Les entreprises françaises ne sont pas assez conscientes des risques liés aux menaces informatiques, selon une enquête présentée jeudi par des experts français en cybercriminalité qui ont fait état d'«un inquiétant sentiment de stagnation» dans les pratiques de sécurité.
Le Club de la sécurité de l'information français (Clusif), qui regroupe 600 membres, a tiré la sonnette d'alarme, pointant l'absence de progrès notable depuis 2006, date du dernier bilan.
L'informatique est perçue comme «stratégique» par une très large majorité des entreprises, mais «nous n'observons pas d'évolution des pratiques», note Laurent Bellefin, responsable de l'étude.
Ainsi, sur les quelque 400 entreprises interrogées, plus d'un tiers ne mènent jamais d'audit de sécurité et 60% n'assurent pas de suivi des incidents.
De même, 40% d'entre elles n'ont toujours pas mis en place un plan de continuité d'activité en cas de sinistre, contre 42% il y a deux ans. Autrement dit, elles «s'exposent à des risques extrêmement forts», met en garde M. Bellefin. «C'est le jour où il y a une crise majeure qu'on se rend compte qu'il aurait fallu faire quelque chose», dit-il.
Autre point noir, les chartes de sécurité sont loin d'être généralisées : la moitié des sociétés, contre 55% en 2006, dispose de ce document qui vise à sensibiliser les salariés aux bonnes pratiques de sécurité. Quant à la formation, elle est encore très peu répandue, seuls 19% du personnel en bénéficiant «de manière récurrente».
Au niveau des outils de protection, les nouvelles technologies de sécurité peinent à s'imposer, souligne également l'enquête. Les entreprises se contentent souvent des classiques anti-virus, pare-feu et anti-spams et les systèmes de contrôle d'accès demeurent marginaux.
La biométrie, qui permet l'identification d'une personne sur la base de caractères physiologiques (visage, iris de l'oeil, empreintes digitales...), fait toutefois une «légère percée» : 4% des entreprises ont commencé à l'utiliser largement au cours des deux dernières années.
Après l'affaire Kerviel, la Société générale, qui a «apparemment connu une déficience sur la gestion des mots de passe et des droits d'accès», a notamment indiqué vouloir renforcer la sécurité informatique avec l'utilisation de la biométrie, souligne M. Bellefin.
Il semblerait toutefois que les banque et les assurance prennent conscience de la nécessité d'investir dans ce domaine : si les budgets sécurité sont majoritairement constants depuis 2006, ils ont augmenté dans ces secteurs, parfois de manière très importante.
Par ailleurs, les entreprises vont devoir faire face à un nouveau défi alors que les frontières entre vie professionnelle et vie privée deviennent plus floues, observe le Clusif qui a également mené l'enquête auprès de 1139 internautes.
Un tiers d'entre eux utilisent en effet l'ordinateur familial pour travailler, un constat qui pose quelques questions sur la protection des données de l'entreprise.
De manière globale, 94% des particuliers se sentent en sécurité lorsqu'ils surfent sur la Toile : pour M. Bellefin, «c'est un faux sentiment de sécurité» car dans le même temps, la menace ne faiblit pas et les incidents (infections par virus, attaques ciblées, divulgations d'information...) sont bien réels.