Le club des experts de la sécurité de l’information et du numérique (CESIN) a interrogé ses 700 membres RSSI de grands comptes publics et privés. Sur l’année écoulée, télétravail et crise sanitaire ont bousculé les projets.
« Les Instantanés » : ainsi se nomment les questions posées, semaine après semaine, aux RSSI membres du Cesin (club des experts de la sécurité de l’information et du numérique). Il en résulte une photographie, construite au fil de l’année, des problématiques de sécurité telles que vues par les RSSI de très grands comptes publics et privés. Le sujet qui a bien été mis en avant au fil de 2020 a, bien entendu, été la crise sanitaire. Celle-ci a entraîné une adoption massive du télétravail et du travail mobile, avec d’importantes conséquences en matière de sécurité. Les entreprises où le travail ubiquitaire était déjà bien implanté ont été les seules à ne pas juger l’impact de la crise significatif (21,7 % des répondants) sauf sur le plan des restrictions budgétaires sur la sécurité (6,7 %).
Le télétravail est souvent déclaré comme possible techniquement… jusqu’à ce qu’il faille basculer toute l’entreprise du jour au lendemain. Ainsi, 30 % des RSSI interrogés déclarent que leurs entreprises étaient déjà prêtes pour un télétravail généralisé, 41 % ayant dû passer à l’échelle une préparation effective pour quelques uns. Cette déclaration contraste avec d’autres chiffres qui incite au doute sur un tel niveau revendiqué de préparation : 25,7 % d’entreprises seulement possédaient un nombre suffisant d’ordinateurs portables ! 50,8 % en ont acquis de nouveaux, 38,7% ayant transporté des postes fixes à domicile, 34,6 % ont dû accepter en catastrophe le BYOD. L’impact sur la sécurité a tout de même été certain : 24 % ont dû consentir des réductions de niveau de sécurité, 5 % ayant dû accepter des écarts mais compensés par une plus grande surveillance.
Toujours prêt (ou presque)
La sécurisation des postes de travail ne concerne pas seulement les télétravailleurs mais aussi les prestataires devant se connecter au SI. 45,7 % des entreprises préfèrent fournir à ces intervenants des matériels de l’entreprise, d’autres utilisent diverses techniques : la délégation encadrée par des clauses contractuelles (9,7 %), authentification forte et bastion (21,7 %), filtrage des actions (17,1 %)… 2020 a vu aussi des affaires d’exposition de données chez des entreprises prestataires. Les dispositifs contractuels sont la réponse la plus fréquente (un tiers des cas), moins d’une entreprise sur dix se déclarant en mesure de maîtriser la question.
Mais on ne peut pas être toujours attentif à tout. Les RSSI doivent donc se concentrer sur ce que l’on appelle « les joyaux de la couronne ». Encore faut-il qu’ils soit identifiés, ce qui est le cas, en tout ou partie, dans les trois quarts des entreprises mais seulement dans un cinquième pour une identification complète et formelle. La classification des données est, dans le même ordre d’idées, mise en oeuvre dans la moitié des entreprises, un quart étant en cours de travail sur le sujet, 9 % seulement ayant mis en oeuvre une DLP. Concernant les nouveaux projets, 28 % seulement ont intégré la sécurité dès la conception (approche secure by design).
Le cloud n’est pas la fin des problèmes
La multiplication des SaaS implique une problématique d’identification et d’authentification qui ne peut pas être totalement déléguée à l’éditeur du SaaS. Le recours à l’authentification multifacteurs se généralise dans les trois quarts des entreprises. Celle-ci peut être associée ou non à un VPN rendu obligatoire voire utilisée seulement dans certaines circonstances (poste connecté de l’extérieur, hors VPN, etc.). Exemple typique du SaaS, la messagerie a basculé dans le cloud dans 68 % des cas et est en train de le faire dans 14 %.
Les ordinateurs portables sont, lors de leur transport, susceptibles d’être volés. La question est plutôt bien anticipée puisque 80 % des RSSI déclarent recourir au chiffrement du contenu, pour l’intégralité du parc (51 %) ou pour la plus grande part (29 %). Mais la multiplication des incidents et des menaces fini par user les RSSI soumis à un stress intense. 17,3 % déclarent en souffrir. Enfin, pour 2021, l’approche par la gestion des risques et la gestion des identités devraient être de grandes tendances.