L’étude « Menaces informatiques et pratiques de sécurité en France » (MIPS) est conduite par le Clusif depuis 2008. Sa représentativité, sa régularité, la rigueur de sa méthode et les experts qui se consacrent à l’analyse de ses données offrent une vision précise des tendances et des mutations de la sécurité de l’information.
De cette étude, il ressort qu’en 2020, 52 % des collectivités ont clairement identifié et attribué la fonction de RSSI soit une hausse de 30 points en 12 ans (2008-2020). Leur temps se répartit en plusieurs aspects : techniques, opérationnels, fonctionnels, communicationnels dont la sensibilisation et juridiques.
Les principaux freins, identifiés par les professionnels ayant répondu au CLUSIF, à la conduite des missions de sécurité de l’information sont les suivants :
- Le manque de personnel qualifié (39 %)
- Les contraintes organisationnelles (32 %)
- Le manque de connaissances (30 %)
- Le manque de budget (28 %)
- La réticence des métiers ou des utilisateurs (25 %)
- La réticence de la direction générale des services ou des élus (12 %)
- La réticence de la DSI (2 %)
- Autres (10 %)
Multiplication des contrôles d’accès
« Nous relevons une tendance à citer de plus en plus de freins, avec en particulier une augmentation des réticences de la DGS ou des élus, des contraintes organisationnelles voire, dans une moindre mesure, du manque de personnel qualifié », soulignent les auteurs de cette étude.Concernant les contrôles d’accès, un peu plus de trois types sont utilisés en moyenne par les collectivités, soit une augmentation de 1,4 en 12 ans. Les solutions retenues se répartissent de la manière suivante :
- Authentification forte par certificat électronique sur support matériel (carte à puce ou clé à puce) : 52 % (+10 points)
- Authentification par certificat électronique logiciel (token, OTP sur clé ou
smartphone, etc.) : 49 % (+18 points) - Authentification forte par « calculette » à mot de passe non rejouable : 45 %
(+ 17 points) - Modèles d’habilitation sur base de profils / rôle métier : 43 % (+ 29 points)
- Biométrie : 9 % (stable)
Pour faire face à l’augmentation constante de la menace et des attaques, les collectivités ont mené une consolidation de leur sécurisation. On peut citer par exemple la systématisation des antivirus et des antispams, deux outils assurant « le minimum syndical » selon l'avis de nombreux experts. En 2020, la sécurité liée à l’exploitation était assurée via 6,5 types différents de protection.
Test par les métiers
Par contre, le CLUSIF a observé une faible capitalisation sur les incidents, ce qui entraîne une très faible formalisation de la gestion de crise cyber. La mise en œuvre de plans de conduite ou de reprise d’activité (PCA/PRA) ne concernait encore qu’un quart des collectivités.Toujours en 2020, seuls 33 % des collectivités possédant un PCA déclaraient le tester par leurs utilisateurs « métiers » au moins une fois par an, un chiffre malgré tout en une augmentation de 16 points en 8 ans (2012-2020).
Cette étude se termine en abordant la conformité. En 2020, 57 % des collectivités sont conformes au RGS, soit une hausse de 20 % en 12 ans (2008-2020). Un point positif…