Business

Les budgets sécurité des entreprises françaises continuent de stagner !

Lionel Mourer, Clusif, constate à nouveau la stagnation des budgets des RSSI (photo Precepta).

Les attaques se renouvellent, mobilité collaboratif et cloud ouvrent des failles, mais, selon le Clusif, les budgets des RSSI restent les mêmes.

PublicitéIncompréhensible. Les attaques se renouvellent sans cesse, leur nombre augmente, leur origine se complique, les nouveaux développements des entreprises : mobilité, collaboratif, cloud, ouvrent de nouvelles possibilités de brèches dans les systèmes d'information, mais les budgets de sécurité informatique n'augmentent pas. C'est le constat établi par le Clusif dans son rapport bisannuel publié aujourd'hui (*). Fait aggravant, pour les deux éditions précédentes (2014 et 2012), le constat était le même !

Ces budgets augmentent dans un seul secteur, transports et télécoms, de 10%, probablement du fait de la présence des OIV, les opérateurs d'importance vitale obligés d'investir dans la sécurité. Le secteur banques assurances reste également un gros consommateur, en grande partie en raison d'obligations légales fortes et renouvelées. A l'intérieur de ces budgets, deux postes sont en légère hausse, celui de la « mise en place d'éléments organisationnels » et celui de la « formation / sensibilisation ».

La direction générale est loin d'être un appui

Logiquement, les RSSI interrogés invoquent deux freins dans l'évolution de la sécurité informatique : le manque de budget, 42% des réponses (34% il y a deux ans en arrière) et les contraintes organisationnelles, 37% de réponses (22% dans l'étude 2014). La direction générale est loin d'être un appui, ses réticences sont soulignées par 24% des RSSI, contre 19% en 2014. Toutefois, quand la PSI, Politique de sécurité de l'information, est formalisée et actualisée chaque année, la direction générale la soutient, dans 90% des cas. De même, cette DG et la DSI s'impliquent beaucoup plus fortement qu'il y a deux ans dans les PME, pour deux raisons : dans cette catégorie d'entreprises, la direction est plus proche des services et les grands groupes donneurs d'ordre font pression pour optimiser la sécurité.

Autre petite éclaircie, la profession de RSSI progresse, 67% des entreprises ont identifié cette fonction, contre 62% il y a deux ans, et 49% en 2010. 52% sont à plein temps, 47% en temps partagé. Dans 46% des cas, il ou elle est seul ou en binôme, 8% des entreprises interrogées disposent de plus de 5 personnes pour leur sécurité informatique. Dans 42% des cas, il est rattaché à la DSI, dans 30% à la DG, à la DAF dans 7%. « Le nombre de RSSI augmente, mais les choses ne bougent pas, en fait le RSSI n'est guère entendu » souligne Lionel Mourer, du cabinet Atexio qui présente l'étude au nom du Clusif dont il anime le groupe de travail MIPS.

Des ingénieurs informatiques devenus RSSI

La sécurité reste avant tout une affaire de choix techniques. Les titulaires sont des ingénieurs informatiques devenus RSSI qui gardent l'habitude d'effectuer essentiellement des choix techniques, dans l'orbite de leur DSI. A 29%, leur activité est dédiée aux aspects techniques (définition des architectures, suivi des projets...), à 24% elle se porte sur les aspects opérationnels (gestion des droits d'accès, administration...), 24% également pour les aspects fonctionnels (politique de sécurité, analyse de risques..).

PublicitéDans sa fonction de base, la classification de l'information, le responsable de la sécurité semble un plus avancé. 30% des personnes interrogées procèdent à l'inventaire des informations, contre 25% en 2012. L'analyse de risque est le fait de 47% d'entre eux contre 51% il y a deux ans. Une progression fragile. Une entreprise sur deux ne procède pas à cette analyse de risque et seulement 15% la réalisent en totalité.

(*) Rapport établi après une étude du cabinet GMV conseil portant sur 334 entreprises de plus de 200 salariés. Les entretiens ont duré en moyenne 27 minutes. L'étude comporte aussi un volet sur les collectivités locales et un autre sur les particuliers.