Sûreté numérique : les 5 chiffres de l’étude « MIPS entreprises 2020 » du Clusif

Le jeudi 25 juin, le Club de sécurité de l’information français (Clusif) rendait compte de son étude MIPS (Menaces informatiques et pratiques de sécurité en France) 2020 partie
« entreprises ». Deux ans après sa précédente.
Cette enquête se base sur l’année 2019 et a été réalisée sur un panel de 350 entreprises, d’au moins 100 salariés, issues de 5 domaines : banques et assurances, services, commerces, industries et BTP, transports et télécommunications.

60… Il s’agit de la part des sondés assurant disposer d’un programme de sensibilisation à la sécurité de l’information. Ce chiffre est en hausse de 10 points. Lors de la précédente étude MIPS du Clusif (2018 sur l’année 2017), ce pourcentage était en effet de 50 %.

À noter au passage que 80 % des répondants confient que leur entreprise a formalisé une politique de sécurité de l’information. Ce taux grimpe à 100 % pour les entreprises de plus de 2 000 salariés… Contre 74 % pour les entreprises de 100 à 499 salariés.

Le budget « sécurité de l’information » trop fluctuant

56… C’est le taux des entreprises sondées voyant leur budget lié à la sécurité de l’information évoluer d’une année sur l’autre. Comme résumé par le Clusif dans son enquête, pour ces entreprises la sécurité reste une « variable d’ajustement budgétaire » et sont « entièrement remis en cause chaque année ». Autrement dit, ce budget est davantage ajusté en fonction de l’état de forme financière de l’entreprise en question plutôt que sur ses besoins en termes de sécurité numérique.

Seuls 8 % des sondés voient leur budget dédié à la sécurité de l’information « sanctuarisé », donc totalement intégré dans le budget de gestion des risques de l’entreprise.

La cyber-assurance non perçue comme une priorité

35… C’est la part que représentent, auprès des entreprises interrogées, les incidents de sécurité de l’information consécutifs à un malware ou une cyberattaque. Pour l’enquête 2018, ce taux était de 38 %.

Concernant ces incidents sur l’étude MIPS 2020, partie entreprise, 29 % (22 % en 2018) sont des pertes de services essentiels (coupure d’électricité, télécoms…). Le taux est identique s’agissant des pannes d’origine interne entraînant l’impossibilité du système (hardware, plantage système et/ou logiciel…).

À noter que malgré ces incidents, seules 55 % des entreprises touchées ont procédé à une évaluation de l’impact financier des incidents… Et 88 % d’entre elles n’ont pas souscrit à une cyber-assurance.

Reste cependant que souscrire à une cyber-assurance sans se prémunir en amont en investissant dans la gestion de ces risques en interne n’a intérêt très relatif comme le rappelle la tribune de Ivan Rogissart « Rançongiciels : avant de penser à la cyber-assurance, ne soyez pas le maillon faible ! », publiée sur le site de Face au Risque plus tôt durant ce mois de juin 2020.

Le RGPD largement respecté d’après l’étude MIPS 2020 du Clusif

73… Cela représente le taux des entreprises sondées s’estimant en conformité avec le Règlement général sur la protection des données (RGPD), entré en vigueur en 2018. 24 % s’estiment partiellement en conformité.

Cette enquête MIPS 2020 du Clusif – représentative de l’année 2019 – précise ainsi qu’un an après l’entrée en vigueur du RGPD, 97 % des sondés avaient déjà fait les efforts nécessaires pour répondre positivement à ce dispositif.

Sensibilité à la sécurité de l’information, la taille ça compte

30… Il s’agit du pourcentage des entreprises interrogées ayant mis en place un tableau de bord de sécurité des systèmes d’information (TDBSSI). Cette part était de 20 % en 2018.

Si cette dernière est en progression, une réelle disparité existe néanmoins en fonction de la taille de l’entreprise. 83 % des entreprises de plus de 2 000 salariés ont ainsi mis en place un TDBSSI… Contre seulement 22 % des entreprises de 100 à 249 salariés.

Globalement, plus les entreprises sont importantes (financièrement et en effectif), plus elles sont sensibles aux question de sécurité de l’information et mettent les moyens nécessaires pour se préserver de ces risques.

À noter enfin que 80 % des sondés ont réalisé au moins 1 audit ou contrôle de sécurité du système d’information en 2019. Soit une part en hausse de 4 points par rapport à l’enquête de 2018 (basée sur l’année 2017).

20 % des répondants, soit 1 entreprise sur 5, n’avaient toutefois effectué aucun audit en 2019. Une part non négligeable mais en baisse constante depuis l’étude de 2014, où elle représentait 26 % des entreprises sondées.

La mobilité de plus en plus prise en compte

Une dernière donnée en guise de conclusion : la mobilité est de plus en plus prise en compte par les entreprises.

Cette étude MIPS 2020 du Clusif montre ainsi que quasiment 3 entreprises sondées sur 5 (59 % précisément) avaient mis en place des outils de chiffrement sur PC portable en 2019. Ce taux n’était par exemple que de 19 % (1 entreprise sondée sur 5) en 2017.

L’instauration massive du télétravail durant la période de confinement de mars à mai 2020, liée à la pandémie de Covid-19, a de très fortes chances de renforcer encore davantage ce chiffre dans les mois et années à venir. Certaines entreprises majeures ont d’ailleurs d’ores et déjà annoncé que le télétravail serait désormais leur mode de fonctionnement par défaut… Obligeant de fait la mise en place d’une sécurité plus importante sur les équipements de travail à distance des salariés.