Sécurité informatique dans les entreprises européennes

Restez toujours informé : suivez-nous sur Google (☆)

En 2009, 12% des entreprises (1) de l'UE27 ont été confrontées à des problèmes de sécurité informatique (2) dus à des pannes de matériel informatique ou de logiciel. Des incidents entraînant la destruction ou l'altération de données suite à une infection par un logiciel malveillant ou à un accès non autorisé ont été rapportés par 5% des entreprises. En janvier 2010, la moitié des entreprises de l'UE27 ont utilisé un mot de passe robuste (3) ou un hardware token (3) pour l'authentification et l'identification de l'utilisateur.

Ces données proviennent d'Eurostat, l’office statistique de l'Union européenne, et font partie des résultats d'une enquête réalisée début 2010 sur l'utilisation des TIC (Technologies de l'Information et de la Communication) et le commerce électronique dans les entreprises des États membres de l'UE27, ainsi qu'en Islande, en Norvège et en Croatie. Cette enquête met en particulier l'accent sur la sécurité des TIC.

Deux-tiers des grandes entreprises utilisent des connexions mobiles à large bande

Dans l'UE27, 94% des entreprises avaient accès à internet en janvier 2010. Tandis qu'une large majorité d'entreprises (85%) disposaient d'une connexion fixe à large bande5, 27% de toutes les entreprises utilisaient déjà des connexions mobiles à large bande5. Parmi les grandes entreprises (1) dans l'UE27, 67% disposaient d'une connexion mobile à large bande, contre 43% pour les moyennes entreprises et 22% pour les petites entreprises.

Tandis que les niveaux d'accès à internet et de connexion internet fixe à large bande étaient élevés dans la plupart des États membres de l'UE27 en janvier 2010, le pourcentage d'entreprises ayant des connexions mobiles à large bande variait toutefois de façon plus importante, allant de 6% en Grèce, 8% en Roumanie et 9% en Bulgarie ainsi qu'en Estonie à 68% en Finlande, 55% en Suède, 46% en Autriche et 43% au Danemark. Plus de 90% des grandes entreprises disposaient d'une connexion mobile à large bande en Finlande (95%), en Autriche et en Suède (91% chacun).

Les problèmes de sécurité affectant le système informatique des entreprises dans les 27 États membres

En 2009, le type d'incident le plus fréquemment rapporté par les entreprises dans les États membres de l'UE27 a été celui entraînant l'indisponibilité des services informatiques, la destruction ou l'altération de données suite à des pannes de matériel informatique ou de logiciel. Les plus fortes proportions d'entreprises affectées ont été enregistrées à Chypre, au Portugal et en Finlande (26% des entreprises chacun), au Danemark (24%), en Grèce (23%), en République tchèque (22%) et en Slovaquie (20%).

Les plus fortes proportions d'entreprises, ayant rapporté des incidents entraînant la destruction ou l'altération de données dues à une infection par un logiciel malveillant ou à un accès non autorisé, ont été observées en 2009 en Slovaquie (16%), au Portugal (14%), en Espagne (11%) et en Grèce (10%).

Les proportions d'entreprises ayant déclaré une indisponibilité des services informatiques due à une attaque extérieure ont été les plus élevées en Slovaquie (11%) et aux Pays-Bas (7%). Dans la majorité des États membres de l'UE27, la divulgation de données confidentielles par intrusion, ou par des techniques de piratage appelées "pharming" ou "phishing" a été rapportée par 1% ou moins des entreprises en 2009.

Environ deux-tiers des entreprises en Italie, en Irlande et en Slovénie utilisent des mots de passe robustes ou des hardware tokens pour l'authentification des utilisateurs

Alors que plus de 60% des entreprises en Italie (66%), en Irlande et en Slovénie (64% chacun), en Espagne (63%) et au Luxembourg (62%) ont utilisé un mot de passe robuste et/ou un hardware token comme mesure de sécurité pour authentifier les utilisateurs en janvier 2010, ces procédures ont été utilisées par moins de 30% des entreprises en Slovaquie (20%), en Hongrie (24%) et en Roumanie (29%).

Notes:
(1) L’enquête couvrait les entreprises comptant au moins 10 salariés dans les secteurs de l'industrie, de l'électricité, du gaz et de la vapeur, de l'approvisionnement en eau, de la construction, du commerce de gros et de détail, de la réparation de véhicules automobiles et de motocycles, du transport et du stockage, des activités d'hébergement et de services alimentaires, de l'information et de la communication, de l'immobilier, des activités professionnelles, scientifiques et techniques, des activités administratives et de support, de réparation d'ordinateurs et d'équipement de communication. Classement par taille: petites entreprises (de 10 à 49 salariés), moyennes entreprises (de 50 à 249 salariés) et grandes entreprises (250 salariés et plus).

(2) Les incidents liés à la sécurité des TIC affectent le système informatique d'une entreprise et peuvent provoquer différents problèmes. L'enquête couvrait les incidents de sécurité suivants:

a) L'indisponibilité des services informatiques, la destruction ou l'altération de données due à une panne de matériel informatique ou de logiciel se réfère aux problèmes d'intégrité des données provoqués par des défaillances de matériel informatique ou de logiciel, par exemple des pannes de serveurs ou de disques durs dues à des défaillances du matériel informatique ou des pannes de serveurs causées par des défaillances de logiciel, par exemple lors de mises à jour erronées.

b) L'indisponibilité des services informatiques due à une attaque extérieure fait référence à des tentatives extérieures de rendre indisponible un système informatique pour ses utilisateurs. L'un des objectifs de ces attaques est d'empêcher un site internet ou un service de fonctionner efficacement, par exemple, les sites web des banques, les systèmes de paiement par carte de crédit.

c) La destruction ou l'altération de données due à l'attaque d'un programme malveillant ou à un accès non autorisé.

d) La divulgation de données confidentielle due à une attaque par intrusion, pharming ou phishing, fait référence à une tentative d'obtenir des informations confidentielles sur des personnes, du personnel ou des clients, la propriété intellectuelle ou toute autre information confidentielle. L'intrusion est une tentative de détourner les contrôles de sécurité d'un système informatique au moyen de virus, de vers, de chevaux de Troie etc. Le "phishing" est une tentative criminelle frauduleuse pour obtenir des informations sensibles telles que noms d'utilisateurs, mots de passe, détails de cartes de paiement, en se faisant passer pour une entité digne de confiance dans une communication électronique. Le "pharming" est une attaque qui redirige le trafic d'un site à un faux site web en vue d'obtenir des informations sensibles.

(1) L'identification de l'utilisateur se réfère à la capacité d'identifier et de distinguer les utilisateurs individuels. L'authentification permet de garantir l'identité d'un utilisateur donné. L'authentification et l'identification des utilisateurs sont utilisées dans le cadre de l'autorisation pour définir les droits d'accès et d'utilisation liés à des informations ou services spécifiques. Un mot de passe robuste doit comporter au minimum 8 caractères. Les caractères doivent être une combinaison de majuscules, minuscules alphanumériques et de caractères spéciaux. Un hardware token est un dispositif qui permet à son détenteur d'accéder à un ordinateur ou a un réseau.

(2) Eurostat, Données en bref, 49/2010 "ICT usage in entreprises 2010". La publication peut être téléchargée gratuitement en format pdf sur le site web d’Eurostat. Disponible seulement en anglais. Toutes les données sont disponibles dans la section dédiée: http://ec.europa.eu/eurostat/ict sous «Données», «Base de données exhaustive». Veuillez noter que sur le site web d'Eurostat, les données sur les TIC sont regroupées suivant l'année de réalisation de l'enquête.

(3) La connexion fixe à large bande se réfère à des connexions internet fixes disposant d'une large bande de fréquences pour l'envoi de données, par exemple, une ligne DSL. La connexion mobile à large bande se réfère à une connexion internet accessible au moyen de réseaux rapides à haute capacité de téléphonie mobile, par exemple via un ordinateur portable utilisant un modem 3G ou un terminal mobile 3G.

Pour plus d'information notamment les statistiques par pays voir: http://europa.eu/rapid/pressReleasesAct ... anguage=fr

avatar
StarDreamer

C'est pas nouveau... le maillon faible de la sécurité (informatique ou pas), c'est l'humain par lequel transitent les données.
S'il possède des accréditations mais qu'il les protège mal, surtout dans un monde où tout est en réseau - en toutes strates, le risque d'insécurité reste présent.

Les problèmes pour augmenter la sécurité résident dans les coûts liés aux moyens, mais aussi dans la facilité d'utilisation de ces moyens par l'humain derrière le clavier.

C'est facile de demander un mot de passe robuste avec 48 caractères non alphanumériques ( :rD ), mais moins évident à assumer au quotidien, surtout lorsque le mot de passe est demandé à chaque sortie de fond d'écran..... le prénom du petit dernier ou sa date de naissance se retrouve donc dans 90% des cas.
Des solutions simples et secure existent, et le token en est le meilleur exemple. Mais cela a un coût (matériel, maintenance, gestion des utilisateurs). Comme toutes les autres solutions (le mot de passe étant "gratuit", de plus intégré dans toutes les solutions logicielles).
Mais les entreprises doivent se poser la question du coût qu'elles sont prêtes à mettre dans le pot pour protéger leurs données (quelle coût en cas de perte de données ? combien peuvent se négocier leurs données ailleurs ?).

Il y a toute une culture de la sécurité informatique à faire, et surtout une véritable méconnaissance des risques.