 taient de plus gros tablissements (plus de 500 lits), trs peu dhpitaux ont mis en place des tableaux de bord de suivi de la Scurit informatique : seulement 7% (soit 10 hpitaux). Pour ces dix hpitaux, les indicateurs suivis sont les suivants : nombre dincidents sur une priode, conformit avec les normes (comme ISO 27001), vulnrabilits dtectes, nombre dattaques arrtes, impacts directs et indirects des incidents, taux de mise jour des signatures antivirales, valuation des risques mtiers, suivi du budget consacr la scurit, taux de mise jour des patches de scurit, avancement des projets de scurisation, taux de personnes sensibilises.

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

80/102

Internautes

Prsentation de lchantillon Partie I Identification et Inventaire Partie II Perception de la menace rsultant de la connexion Internet et sensibilit de lutilisateur Partie III Les usages de linternaute Partie IV Moyens et comportements de scurit

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

81/102

Les Internautes
Prsentation de lchantillon
Deux ans aprs la premire enqute lance par le CLUSIF sur les pratiques et les comportements des particuliers autour dInternet partir de leurs quipements personnels, cette nouvelle tude a t ralise fin 2010 partir dun chantillon de 1000 personnes. Comme pour la premire tude, les oprations et les traitements statistiques des donnes ont t effectus par le cabinet spcialis GMV Conseil qui sest appuy sur un panel dinternautes gr par Harris Interactive. Lchantillon a t constitu de faon reprsenter le plus prcisment possible la ralit des internautes franais partir des donnes socioprofessionnelles dont dispose le cabinet. Lchantillon final a fait lobjet dun redressement sur les donnes de signaltique et par rapport aux donnes connues sur le plan national : sexe, ge, rgion, type dagglomration, catgorie socioprofessionnelle. Il peut tre utile de rapprocher les rsultats obtenus par lenqute et ceux dune tude ralise par lARCEP (Autorit de Rgulation des Communications lectroniques et des Postes), la mme poque (fin 2009), tude qui indiquait 19,7 millions dabonnements Internet1, dont 3,6% par modem, 95% par ADSL et 1,5% trs haut dbit (par fibre optique). Par ailleurs, lARCEP a not une croissance des abonnements proche de 10% pendant lanne 2009.

Par ailleurs, lINSEE comptabilise 31 millions de logements en France et environ 24 millions de mnages fin 2009. Menaces informatiques et pratiques de scurit en France CLUSIF 2010 82/102

Les internautes

Partie I Identification et inventaire


Lenqute 2010 montre une progression certaine dans linventaire des ordinateurs et lutilisation dInternet par rapport ltude de 2008. Ainsi, la part des foyers possdant 3 ordinateurs familiaux ou plus a cru de 16% 21% en 2 ans. La connexion Internet est permanente (ds que lordinateur est allum) pour 80% des internautes, ce qui est stable. En ce qui concerne les abonnements, les rsultats de lenqute indiquent des valeurs proches de ceux de lARCEP : les liaisons par modem sont marginales (2%) tandis que les liaisons ADSL plus de 1 Mbps (en trs haute majorit) ou par cble, reprsentent 87% des raccordements au domicile et que 65% utiliseraient une liaison plus de 10 Mbps. Vers la bote de raccordement ADSL ou cble ( box ), lutilisation dune liaison wifi depuis leur installation familiale crot de 51% 59%. Trs probablement, il sagit de remplacements de postes plus anciens au profit de systmes intgrant une antenne wifi. De nouveaux quipements (blackberry, iphone, etc.) et de nouveaux moyens daccs sans fil Internet se dveloppent (Edge/3G) qui permettent dtablir des connexions en dehors du domicile. Parmi les internautes disposant de connexions mobiles (wifi ou 3G), 58% dclarent tablir des connexions en dplacement hors de leur domicile (23% souvent et 35% plus rarement). Plus linternaute est jeune ou rside dans une grande agglomration (surtout Paris) plus il dispose dun PC portable et utilise le wifi ou une connexion mobile, de mme sil y a au moins 2 ordinateurs dans le foyer. De manire plus significative, 80% des utilisateurs de PC portables utilisent une connexion wifi contre moins de 30% pour les ordinateurs de bureau. Le nombre dordinateurs par foyer et la facilit de se connecter en mode sans fil, grce au wifi augmentent avec des taux quivalents celui du raccordement des mnages Internet (environ 10% par an). Lenqute permet de relever aussi lutilisation notable des quipements de mobilit (PC portables et tlphones 3G) hors du domicile (la croissance de ces possibilits sera au programme de la prochaine enqute).

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

83/102

Les internautes

Partie II Perception de la menace rsultant de la connexion Internet et sensibilit de lutilisateur


Protection des fichiers, du matriel et de la vie prive
Le sentiment dinscurit diminue lgrement par rapport ltude prcdente : les internautes sont moins inquiets face aux risques lis leurs fichiers ou leurs matriels (25% en 2008 risque important ou trs important vs 23% en 2010). Pensez-vous que la connexion Internet de votre ordinateur fait courir des risques vos fichiers et votre matriel ?

66%

23%

11%

0%

20%

40%

60%

80%

100% Ne sait pas

Risques nuls ou peu importants

Risques importants ou trs importants

Figure 73 Menaces sur les fichiers et le matriel

En revanche, le sentiment de danger concernant la protection de la vie prive augmente (mise en danger de la vie prive fortement ou un peu 60% en 2008 vs 73% en 2010). Pensez-vous que l'utilisation d'Internet peut mettre en danger la protection de votre vie prive ?

73%

25%

2%

0%

10%

20%

30%

40% Oui

50% Non

60% Ne sait pas

70%

80%

90%

100%

Figure 74 Menaces sur la vie prive

Il ny a pas forcment un rapport entre le sentiment dinscurit vis--vis dInternet et le risque concernant leurs donnes personnelles. Une explication possible est que ces donnes ne sont plus uniquement sur lordinateur personnel.

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

84/102

Les internautes

Lvolution ressentie de lexposition aux risques de linformatique personnelle est relativement stable par rapport 2008. Selon vous, quelle est lvolution ressentie de lexposition aux risques ?

20%

55%

15%

10%

0%

10%

20%

30%

40%

50%

60%

70% Ne sait pas

80%

90%

100%

En hausse

Stables

En baisse

Figure 75 volution des dangers

La perception des menaces lies aux escroqueries la carte bancaire (phishing) est relativement stable. La perception de la menace lie au spam augmente trs lgrement. Selon vous, en labsence de protection adapte de votre informatique personnelle, le spam et le phishing reprsentent-t-ils un risque ?

Le phishing

2010

37%

31%

24%

5% 3%

2008

44%

23%

24%

7%

2%

Le spam

2010

42%

29%

22%

4%3%

2008

37%

30%

26%

4% 3%

0%

10%

20%

30%

40% Important

50%

60%

70% Nul

80%

90%

100%

Trs important

Peu important

Ne sait pas

Figure 76 volution de la perception des menaces lies aux spams et au phishing

La perception du risque dIntrusion est lgrement en baisse. Malheureusement, les intrusions ne sont gnralement pas dtectes ce qui peut expliquer cette confiance. On observe les mmes volutions vis-vis des virus, et des logiciels espions.

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

85/102

Les internautes

Selon vous, en labsence de protection adapte de votre informatique personnelle, les intrusions, les virus et les logiciels espions reprsentent-t-ils un risque ?

Prsence de logiciels espions

2010

42%

34%

18%

2% 4%

2008

45%

35%

16%
3%

1%

Infection par un virus

2010

51%

30%

15%
2%

2%

2008

56%

30%

10%

3%1%

Intrusion sur votre ordinateur

2010

29%

31%

33%

5% 2%

2008 0% 10%

40% 20% 30% 40% Important 50%

31% 60% 70% Nul

21% 80%

4% 4%

90%

100%

Trs important

Peu important

Ne sait pas

Figure 77 volution de la perception des menaces lies aux intrusions, aux virus et aux logiciels espions

Il ny a pas dvolution importante du ressenti du risque de vol didentit, malgr lexplosion de lusage des rseaux sociaux. Selon vous, en labsence de protection adapte de votre informatique personnelle, le vol didentit reprsente-t-il un risque ?

Le vol d'identit

2010

35%

33%

25%
2%

5%

2008

37%

28%

25%

6%

4%

0%

10%

20%

30%

40% Important

50%

60%

70% Nul

80%

90%

100%

Trs important

Peu important

Ne sait pas

Figure 78 volution de la perception des menaces lies au vol didentit

La perception du risque de panne lectrique nvolue pas, malgr laugmentation de lusage des portables. On note peu de diffrence entre grandes villes et zones rurales. La perception de la menace de piratage de laccs wifi nvolue pas depuis le dernier rapport. En revanche, une nouvelle question portant sur le risque de connexion un faux accs wifi montre le manque de sensibilisation des Internautes cette menace. Il sagit du risque que son PC se connecte un faux hotspot ou un accs pirate se faisant passer pour un accs dj paramtr dans le PC. Une fois connect, le propritaire du faux accs wifi est en mesure dcouter le trafic chang entre le PC et les sites web visits, y compris ceux qui sont scuriss par certificats. Menaces informatiques et pratiques de scurit en France CLUSIF 2010 86/102

Les internautes

Selon vous, en labsence de protection adapte de votre informatique personnelle, le wifi reprsentet-il un risque ?

Le piratage de votre accs Wifi

2010

28%

27%

23%

11%

11%

2008

27%

27%

31%

11%

3%

La connexion un faux accs Wifi

2010

17%

19%

26%

28%

10%

2008

Question non pose

0%

10%

20%

30%

40% Important

50%

60%

70% Nul

80%

90%

100%

Trs important

Peu important

Ne sait pas

Figure 79 Perception des menaces lies au wifi

Les Internautes diminuent trs lgrement lusage des protections telles les firewalls, anti-virus et dune faon encore plus marque en ce qui concerne les anti-spam. Selon vous, ces situations peuvent-elles tre vues comme facteurs aggravants quant aux menaces dInternet ?
Ne pas avoir de parefeu

2010

78%

14%

3% 5%

2008

86%

12% 1%
1%

Ne pas avoir d'antivirus

2010

91%

4% 3%
2%

2008

95%

3% 1% 1%

Ne pas avoir d'antispam

2010

56%

32%

8%

4%

2008 0% 10% 20%

54% 30% 40% 50% 60%

36% 70% 80% 90%

9% 1% 100%

Augmente trs fortement ou fortement

Augmente faiblement

N'augmente pas

Ne sait pas

Figure 80 Perception des facteurs aggravant les risques

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

87/102

Les internautes Nous constatons une augmentation assez faible de la prise de conscience du danger de divulguer ses coordonnes sur Internet (75% en moyenne en 2008 81% en 2010). Ceci malgr larrive des sites de rseaux sociaux et les incitations aux changes de ce type de donnes quils gnrent.

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

88/102

Les internautes

Partie III Les usages de linternaute


Bien qutabli de manire quasi permanente, laccs Internet nest pas la seule activit recherche par les internautes, avec une bonne stabilit par rapport lenqute de 2008 : 96% stockent et manipulent des photos ou des vidos, 90% traitent des documents personnels (courriers, comptabilit, etc.), seuls 42% traitent des documents professionnels (ce chiffre est en baisse par rapport aux 49% de lenqute 2008).

En ce qui concerne le paiement dachats en ligne, les blocages semblent fortement diminuer, ainsi 90% des internautes dclarent accepter de le faire (sous conditions pour 68% et mme sans condition pour 22% dentre eux). Parmi les conditions qui facilitent cette acceptation conditionnelle, il apparat que le chiffrement de la liaison vers le vendeur (https) est de loin un lment facilitateur (99% y font confiance), ensuite lon trouve la notorit de lenseigne accde (72% de confiance) ou lutilisation dune e-card (68%).

Travail la maison ?
Lenqute confirme bien que lordinateur familial est utilis uniquement pour un usage priv par 70% des personnes, 23% faisant un usage mixte et 2% un usage strictement professionnel. Les jeunes (15-24 ans) tant deux fois plus nombreux (46%) dclarer panacher un usage priv et professionnel . Utilisez-vous votre ordinateur familial pour un usage personnel et/ou professionnel ?

15-24 ans

53% 1%

46%

25-34 ans

74% 1%

25%

35-49 ans

67% 2%

31%

50 ans et +

88% 2%

10%

Total 0% 10% 20% 30%

70% 2% 40% 50% 60% 70% 80%

28% 90% 100%

Usage uniquement personnel ou familial

Usage strictement professionnel

Usage mixte

Figure 81 Types dusage de lordinateur familial

Les Internautes voluent peu dans leur comportement vis--vis de la connexion distance au rseau de leur entreprise. Utiliser lordinateur familial pour raliser des travaux professionnels apparat comme une solution de secours.

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

89/102

Les internautes

A quelle frquence utilisez-vous Internet pour vos connecter distance au rseau de votre entreprise

2010

11%

16%

64%

9%

2008

10%

10%

52%

28%

0%

10%

20%

30%

40%

50% Parfois

60% Jamais

70%

80%

90%

100%

Trs souvent ou souvent

Non concern

Figure 82 Connexion distance aux rseaux dentreprises

Internet pour quoi faire ?


Le recours Internet permet principalement aux internautes de surfer et denvoyer des mails. Les jeunes gnrations font un usage trs frquent des messageries instantanes. Lutilisation de la VoIP et de la visioconfrence restent rare (16% des internautes lutilisent rgulirement). Le jeu multi-joueurs en ligne na pas vraiment trouv son public (14% des internautes jouent rgulirement). Les dmarches administratives (46%) et bancaires (52%) commencent entrer dans les murs du fait de leur ct pratique et du gain de temps que cela permet. Les internautes sont principalement des consommateurs dinformation et nen injectent que peu dans les rseaux. Les rseaux sociaux, par leur ct virtuel, ont vraiment trouv un public (39%), mais les sites de rencontre sont peu frquents (4% des internautes lavouent). Une augmentation certaine du tlchargement (musique, film, logiciel) semble apparatre, dautant que les chiffres ne refltent pas forcement la ralit du fait de la sensibilit des questions (tlchargement lgaux/illgaux). A quelle frquence utilisez-vous Internet pour tlcharger des films ou des vidos ?

2010

15%

28%

56%

1%

2008

33%

67%

0%

10%

20%

30%

40%

50% Parfois

60% Jamais

70%

80%

90%

100%

Trs souvent ou souvent

Ne sait pas

Figure 83 Tlchargements de films et vidos

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

90/102

Les internautes

Quelles donnes ?
Les internautes stockent sur leurs machines tout type de donnes personnelles (courriers, comptabilit, images, vido, musique, etc.). La moiti des personnes interroges dclarent ne pas conserver de donnes professionnelles sur leur ordinateur personnel, aprs traitement. Cela tendrait prouver quils ont conscience des risques de responsabilit lis la dtention de donnes caractre professionnel dans la sphre prive. Utilisez-vous votre ordinateur familial pour stocker et manipuler des documents professionnels ou de travail ?

2010

Oui; 42%

Non; 58%

2008

49% 0% 10% 20% 30% 40% Oui 50% Non 60%

34% 70% 80% 90%

17%

100%

Non concern

Figure 84 Usage de lordinateur familial pour stocker ou manipuler des documents de travail

On pourrait aussi en conclure que lusage de lordinateur personnel pour des actions professionnelles nest quoccasionnel.

Qui fait quoi ?


Mme si les catgories socioprofessionnelles suprieures et les inactifs ont recours lordinateur dune faon plus systmatique, on notera cependant que les carts entre les diffrentes populations ne sont plus significatifs. Communiquez-vous via des rseaux sociaux comme Facebook, MySpace, etc. ?

Villes de moins de 10,000 hab Villes entre 10,000 et 50,000 hab Villes de plus de 50,000 hab 0%

31%

24%

45%

32%

25%

43%

43% 10% 20% 30% 40%

23% 50% 60% 70%

34% 80% 90% 100%

Souvent ou trs souvent

Parfois

Jamais

Figure 85 Usage des rseaux sociaux

Lutilisation des outils technologiques crot en fonction de limportance de population, ce qui sexplique par le fait que les zones forte concentration dhabitants bnficient historiquement dune meilleure infrastructure de communication. Cependant, les zones rurales semblent rattraper les autres environnements, ce qui laisse supposer que le retard se comble. Menaces informatiques et pratiques de scurit en France CLUSIF 2010 91/102

Les internautes

De manire logique, ce sont les catgories socioprofessionnelles les plus leves qui manipulent le plus souvent des donnes professionnelles dans leur sphre prive, avec les outils informatiques domestiques.

Paiement en ligne : oui mais


Les internautes nont pas encore une parfaite confiance dans les solutions de paiement en ligne et demandent des garanties. Ils sont encore rticents acheter et vendre sur Internet. Dans le cas du paiement en ligne, ce nest pas le montant, ni la rputation du site qui motive ou non un achat, mais les internautes rclament de plus en plus un environnement scurisant adapt (chiffrement, paiement scuris, certificats, etc.). On notera cependant que mme sil y a toujours des rticences aux transactions en ligne, lacceptation sest considrablement amliore depuis lenqute de 2008 et que les internautes ont de plus en plus dexigences de scurit. Parmi les conditions suivantes, lesquelles exigez-vous pour accepter de payer en ligne ?

Si le site est clairement scuris : chiffrement des donnes Si le site est rput, appartient une marque ou une enseigne connues Si le site propose des moyens de paiement scuriss, spcifiques internet : e-carte

29%

2010

95%

20%

71%

19% 39%

68%

Si le montant rgler n'est pas trs important

12%

Si le site a une adresse en France

9% 17% 5%

35%

Si le site a t recommand par un proche

Si le site est agr par des organismes indpendants Si le site est recommand par un comparateur de prix sur internet

17% 4% 6% 2%
0% 10% 20% 30% 40% 50% 60%

2008

2010

70%

80%

90% 100%

Figure 86 Critres de confiance dans la scurit pour les paiements en ligne

Donnes personnelles
Daprs lenqute, les internautes semblent confier assez facilement les donnes personnelles les concernant aux formulaires de demande de renseignement des sites visits. Ils ne peroivent peut-tre pas clairement les dangers qui consistent alimenter des fichiers de donnes personnelles et font confiance, tant que leurs valeurs financires ne sont pas sollicites.

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

92/102

Les internautes

Remplissez-vous facilement un formulaire sur Internet contenant des informations personnelles ?

15-24 ans

10%

76%

14%

25-34 ans

6%

74%

20%

35-49 ans

5%

68%

27%

50 ans et +

5%

70%

25%

Ensemble

6% 0% 10% 20% 30%

72% 40% 50% 60% 70% 80%

22% 90% 100%

Oui, sans condition

Oui, seulement si jai confiance dans le site

Non, rarement ou jamais

Figure 87 Critres de scurit pour les paiements en ligne

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

93/102

Les internautes

Partie IV Moyens et comportements de scurit


Protections
Du fait de leur implantation dans les foyers, les ordinateurs sont peu protgs par des mots de passe ou des contrles biomtriques. En revanche, les mises jour de scurit semblent tre dployes rgulirement par plus de la moiti des internautes, quil sagisse de dploiement automatique ou manuel. Les mesures de protection professionnelles sont trs peu utilises sur lordinateur familial : 80% nutilisent pas de chiffrement, 88% nont pas dantivol physique et 65% nont pas de protection de leur alimentation lectrique. Les utilisateurs ont plutt un sentiment de scurit dans leur usage de linformatique domestique.

Mise jour
Nous constatons une baisse de la mise jour automatise des systmes ou logiciels. Est-ce d une volont de mieux contrler ou un rel problme de comportement ? Dans tous les cas, la perception du risque est trs importante (64%). La frquence de mise jour manuelle reste insuffisante pour un quart des sonds (25% moins souvent qu'une fois par mois). Votre ordinateur est-il rgulirement mis jour automatiquement (OS, antivirus, etc.) ?

50 ans et +

97%

2% 1%

35-49 ans

93%

2%

2%

3%

25-34 ans

92%

2%

3%

3%

15-24 ans 75% 80% Automatiquement

94%

2%

2%

2%

85% Chaque semaine

90% Chaque mois

95% Moins souvent

100%

Figure 88 Politique de mise jour

Dispositif de contrle parental


Les dispositifs de contrle parental concernent sans surprise les internautes de 35 49 ans (40%), mais on note une baisse globale (de 40% 36%) de leur utilisation.

Protection lectrique
Les dispositifs de protection lectrique sont lgrement plus utiliss (24% en 2008 27% en 2010). Ces dispositifs concernent plutt les internautes gs (35% des +50 ans) et moins les jeunes internautes (14% de 15-24). On note une disparit par tranche dge (35% des +50 ans, 14% de 15-24) et par rgion.

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

94/102

Les internautes Utilisez-vous une protection par onduleur ?

Villes de moins de 10,000 hab Villes entre 10,000 et 100,000 hab Villes de plus de 100,000 hab 0%

38%

62%

32%

68%

23%

77%

10%

20%

30%

40%

50% Oui

60% Non

70%

80%

90% 100%

Figure 89 Protection par onduleur

Biomtrie
Lusage de la biomtrie est en augmentation (de 4% en 2008 11% en 2010). Cette volution pourrait tre due l'quipement par dfaut des PC portables. Les internautes ayant une perception globale des risques encourus sont plutt plus quips (18%), alors que les internautes gs le sont moins (8%).

Chiffrement
Les outils de chiffrement sont toujours aussi peu utiliss (8%).

Mot de passe
On note une diminution importante de lusage des mots de passe douverture de session. Cette volution est probablement lie laugmentation du nombre dordinateur par foyer (ceux ci tant moins partags entre plusieurs personnes). Utilisez-vous un mot de passe d'ouverture de session au dmarrage de l'ordinateur ?

2010

5%

90%

5%

2008

47%

51%

2%

0%

10%

20%

30%

40% Oui

50% Non

60% Ne sait pas

70%

80%

90%

100%

Figure 90 Usage des mots de passe douverture de session

Toutefois, ce point peut paratre inquitant dans la mesure o lordinateur personnel est de plus en plus portable et utilis en dehors du domicile.

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

95/102

Les internautes

Anti-virus
Une lgre baisse (95% en 2008 91% en 2010) de lusage des anti-virus est constate. Linstallation danti-virus par dfaut est peut-tre une explication de ce fort taux dusage.

Firewall, anti spam et anti spyware


Ces outils subissent une baisse identique au rsultat de la question portant sur lanti-virus. On observe une nette hirarchie dans lusage de ces outils. Utilisez-vous les moyens de protection suivants pour garantir la scurit de votre ordinateur familial ?

Antivirus

91%

7% 2%

Firewall

86%

9%

6%

Antispam

80%

13%

6%

Antispyware 0% 10% 20%

65% 30% 40% Oui 50% Non 60% Ne sait pas

20% 70% 80%

15% 90% 100%

Figure 91 Usage protections poste de travail

Sauvegarde
La sauvegarde est une pratique en forte augmentation. Sauvegarder-vous rgulirement le contenu de votre ordinateur ?

15-24 ans 25-34 ans 35-49 ans 50 ans et + Ensemble 0% 10% 20%

64% 78% 80% 78% 75% 30% 40% Oui 50% Non 60% Ne sait pas 70%

30% 19% 16% 17% 20% 80% 90%

6% 3% 4% 5% 5% 100%

Figure 92 Politique de sauvegarde

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

96/102

Les internautes La sensibilisation des utilisateurs, loffre de logiciel de sauvegarde, la baisse des cots des supports de sauvegarde sont des explications cette augmentation.

Wifi
La scurit du wifi ne montre pas de changement depuis 2008. On note une diffrence notable entre les +50 ans (66%) et les 25-34 (86%).

Sentiment scurit
Le sentiment de scurit est en lgre baisse, sans volution majeure ; cette volution est cohrente avec lvolution de la perception des risques et des menaces par les internautes. La grande majorit (91%) se sent plutt ou totalement en scurit. Finalement, quand vous utilisez votre ordinateur familial et Internet, vous sentez-vous ?

2010

9%

82%

6% 1%

1%

2008

12%

82%

5% 1%

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

Totalement en scurit Pas en scurit du tout

Plutt en scurit Ne sait pas

Plutt pas en scurit

Figure 93 Sentiment de scurit

Le sentiment de scurit est accru chez les jeunes : ils sont 17% se sentir totalement en scurit contre une moyenne de 9% sur le reste de la population. On pourra expliquer ce chiffre par un sentiment de meilleure matrise de loutil et une conscience plus faible des risques.

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

97/102

Annexe

Glossaire

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

99/102

Glossaire2
Terme AFAI ANSSI ARCEP ASIP CIGREF CLUSIF CNIL CPS Dfinition Association Franaise de lAudit et du Conseil Informatiques. http://www.afai.asso.fr/. Agence nationale de la scurit des systmes dinformation. http://www.ssi.gouv.fr/index.html. Autorit de Rgulation des Communications lectroniques et des Postes. http://www.arcep.fr/. Agence des Systmes dInformation Partags de sant. http://www.asipsante.fr/. Club Informatique des GRandes Entreprises Franaises. http://www.cigref.fr/. CLub de la Scurit de lInformation Franais. http://www.clusif.asso.fr/. Commission nationale de l'informatique et des liberts. http://www.cnil.fr/. Carte Professionnel de Sant Catgorie socioprofessionnelle. Caractrisation de la population active franaise en classes et professions, tablie par lINSEE. http://www.insee.fr/fr/nom_def_met/nomenclatures/prof_cat_soc/pages/pcs.htm. Direction de lhospitalisation et de lorganisation des soins. http://www.travail-solidarite.gouv.fr/le-ministere,149/presentation-etorganigramme,294/le-ministre-du-travail-de-la,747/direction-de-l-hospitalisationet,5620.html. Dossier Mdical Personnel Directeur des Systmes dInformation. Expression des Besoins et Identification des Objectifs de Scurit, dveloppe par lANSSI. http://www.ssi.gouv.fr/site_article45.html. Groupement dIntrt Public - Carte de Professionnel de Sant. http://www.gip-cps.fr/. Norme internationale constituant un guide de bonnes pratiques en matire de scurit de linformation (anciennement ISO 17799). Mthode danalyse des risques, dveloppe par le CLUSIF. http://www.clusif.asso.fr/fr/production/mehari/. Picture Archiving and Communication Systems ou Systme d'archivage lectronique d'archives radiologiques.

CSP

DHOS

DMP DSI EBIOS GIP-CPS ISO 27002 MEHARI PACS

En complment de ces quelques dfinitions, le lecteur est invit se rfrer au Glossaire des menaces , en ligne sur le site du CLUSIF sur http://www.clusif.asso.fr/fr/production/glossaire/. Menaces informatiques et pratiques de scurit en France CLUSIF 2010 100/102

Terme

Dfinition Plan de Continuit dActivit. On parle parfois de PSI, Plan de Secours Informatique. Outre que cette appellation ne prend pas en compte les mtiers de lentreprise, nous nutilisons pas cet acronyme pour viter toute confusion avec la Politique de Scurit de lInformation. Les anglosaxons utilisent lacronyme BCP pour Business Continuity Plan. Plan de Reprise dActivit. Politique de Scurit de lInformation. Ensemble des critres permettant de fournir des services de scurit (ISO 7498-2) Guide d'laboration de politiques de scurit des systmes d'information de la DCSSI. http://www.ssi.gouv.fr/site_article46.html. Responsable Scurit des Systmes dInformation. Security Information Management. Outil de collecte, de reporting et danalyse des diffrentes sources dinformation lie aux vnements de scurit du Systme dInformation. Systme de Management de la Scurit de lInformation. En anglais, ISMS (Information Security Management System). Scurit des Systmes dInformation. Single SignOn. Systme permettant un utilisateur du Systme dInformation de ne sauthentifier quune seule et unique fois pour accder diffrentes applications. Tlphonie sur IP. Voix sur IP (acronyme de Voice over Internet Protocol).

PCA

PRA PSI PSSI RSSI SIM

SMSI SSI SSO ToIP VoIP

Menaces informatiques et pratiques de scurit en France

CLUSIF 2010

101/102

LESPRIT DE LCHANGE

CLUB DE LA SCURIT DE L'INFORMATION FRANAIS


11, rue de Mogador 75009 Paris : 01 53 25 08 80 clusif@clusif.asso.fr

Tlchargez les productions du CLUSIF sur

www.clusif.asso.fr