Enquête sur les menaces informatiques en France

Le club des spécialistes de la cybersécurité, le Clusif vient de publier son récent rapport intitulé « Enquête sur les menaces informatiques et les pratiques de sécurité ».

Pour cette édition 2020, l’étude a porté sur les menaces cyber rencontré au quotidien par les organisations Françaises, en particulier les collectivités et les pratiques de sécurité de ces dernières.

Cet article va aussi vous intéresser : Et si le problème avec la cybersécurité était son manque de femme ?

Si l’échantillonnage ne semble pas si expressif (202 cas étudiés), il n’en demeure pas moins qu’elle demeure une référence. En effet, il est particulièrement exhaustif, en ayant en inclusion, les 14 thèmes de la norme ISO 27002:2013, portant sur la sécurité des Systèmes et réseaux informatiques, comme les années antérieures.

Notons par ailleurs qu’une telle approche du Clusif n’est pas une première. En effet, Le Club des professionnels de la sécurité informatique étudie pour la troisième fois manière dont les Collectivités territoriale gère leurs cybersécurité au travers de leurs fonctionnements au quotidien.

Mais cette étude particulièrement, seulement 202 collectivités ont été approchées et cela, depuis le début d’année 2020. Les résultats qui ont été obtenus ont été adaptés pour refléter la réalité correspondante à la répartition des ses organisations. Dans cette analyse de données, plusieurs spécialistes, venant de tout part ont participé.

On peut retenir en sommes que la mise en forme des programmes de PSI est en nette progression, avec un appui concret de près de 70 % des directions générales. Il a aussi été remarqué que malgré cette avancée en a encore du mal à le distinguer des directions de systèmes d’information.

De plus, la fonction de responsable de sécurité du système d’information est devenue de plus en plus présente dans la majorité des collectivités territoriales, c’est qui est d’ailleurs un corollaire à la PSI. Cependant il ne faudrait pas occulter le fait que cela demeure assez difficile pour certaines organisations de le considérer comme étant un poste à plein-temps, ce qui malheureusement place souvent les RSSI, dans des positions assez confortables, n’ayant pas une véritable liberté de parole.

Quoiqu’il faut observer une certaine amélioration de la sécurisation des systèmes d’information, il faudrait aussi signifier, quelle ne se présente pas comme étant une priorité pour tout le monde. Pour cause, les moyens financiers et même humains font relativement défaut. Le budget généralement à louer à la sécurité informatique pose de sérieux problèmes de la pérennité et de l’adaptation. Mais sur ce point, il faudrait reconnaître une augmentation vis-à-vis des années précédentes.

En outre, Il faut mentionner que l’édition 2020 est l’une des premières des séries d’études réalisé par le club des professionnels sur la gestion de la cybersécurité des collectivités territoriales depuis l’entrée en vigueur du règlement général de la protection des données. Au vue de cet aspect, il a été observé les résultats suivants :

– 34 % des collectivités territoriales qui ont été interrogé estime être en contact conformité au RGPD, contre 59% qui assure l’être partiellement.

– 75 % de ces organisations estiment avoir désigner un DPO, ce qui est d’ailleurs obligatoire au regard de la norme européenne, 10 % déclare être en cours au niveau de cette désignation. Cependant on observe dans 51 % des cas, de rattachement direct à la direction générale, et une externalisation dans 19 pourcents des collectivités interrogées.

– Seulement 57 % des collectivités ont fait une identification totale ou partielle des services nécessitant une certaine homologation, ce qui décrit un respect mitigé, voir négligent du référentiel général de la sécurité.

– 87 % des organisations à l’issue de cette étude malheureusement indiquent ne pas effectuer du suivi par TBSSI, même si dans un certain sens, l’on peut observer une progression au niveau des audits, eu égard à la précédente étude. En effet,56 % de ces collectivités ont déclaré en faire au moins une fois chaque 2 ans.

– 51 % ont déclaré avoir évolué au niveau de leur organisation de sécurité informatique à cause des exigences de la réglementation.

En somme, la considération des enjeux de la sécurité informatique reste malheureusement très variable. Et cela par rapport à la taille des collectivités ainsi que des communautés de communes qui malheureusement ne suivent pas le même rythme. Mais on peut quand même reconnaître que l’arrivée de règlement européen de la protection des données a eu un effet de boost quant à l’amélioration des pratiques sécuritaires. Même s’il faut l’avouer le retard reste quand même important

« La menace qui pèse sur l’information est toujours lier en matière de sécurité de l’information dépend encore pour beaucoup soit des « attaques » que ces différents acteurs ont vécues au sein de leur SI, soit des lois et règlements qui leur incombent. En 2018, j’écrivais : « Le temps des politiques de sécurité “parapluie”, que l’on formalise pour se donner bonne conscience, est globalement terminé ! » Comme j’aurais aimé que cela soit entendu… Mais il n’est pas trop tard : Messieurs les Dirigeants, comprenez que la sécurité de l’information est aujourd’hui incontournable, il y va de la survie de vos organisations, au regard des enjeux qu’elles portent et des données dont elles ont la responsabilité… », concluait Lionel MOURER, Pour le Groupe de Travail du CLUSIF.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage