Securite Informatique

Menaces informatiques
et pratiques de scurit
en France

dition 2012

Les entreprises de plus de
200 salaris

Les collectivits territoriales

Les particuliers Internautes

Club de la Scurit de lInformation Franais

Menaces informatiques ! CL"SIF 2012 #$110
et pratiques de scurit en France
Remerciements

Le CL"SIF remercie les personnes qui ont constitu le Comit d%&perts a'ant particip ( cette tude)

NOM ENTIT
M) *"+,"S- +icolas C,+S%IL .%+%/0L 1% L,I/% 0-L0+-I2"%
Mme *"-%L 0nnie *+3 30/I*0S
M) C0L%FF ,livier 1%4,-%0M
M) C03/,+I +icolas C%IS
M) C5I,F0L, -6ierr' *,LL,/% L,.IS-ICS
M) C,+S-0+- 3aul CL"SIF
Mme C,"/-%C"ISS% 5l7ne LISIS C,+S%IL
Mme C,"-"/I%/ Marion S,L"C,M
Mme C,"8%9 Marie:0;n7s ,3%+
M) 1%30"L <onat6an IM3/IM%/I% +0-I,+0L%
M) F,"C0"L- <acques -I*C,
M) F/%=SSI+%- ric .%+10/M%/I% +0-I,+0L% $ S-/<1
M) .I,/I0 Sbastien F/ C,+S"L-0+-S
M) .,,+M%-%/ +uvin 0CC%+-"/%
M) ./M= <ean:Marc C0*%S-0+ C,+S"L-0+-S
M) ."/I+ ,livier CL"SIF
Mme ."I.+0/1 Martine IM3/IM%/I% +0-I,+0L%
M) 50M,+ *runo MI/C0
M) 5%++I0/- -6ierr' /.I,+ +,/1 30S 1% C0L0IS
M) 5"0 9e6:-' 0CC%+-"/%
M) L% C5%40LI%/ /m' LCS C,+S%IL
Mme L,"IS:SI1+%= *arbara C%IS
M) M0/I% Fabrice C,+S%IL .%+%/0L 1%S C,-%S 10/M,/
M) M%+%S-/%- *en>amin 0CC%+-"/%
M) MI+0SSI0+ 4a?ri@ 01%+I"M
M) M,"/%/ Lionel 3/,401=S
M) 30"L 1amien 0CC%+-"/%
M) 3%<S0C5,8IC9 La?aro C+0M-S
M) /04I+%- S'lvan .0M*01%
M) /,"L% <ean:Louis CL"SIF
Mme -/0+ Sop6ie 0CC%+-"/%
M) 40+1%3"--% 3ascal C,+S%IL /.I,+0L 1" C%+-/%
M) 40+5%SSC5% 3atric@ 0A=+%/.I%

Le CL"SIF remercie ;alement vivement les reprsentants des entreprises et collectivits territoriales
ainsi que les internautes qui ont bien voulu participer ( cette enquBte)

%nquBte statistique ralise pour le CL"SIF par le cabinet .M4 Conseil et 5arris Interactive)

C$110 ! CL"SIF 2012 Menaces informatiques
Avant-propos

Il me revient cette anneD pour la premi7re foisD l6onneur de prfacer cette dition 2012 de notre
rapport MI3SD acron'me qui commence ( Btre bien connu mais aussi tr7s attendu par les diffrents acteurs
de la scurit des S'st7mes dEInformation)
Cette attente nous a tou>ours surprisD autant notre re;rett 3ascal L,I+-I%/ que moi:mBme qui tait (
lpoque son vice:prsident) 3arce queD dans les faitsD cest peut:Btre le rapport le moins
F impressionnant G de lanne H le nombre didentits voles ' sera tou>ours infrieur ( la population
mondiale et les outils qui sont lar;ement dplo's seront ceu& qui ont t conus il ' a un certain temps
et atteint un certain point de maturit)
*ien sIrD un des rpondants ( lenquBte a pu ' rpondre ( la sortie dun de nos dlicieu& coc@tails et
indiquer quil a mis en place worldwide le Cyberfair7 V5D mais notre Comit dE%&perts laura surement
dtect et lEaura indiqu dans les commentaires qui accompa;nent les c6iffres Jnous ne modifions >amais
les c6iffres sortis de lenquBte KL)
1e plusD nos vieu& dmons comme la perte de services essentiels ou les erreurs de pro;rammation
occupent tou>ours une place privil;ie alors quils semblent Btre disparus de beaucoup dautres rapports)
Mais alorsD quel intrBt M
Celui de restituerD dans lesprit dc6an;e ;alitaire propre au ClusifD des c6iffres relsD qui : les
rpondants savent : ne seront utiliss que pour fournir la p6oto;rap6ie la plus e&acte des atteintes ( la
scurit subies par nos S'st7mes dEInformation ainsi que des pratiques mises en place pour ' faire face)
%tD comble de lu&eD ces c6iffres sont comments et mis en perspective par un Comit dE%&perts
presti;ieu&D compos par des membres du Club mais aussi des personnalits e&ternes) 1e plusD les
comparaisons avec les rapports prcdents et le focus sur certains domaines dactivit J-erritoriau& cette
anneL illustrent lvolution et mettent en perspective la problmatique de la SSI)
<e finirai >uste sur lutilit que c6acun de vous peut trouver dans cet ouvra;e etD pour ceciD >e nai rien (
a>outer ( ce que 3ascal avait crit il ' a deu& ans H

pour le Responsable ou Fonctionnaire de la Scurit des Systmes dInformation ou pour un
cef dentreprise! cest le moyen de mettre en perspecti"e sa propre politi#ue de scurit ou
didentifier les freins rencontrs par des entreprises tierces!
pour un $ffreur de biens ou un %restataire de ser"ices en Scurit des Systmes
dInformation! cest mieu& apprcier la nature du marc! le dploiement des offres et'ou
les attentes et besoins ( combler!
pour nos ser"ices institutionnels et ceu& en car)e dune mission de "eille! #uelle soit
tecni#ue! r)lementaire ou socitale! cest lopportunit de dtecter des pnomnes
mer)ents ou reprsentatifs dune "olumtrie! "oire sa contrapose si on considre par
e&emple la rticence tou*ours forte ( "o#uer les fraudes financires et les mal"eillances
internes+
,
<e laisse ( Lionel M,"/%/D en mBme temps cerveauD c6ef dorc6estre et c6eville ouvri7re de ce rapport la
tNc6e de remercier le&cellent travail de ceu& qui lont accompa;n)

La?aro 3%<S0C5,8IC9
3rsident du CL"SIF

Menaces informatiques ! CL"SIF 2012 O$110
Synthse de ltude

0u travers de ldition 2012 de son enquBte sur les menaces informatiques et les pratiques de scurit
JMI3SLD le CL"SIF raliseD comme tous les 2 ansD un bilan approfondi des usa;es en mati7re de scurit de
linformation en France)
Cette enquBte se veut Btre une rfrence de par la taille et la reprsentativit des c6antillons
dentreprises J#O1 ont rponduL et des collectivits territoriales J20O ont rponduL interro;es) 3ar
ailleursD elle se veut relativement e&6austiveD puisque cette anneD elle passe en revue lensemble des 11
t67mes de la norme IS, 2P002D relative ( la scurit des S'st7mes dInformation)
%nfinD cette anne comme en 200Q et 2010D elle reprend le volet tr7s complet consacr au& pratiques des
particuliers utilisateurs dInternet ( domicile J1 000 rpondantsL)
Cette s'nt67se reprend lune apr7s lautre c6acune des t6matiques abordes et en prcise les tendances
les plus remarquables)

%ntreprises H une volution F tranquille))) G dans un conte&te financier et
or;anisationnel tou>ours tr7s contraint
La mise en place dune F or;anisation G et de F structures G de la SSI J/esponsable de la Scurit des
S'st7mes dInformation J/SSI ou /SILD Correspondant Informatique et Liberts JCILLD 3olitique de Scurit
des S'st7mes dEInformation J3SSI ou 3SILD c6arteD etc)L continue ( se mettre en RuvreD mais la mise en
application concr7te de ces F politiques G ne dcolle tou>ours pas rellement KS
CTt bud;etD on constate une l;7re repriseD pondre par le fait que le poste le plus au;ment est la
mise en place de solutionD avec #P U) 3our beaucoupD la scurit reste une 6istoire de mise en place de
solutions tec6niques)
Le nombre dentreprises a'ant formalis leur 3SI est demeur inc6an; en deu& ans JV# UL) Les normes de
scurit poursuivent leur influence ;randissante sur la 3SI des entreprisesD passant de OO U en 2010 ( PO U
en 2012)
La fonction de /SSI est de plus en plus clairement identifie et attribue au sein des entreprises JOC UD vs
CW U en 2010 et #P U en 200QLD ce qui va dans le sens de l6istoire) %nfinD ( prsentD 100 U des entreprises
ont en permanence une F quipe scurit GD marquant limportance du su>et et cela en quatre ans
seulement JC# U nen navaient pas en 2010L K
3oint positif H il ' a une forte pro;ression des anal'ses de risques JOC U totale ou partielle vs #Q U en
2010L K
Lacc7s nomade au& ressources de lentreprise est de plus en plus ;nralis) La maturit des solutions
tec6nolo;iques de conne&ionsD de contrTle des postes nomades et des informations qui transitent
permettent un meilleur contrTle des risques associs)
Les 310D tablettes et smartp6ones connaissent tou>ours une au;mentation importante de leur usa;e H
au>ourd6uiD lacc7s au SI avec ces quipements est autoris dans plus de la moiti des entreprises
interro;es)
Lutilisation de la messa;erie instantane JMS+D S@'peD etc)D non fournie par lentrepriseL et des rseau&
sociau& est au>ourd6ui ma>oritairement interdite par les politiques de scurit dans les entreprises)
Seules 12 U des entreprises ont plac leur SI sous info;rance et quand cest le casD plus dune sur trois ne
met pas en place dindicateurs de scurit KS
1e mBmeD apr7s plusieurs annes dau;mentation r;uli7reD la formalisation des procdures
oprationnelles de mise ( >our des correctifs de scurit Jpatc6 mana;ementL estD en 2012D en r;ression
JOW U vs VC U en 2010L)
Ces deu& derni7res annes marquent un palier dans la ;estion des incidents de scurit par les
entreprises) %n 2012D O# U JX1 point vs 2010L dentre elles ont une cellule Jddie ou parta;eL ( la
;estion de ces incidents de scurit)

V$110 ! CL"SIF 2012 Menaces informatiques
Les t'pes dincidents rencontrs par les entreprises connaissent des tau& beaucoup plus faibles que les
annes prcdentes H
forte baisse des erreurs dutilisation J1P UD :2W points vs 2010LD
les infections par virus restent tou>ours la premi7re source dincidents dori;ine malveillante
pour les entreprises J1#DP incidents de scurit dus ( des virus sur lEanne 2011L)

"n peu moins dun tiers des entreprises ne prennent pas en compte la continuit dactivit) Ceci reste
relativement stable au re;ard des rsultats de ltude ralise en 2010) Sans surprise lindisponibilit des
Ys'st7mes informatiques reprsente le scnario le plus couvert JOW UL)
Z QQ U Jidem 2010LD les entreprises se dclarent en conformit avec les obli;ations de la C+IL)
Sur une priode de deu& ansD deu& tiers des entreprises interro;es ont ralis au moins un audit ou
contrTle de scurit du S'st7me dInformation par an Jc6iffres ;lobalement quivalents ( ceu& de 2010L)
"ne lar;e proportion dentreprises JPW UL ne mesure pas r;uli7rement son niveau de scurit lie (
linformation Jpas de tableau de bord de la scurit de lEinformationL)

Collectivits territoriales H et si les e&i;ences r7;lementaires taient le
moteur de lvolution des pratiques de scurit MS
2uels sont les facteurs dclenc6ant de vos pro>ets scurit M Z cette questionD les collectivits auraient
probablement rpondus ( lunisson H la r7;lementation suivie de pr7s par les impacts des incidents de
scurit) 3reuve en estD les obli;ations de sant publique et de service minimum relatives ( la pandmie
de 200W ont dclenc6 de nombreu& pro>ets et impliqus des ressources importantes) "ne consquence
directe H lEacc7s ( distance au S'st7me dEInformation) Seulement voil(D qui dit acc7s distant dit scurit et
plus particuli7rement confidentialit)
-ou>ours sur le prim7tre de la confidentialitD les e&i;ences de la C+IL et les pro;rammes de contrTle
associs ont amen les collectivits ( maintenir voir au;menter les ressources en;a;es) Il semble quune
partie des intentions de 200Q se soient concrtisesD puisque nous constatons au>ourd6ui #W U de
Correspondants Informatique et Liberts JCILL nomms ou prvus Jdcision priseL par rapport ( #P U en
200Q)
"n autre ensei;nement de cette tude fait appara[tre des pratiques in;ales entre les diffrents profils de
collectivits) Les Conseils .nrau& et les Conseils /;ionau& font preuve dune plus ;rande mise en
Ruvre des pratiques de scurit) Il en est de mBme pour les mtropoles qui ont pour la plupart
structures leur activit scurit alors que les communauts ou les mairies de taille mo'ennesD par
manque de ressources ou de connaissancesD sont dans une approc6e plus empirique de ces pratiques)
2uels vont Btre les impacts de la ri;ueur bud;taire sur la scurit M -ous les interlocuteurs sinterro;ent
pour rpondre ( lob>ectif de rationalisation) 3orter leffort sur les actifs les plus critiques de la
collectivit M Cest probablement la bonne rponse) Mais pour ' arriverD celles:ci vont devoir renforcer la
tendance en mati7re danal'se de risqueD seul dispositif permettant dappliquer le principe de
proportionnalit et de rpondre ( lob>ectif de rationalisation)
2uelques lments c6iffrs H
les statistiques de sinistralit sont ;lobalement en net recul H consquences des nouvelles
mesures ou manque de traabilit M Les pertes de services essentiels J2P U vs CC U en 200QLD
les infections virales J2P U vs CC U en 200QL et les pannes dori;ine interne J2C U vs C0 U en
200QL reprsentent tou>ours les principales causes de sinistralitD
plus dune Collectivit sur deu& JOC UL ne dispose daucun processus de ;estion de la
continuit dactivitD
C0 U de collectivits m7nent un audit au moins une fois par anD alors que OV U nEen m7nent pas
du tout Jidem 200QL) Les audits raliss traitent plus souvent des aspects tec6niques que des
aspects or;anisationnelsD
lEutilisation de tableau de bord nEa pas pro;ress depuis la derni7re enquBte) 0insiD seule une
collectivit sur 10 annonce avoir mis en place des outils de ce t'pe)

Menaces informatiques ! CL"SIF 2012 P$110
1onnes personnellesD vie priveD rseau& sociau&D CloudD mobilit et
*=,1 H les internautes commenceraient:ils ( c6an;er de comportementD
auraient:ils enfin int;rs les nouveau& usa;es et les menaces M
Lc6antillon dinternautes franais consult est constitu de faon ( Btre reprsentatif de la population
franaise)
1e son cTtD le tau& dquipement en informatique continue ( au;menter dans les fo'ers et lordinateur
reste loutil principal pour se connecter sur InternetD avec toutefois le raccordement dun nombre
croissant dquipements sur Internet dont les tlvisions et les consoles de >eu& de salon)
Le \ifi se ;nralise comme mode dacc7s au rseau local et lon note de nouvelles tendances dans les
usa;es informatiques au sein des fo'ersD avec larrive des tablettes et lutilisation de services de Cloud
Computin; pour le stoc@a;e de donnes)
3ar ailleursD les deu& tiers des internautes se connectent aussi sur Internet en de6ors du domicile avec
leur quipement mobile)

1u point de vue de la perception et de la sensibilit au& menaces et au& risquesD les internautes disent
avoir une conscience ai;]e des problmatiques de scuritD notamment quant au& risques lis (
lutilisation dInternetS Mais ( ' re;arder de plus pr7sD on constate des carts notables en fonction des
tranc6es dN;eD un sentiment de risque qui aurait tendance ( diminuer ;rNce ( une plus ;rande confiance
dans les outils de scuritD une perception accrue des risques lis ( la vie priveD Internet tou>ours vu
comme un risque pour les mineursS
Les tablettes apparaissent bien comme plus e&poses au& risques que les ordinateurs)
3eu de probl7mes de scurit sont remonts par les internautesD et lorsque cest toutefois le casD il sa;it
plus daccidents de scurit Jfausse manipulationD panne matrielleLD que dincidents lis ( des c6ar;es
virales ou des pirata;esS Il est toutefois l;itime de se demander si les internautes sont rellement
conscients des probl7mes qui se produisent et sils en font une anal'se)

CTt usa;eD lordinateur familial sert aussi bien ( des activits professionnelles et vice:versa Jpoint
constat ;alement dans le t67me F %ntreprises GL)
Le paiement en li;ne nest pas encore rentr dans les mRurs depuis un smartp6one ou une tabletteD mais
il est plus frquent depuis un ordinateurD avec une vi;ilance accrue)
Les internautes e&priment dailleurs clairement certains des facteurs les confortant dans leur dmarc6e
de paiement en li;neD tels que H le c6iffrement des donnes des transactionsD la renomme du site ou sa
marqueD la confirmation par un mo'en tiers Je:mailD SMSLD la possibilit dEutiliser des mo'ens de
paiements spcifiques ( Internet Je:carteL) %n revanc6eD un a;rment par des or;anismes indpendants ou
la localisation du site sont moins importants)

%n termes de F mo'ens de protection GD les solutions de protection ;ratuites sont tou>ours plbiscitesD les
outils ( couvertures multiples Janti:mal\areD anti:spamD anti:p6is6in;D etc)L ne sont mal6eureusement pas
aussi populaires que les outils ( prim7tre unitaire Janti:virus seulD etc)L ce qui peut conduire ( un fau&
sentiment de scurit)
Certaines actions considres par les spcialistes de la scurit comme des pr:requisD telle les
sauve;arde ou lapplication des correctifsD ne sont pas correctement prises en comptes et ralises par les
internautes)
%n revanc6eD lautomatisation des rec6erc6es de mises ( >ourD voire du tlc6ar;ement et de linstallation
des correctifs de scuritD est dune ;rande aide et est lar;ement mise en Ruvre)
.lobalement les comportements samliorentD les mots de passe et le verrouilla;e dcran tant surtout
mis en RuvreS lorsquil sa;it dune confi;uration par dfaut de lditeur ou du constructeur)
Il ' a un tr7s net dcala;e entre les efforts faits en mati7re de scurit par les internautes sur leurs
quipementsD selon quil sa;isse dordinateurs ^ outils plutTt F pas trop mal G ;rs : ou des quipements

Q$110 ! CL"SIF 2012 Menaces informatiques
mobiles comme les smartp6ones et les tablettes pour lesquels le&istence doutils de scurisation sont
peuD voire pasD connus)
2uant ( lutilisation de la messa;erieD les aspects de confidentialit et de c6iffrement ne sont quasiment
pas rentrs dans les mRurs des internautes)
0 la lumi7re de ces rsultatsD on peut considrer que plus les niveau& dautomatisation des oprations de
scurit et des mises ( >our seront levs de la part des diteurs et des fournisseursD mieu& ce sera pour
le niveau de scurit ;lobal des quipements des internautes)

En conclusion

MBme si la menace faiblit ;lobalementD notre enquBte montre de nouveau que les malveillances et les
incidents de scurit sont bien prsents H attaques viralesD vols de matrielD accroissement des probl7mes
de divul;ation dinformation et attaques lo;iques cibles sont tou>ours au menu K
1ans un cos'st7me numrique o_ les fronti7res entre lentrepriseD ses clientsD ses partenairesD ses
fournisseurs et ses propres collaborateurs sont de plus en plus flouesD il est plus que >amais ncessaire de
positionner le cadre de la scurit du S'st7me dEInformation)
Les rsultats de cette tude servirontD le cas c6antD de levier pour convaincre une direction concerne
mais pas encore implique) Ils serviront ;alement ( apprcier les pratiques au re;ard du marc6)
0lorsD F au boulot G K 3our les entreprises ou collectivits qui nont encore F rien fait GD il est plus que
>amais ncessaire de positionner le F cadre de la SSI G) 3our celles qui lont mis en placeD reste ( mettre
en Ruvre et >usquau bout des pratiques concr7tesD ancres dans les processus de la ;estion de
linformation) Ceci leur permettra de scuriser leur capital informationnel et cela ( la 6auteur de leurs
en>eu& K
3our les plus coura;eu& dentre vousD ltude dtaille et ar;umente vous attend dans le reste de ce
documentS

*onne lecture K

Lionel M,"/%/
3our le .roupe de -ravail F %nquBte sur les menaces
informatiques et les pratiques de scurit G

Menaces informatiques ! CL"SIF 2012 W$110
Sommaire

REMERCIEMENTS ............................................................................................................ 3
AVANT-PROPOS.............................................................................................................. 4
SYNTHESE DE LETDE..................................................................................................... !
SOMMAIRE .................................................................................................................... "
LISTE DES #I$RES ....................................................................................................... %%
METHODOLO$IE ........................................................................................................... %!
LES ENTREPRISES ......................................................................................................... %&
3rsentation de lc6antillon))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) 1Q
1pendance ( linformatique des entreprises de plus de 200 salaris ))))))))))))))))))))))) 1W
Mo'ens consacrs ( la scurit de linformation par les entreprises))))))))))))))))))))))))) 1W
-67me O H 3olitique de scurit de lInformation J3SIL))))))))))))))))))))))))))))))))))))))))) 21
-67me V H ,r;anisation de la scurit et mo'ens ))))))))))))))))))))))))))))))))))))))))))))))) 2#
-67me P H La ;estion des risques lis ( la scurit des SI)))))))))))))))))))))))))))))))))))))) 2V
-67me Q H Scurit lie au& /essources 5umaines )))))))))))))))))))))))))))))))))))))))))))))) 2Q
-67me W H Scurit 36'sique ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) #0
-67me 10 H .estion des oprations et des communications ))))))))))))))))))))))))))))))))))) #0
-67me 11 H ContrTle des acc7s lo;iques)))))))))))))))))))))))))))))))))))))))))))))))))))))))))) #V
-67me 12 H 0cquisitionD dveloppement et maintenance)))))))))))))))))))))))))))))))))))))) #W
-67me 1# H .estion des incidents ^ Sinistralit)))))))))))))))))))))))))))))))))))))))))))))))))) C0
-67me 1C H .estion de la continuit dactivit)))))))))))))))))))))))))))))))))))))))))))))))))) C#
-67me 1O H Conformit)))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) CO
LES COLLECTIVITES TERRITORIALES .................................................................................. !'
3rsentation de lc6antillon))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) O2
Sentiment de dpendance ( linformatique)))))))))))))))))))))))))))))))))))))))))))))))))))))) O#
Mo'ens consacrs ( la scurit de linformation par les collectivits)))))))))))))))))))))))) OC
-67me O H 3olitique de scurit de lEinformation)))))))))))))))))))))))))))))))))))))))))))))))) OV
-67me V H ,r;anisation de la scurit et mo'ens ))))))))))))))))))))))))))))))))))))))))))))))) OQ
-67me P H .estion des biens)))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) V0
-67me Q H Scurit des ressources 6umaines )))))))))))))))))))))))))))))))))))))))))))))))))))) V2
-67me W H Scurit p6'sique ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) VO
-67me 10 H .estion des communications et des oprations ))))))))))))))))))))))))))))))))))) VO
-67me 11 H ContrTle dacc7s ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) P0
-67me 12 H 0cquisitionD dveloppement et maintenance du S)I )))))))))))))))))))))))))))))) P2
-67me 1# ^ .estion des incidents de scurit ))))))))))))))))))))))))))))))))))))))))))))))))))) PC
-67me 1C ^ .estion de la continuit dactivit)))))))))))))))))))))))))))))))))))))))))))))))))) PV
-67me 1O Conformit ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) PP

10$110 ! CL"SIF 2012 Menaces informatiques
LES INTERNATES......................................................................................................... &4
3rsentation de lEc6antillon ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) QC
3artie I ^ 3rofil des Internautes et inventaire informatique ))))))))))))))))))))))))))))))))))) QO
3artie II ^ 3erception et sensibilit au& menaces et au& risques )))))))))))))))))))))))))))))) QV
3artie III ^ "sa;es des internautes ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) W#
3artie I4 ^ Mo'ens et comportements de scurit)))))))))))))))))))))))))))))))))))))))))))))) 102

Menaces informatiques ! CL"SIF 2012 11$110

Liste des figures

LES ENTREPRISES
Fi;ure 1 : 1pendance des entreprises ( lEinformatique)))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) 1W
Fi;ure 2 ^ 3art du bud;et informatique allou ( la scurit dans les entreprises ))))))))))))))))))))))))))))))) 1W
Fi;ure # ^ volution du bud;et scurit selon les secteurs dEactivits ))))))))))))))))))))))))))))))))))))))))))))) 20
Fi;ure C ^ Implication des diffrentes entits ( la 3SI )))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) 21
Fi;ure O ^ /frentiels utiliss pour la formalisation de la 3SI )))))))))))))))))))))))))))))))))))))))))))))))))))))) 22
Fi;ure V ^ 1iffusion de la 3SI au sein des entreprises ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) 22
Fi;ure P ^ 0ttribution de la fonction /SSI ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) 2#
Fi;ure Q ^ 3rise en c6ar;e de la fonction /SSID lorsquil ne&iste pas de /SSI )))))))))))))))))))))))))))))))))))) 2#
Fi;ure W : /attac6ement 6irarc6ique du /SSI au sein de lentreprise )))))))))))))))))))))))))))))))))))))))))))) 2C
Fi;ure 10 : /partition des missions du /SSI)))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) 2O
Fi;ure 11 : %ffectif total de lquipe scurit permanente au sein de lentreprise))))))))))))))))))))))))))))) 2O
Fi;ure 12 ^ Inventaire et attribution dun propritaire des informations de lentreprise)))))))))))))))))))))) 2V
Fi;ure 1# ^ "tilisation dune mt6ode ou un rfrentiel pour raliser lanal'se des risques)))))))))))))))))) 2P
Fi;ure 1C ^ 3ersonneJsL en c6ar;e de lanal'se des risques)))))))))))))))))))))))))))))))))))))))))))))))))))))))))) 2P
Fi;ure 1O ^ %&istence dune c6arte dusa;e ou dutilisation du SI )))))))))))))))))))))))))))))))))))))))))))))))))) 2Q
Fi;ure 1V ^ Mo'ens de sensibilisation ( la scurit de linformation))))))))))))))))))))))))))))))))))))))))))))))) 2W
Fi;ure 1P ^ %&istence dune procdure de suppression des acc7s et de restitution du matriel )))))))))))))) 2W
Fi;ure 1Q ^ 3rise en compte du c'cle de vie des supports papiers dans la classification des donnes))))))) #0
Fi;ure 1W ^ 0cc7s au S'st7me dEInformation de lEentreprise ))))))))))))))))))))))))))))))))))))))))))))))))))))))))) #1
Fi;ure 20 : -ec6nolo;ies de scurit $ lutte antiviraleD anti:intrusionD ;estion des vulnrabilits J1$2L ))) ##
Fi;ure 21 : -ec6nolo;ies de scurit $ lutte antiviraleD anti:intrusionD ;estion des vulnrabilits J2$2L ))) #C
Fi;ure 22 ^ 3art des SI sous contrat dinfo;rance )))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) #O
Fi;ure 2# : Suivi de linfo;rance par des indicateurs de scurit ))))))))))))))))))))))))))))))))))))))))))))))))) #O
Fi;ure 2C ^ /alisation daudit sur linfo;rance )))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) #V
Fi;ure 2O ^ 3art du SI dans le Cloud Computin;)))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) #V
Fi;ure 2V : -ec6nolo;ies de contrTle dEacc7s lo;ique dplo'es en entreprise)))))))))))))))))))))))))))))))))) #Q
Fi;ure 2P ^ Mise en place de procdures de ;estion des comptes utilisateurs ))))))))))))))))))))))))))))))))))) #W
Fi;ure 2Q ^ Mise en place de r7;les de constitution et de premption des mots de passe))))))))))))))))))))) #W
Fi;ure 2W ^ 4eille en vulnrabilits et en solutions de scurit))))))))))))))))))))))))))))))))))))))))))))))))))))) C0
Fi;ure #0 : Formalisation des procdures de dploiement de correctifs de scurit ))))))))))))))))))))))))))) C0
Fi;ure #1 ^ %&istence dune cellule de collecte et de traitement des incidents de scurit )))))))))))))))))) C1
Fi;ure #2 ^ 1pTts de plaintes suite ( des incidents lis ( la scurit de linformation)))))))))))))))))))))))) C1
Fi;ure ## ^ -'polo;ie des incidents de scurit)))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) C2
Fi;ure #C ^ Scnarii couverts par la ;estion de la continuit dactivit ))))))))))))))))))))))))))))))))))))))))))) C#
Fi;ure #O ^ /alisation dun *I0 formel pour valuer les impacts F Mtiers G)))))))))))))))))))))))))))))))))))) CC

Fi;ure #V ^ Frquence des tests de secours))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) CC
Fi;ure #P ^ Contenu des processus de ;estion de crise ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) CO
Fi;ure #Q ^ %&istence dun Correspondant Informatique et Libert )))))))))))))))))))))))))))))))))))))))))))))))) CV
Fi;ure #W ^ +ombre dEaudits de scurit du SI ralis en mo'enne par an )))))))))))))))))))))))))))))))))))))))) CV
Fi;ure C0 ^ -'pes dEaudits ou contrTles de scurit raliss))))))))))))))))))))))))))))))))))))))))))))))))))))))))) CP
Fi;ure C1 ^ Mise en place de tableau& de bord de la scurit de lEinformation )))))))))))))))))))))))))))))))))) CP
Fi;ure C2 ^ Mise en place de tableau& de bord de la scurit de lEinformation )))))))))))))))))))))))))))))))))) CQ
Fi;ure C# : Indicateurs suivis dans le tableau de bord de la scurit )))))))))))))))))))))))))))))))))))))))))))))) CW

LES COLLECTIVITES TERRITORIALES
Fi;ure CC : 3rofil des intervie\s))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) O#
Fi;ure CO : 1pendance des collectivits territoriales ( lEinformatique ))))))))))))))))))))))))))))))))))))))))))) O#
Fi;ure CV : *ud;ets informatiques annuels des collectivits territoriales))))))))))))))))))))))))))))))))))))))))) OC
Fi;ure CP : 3art du bud;et informatique consacr ( la scurit )))))))))))))))))))))))))))))))))))))))))))))))))))) OC
Fi;ure CQ : %volution du bud;et scurit)))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) OO
Fi;ure CW : 3ostes bud;taires en au;mentation )))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) OO
Fi;ure O0 : Freins ( la conduite des missions de scurit )))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) OV
Fi;ure O1 : %&istence dEune politique de scurit de lEinformation ))))))))))))))))))))))))))))))))))))))))))))))))) OV
Fi;ure O2 : 0cteurs de la politique de scurit de lEinformation)))))))))))))))))))))))))))))))))))))))))))))))))))) OP
Fi;ure O# : 0ppui de la politique de scurit de lEinformation des collectivits sur un rfrentiel de
scurit ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) OQ
Fi;ure OC : Identification et attribution de la fonction /SSI ))))))))))))))))))))))))))))))))))))))))))))))))))))))))) OQ
Fi;ure OO : Mutualisation des missions pour les /SSI identifis dans les collectivits territoriales ))))))))))) OW
Fi;ure OV : 3rise en c6ar;e de la fonction /SSID lorsquEil nEe&iste pas de /SSI )))))))))))))))))))))))))))))))))))) OW
Fi;ure OP : /partition des missions du /SSI)))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) OW
Fi;ure OQ : Inventaire des informations dans les collectivits territoriales))))))))))))))))))))))))))))))))))))))) V0
Fi;ure OW : Classification des informations dans les collectivits territoriales ))))))))))))))))))))))))))))))))))) V0
Fi;ure V0 : +iveau& de sensibilit des informations dans les collectivits territoriales )))))))))))))))))))))))) V0
Fi;ure V1 : 0nal'se formelle base sur une mt6ode dEanal'se des risques )))))))))))))))))))))))))))))))))))))) V1
Fi;ure V2 : Mt6ode utilise dans les collectivits pour lEanal'se de risques ))))))))))))))))))))))))))))))))))))) V1
Fi;ure V# : %&istence dEune c6arte dEusa;e selon le profil de la collectivit)))))))))))))))))))))))))))))))))))))) V2
Fi;ure VC : Soumission de la c6arte au& instances reprsentatives du personnel)))))))))))))))))))))))))))))))) V2
Fi;ure VO : Communication de la c6arte au& utilisateurs dans les collectivits)))))))))))))))))))))))))))))))))) V#
Fi;ure VV : 3ro;ramme de sensibilisation ( la scurit dans les collectivits )))))))))))))))))))))))))))))))))))) V#
Fi;ure VP : %valuation de lEimpact de la sensibilisation))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) VC
Fi;ure VQ : .estion des droits dacc7s lors des dparts )))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) VC
Fi;ure VW : C'cle de vie des supports papiers en fonction de la classification des donnes ))))))))))))))))))) VO
Fi;ure P0 : Mobilit et acc7s au S'st7me dEInformation dans les collectivits ))))))))))))))))))))))))))))))))))) VV
Fi;ure P1 : Lutte antiviraleD protection contre les intrusions et ;estion des vulnrabilits ))))))))))))))))))) VP
Fi;ure P2 : 3art des S'st7mes dEInformation de collectivits sous contrat dEinfo;rance )))))))))))))))))))))) VW
Fi;ure P# : Suivi de lEinfo;rance par des indicateurs de scurit)))))))))))))))))))))))))))))))))))))))))))))))))) VW

Menaces informatiques ! CL"SIF 2012 1#$110
Fi;ure PC : /alisation dEaudits sur lEinfo;rance )))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) VW
Fi;ure PO : /ecours au cloud computin; dans les collectivits)))))))))))))))))))))))))))))))))))))))))))))))))))))) P0
Fi;ure PV : Cloud publicD priv ou 6'bride dans les collectivits ))))))))))))))))))))))))))))))))))))))))))))))))))) P0
Fi;ure PP : -ec6nolo;ies de contrTle dEacc7s au SI utilises dans les collectivits )))))))))))))))))))))))))))))) P1
Fi;ure PQ : -ec6nolo;ies de contrTle dEacc7s centralis ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) P1
Fi;ure PW : .estion des 6abilitations dans les collectivits )))))))))))))))))))))))))))))))))))))))))))))))))))))))))) P2
Fi;ure Q0 : 4eille et ;estion des vulnrabilits dans les collectivits)))))))))))))))))))))))))))))))))))))))))))))) P#
Fi;ure Q1 : 3rocdures formalises de dploiement de correctifs de scurit))))))))))))))))))))))))))))))))))) P#
Fi;ure Q2 : 1lai de dploiement des correctifs de scurit )))))))))))))))))))))))))))))))))))))))))))))))))))))))) P#
Fi;ure Q# : %&istence dEune cellule de collecte et de traitement des incidents de scurit))))))))))))))))))) PC
Fi;ure QC : -'polo;ie des incidents de scurit pour les collectivits ))))))))))))))))))))))))))))))))))))))))))))) PO
Fi;ure QO : Couverture des scnarios de ;estion de la continuit dans les collectivits ))))))))))))))))))))))) PV
Fi;ure QV : %valuation des e&i;ences mtiers dans le cadre du bilan dEimpact sur lEactivit )))))))))))))))))) PV
Fi;ure QP : Frquence des tests des plans de continuit))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) PP
Fi;ure QQ : Conformit C+IL des collectivits )))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) PQ
Fi;ure QW : %&istence dEun Correspondant Informatique et Libert dans les collectivits )))))))))))))))))))))) PQ
Fi;ure W0 : /;lementations spcifiques en mati7re de scurit de lEinformation )))))))))))))))))))))))))))))) PW
Fi;ure W1 : Conformit des collectivits au /.S ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) PW
Fi;ure W2 : -'pes dEaudits ou de contrTles de scurit raliss ))))))))))))))))))))))))))))))))))))))))))))))))))))) Q0
Fi;ure W# : Motivations pour la ralisation des audits )))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) Q0
Fi;ure WC : Indicateurs suivis dans le tableau de bord)))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) Q1

LES INTERNATES
Fi;ure WO : "tilisation du 8ifi ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) QO
Fi;ure WV : 3rise de conscience des risques))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) QV
Fi;ure WP : 3erception des risques sur smartp6one et tablette par rapport ( un ordinateur )))))))))))))))))) QV
Fi;ure WQ : 3erception de lEvolution des risques pour smartp6one et tablette)))))))))))))))))))))))))))))))))) QP
Fi;ure WW : 3erception du risque par rapport ( la vie prive )))))))))))))))))))))))))))))))))))))))))))))))))))))))) QP
Fi;ure 100 : 3erception du dan;er dEInternet pour les mineurs ))))))))))))))))))))))))))))))))))))))))))))))))))))) QQ
Fi;ure 101 : 3erte de donnes sur les ordinateurs )))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) QW
Fi;ure 102 : 3erception du risque F absence dEantivirus sur lEordinateur G)))))))))))))))))))))))))))))))))))))))) W0
Fi;ure 10# : 3erception du risque li au tlc6ar;ement dEapplications sur smartp6one et tablette)))))))) W2
Fi;ure 10C : -'pes dEusa;e de lEordinateur familial)))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) W#
Fi;ure 10O : -'pe dEutilisation des outils de mobilit personnels ))))))))))))))))))))))))))))))))))))))))))))))))))) WC
Fi;ure 10V : -'pes dEusa;e de lEordinateur professionnel Jensemble de la populationL))))))))))))))))))))))))) WC
Fi;ure 10P : -'pes dEusa;e de lEordinateur professionnel Jpopulation quipeL)))))))))))))))))))))))))))))))))) WO
Fi;ure 10Q : -'pe dEutilisation des outils de mobilit professionnels )))))))))))))))))))))))))))))))))))))))))))))) WO
Fi;ure 10W : 3ratiques de tlc6ar;ementD de messa;erie instantane et tlp6onie sur Internet)))))))))) WV
Fi;ure 110 : 3ratique de >eu en li;ne sur Internet))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) WV
Fi;ure 111 : 3ratiques des rseau& sociau& ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) WP

1C$110 ! CL"SIF 2012 Menaces informatiques
Fi;ure 112 : 3aiement sur Internet sur ordinateur et sur smartp6one ou tablette )))))))))))))))))))))))))))))) WQ
Fi;ure 11# : 3aiement sur Internet depuis smartp6one $ tablette selon lEN;e ))))))))))))))))))))))))))))))))))) WQ
Fi;ure 11C : 3erception de la scurit relative entre ordinateur et smartp6one ou tablette ))))))))))))))))) WW
Fi;ure 11O : Crit7res de confiance dans la scurit pour les paiements en li;ne)))))))))))))))))))))))))))))))100
Fi;ure 11V : Formulaires sur Internet et donnes personnelles ))))))))))))))))))))))))))))))))))))))))))))))))))))101
Fi;ure 11P : "tilisation dEantivirus pa'ant ou ;ratuit sur ordinateur ))))))))))))))))))))))))))))))))))))))))))))))102
Fi;ure 11Q : "tilisation des mcanismes de mise ( >our automatique sur ordinateur))))))))))))))))))))))))))102
Fi;ure 11W : Mo'ens de protections utiliss sur les ordinateurs personnels))))))))))))))))))))))))))))))))))))))10C
Fi;ure 120 : Mo'ens de protections utiliss pour smartp6one et tablette )))))))))))))))))))))))))))))))))))))))10O
Fi;ure 121 : Mise ( >our des s'st7mes de&ploitation et des lo;iciels des ordinateurs ))))))))))))))))))))))))10V
Fi;ure 122 : Frquence des mises ( >our manuelles pour les ordinateurs ))))))))))))))))))))))))))))))))))))))))10P
Fi;ure 12# : Mise ( >our des s'st7mes de&ploitation et des lo;iciels des smartp6ones )))))))))))))))))))))))10P
Fi;ure 12C : 3erception ;lobale du conte&te scurit sur Internet))))))))))))))))))))))))))))))))))))))))))))))))10Q

Menaces informatiques ! CL"SIF 2012 1O$110
Mthodologie

LenquBte du CL"SIF sur les menaces informatiques et les pratiques de scurit en France en 2012 a t
ralise au cours de dbut >anvier ( mi:mars 2012D en collaboration avec le cabinet spcialis .M4
ConseilD sur la base de questionnaires denquBte labors par le CL"SIF) -rois cibles ont t retenues pour
cette enquBte H
les entreprises de plus de 200 salaris H #O1 entreprises de cette cat;orie ont rpondu ( cette
enquBteD
les collectivits territoriales H 20O dentres:elles ont accept de rpondreD
les particuliers internautes H 1 000 individusD issus du panel dEinternautes de lEinstitut
spcialis 5arris InteractiveD ont rpondu ( cette enquBte via Internet)
3our les deu& premi7res ciblesD le questionnaire utilis a t construit en reprenant les t67mes de la
norme IS, 2P002 dcrivant les diffrents items ( couvrir dans le domaine de la scurit de linformation)
Lob>ectif tait de mesurer de mani7re asse? compl7te le niveau actuel dimplmentation des meilleures
pratiques de ce domaine) Ces diffrents t67mesD numrots dans la norme de O ( 1OD sont les suivants H
t67me O H 3olitique de scuritD
t67me V H ,r;anisation de la scurit et mo'ensD
t67me P H .estion des actifs et identification des risquesD
t67me Q H Scurit des ressources 6umaines Jc6arteD sensibilisationLD
t67me W H Scurit p6'sique et environnementaleD
t67me 10 H .estion des communications et des oprationsD
t67me 11 H ContrTle des acc7sD
t67me 12 H 0cquisitionD dveloppement et maintenanceD
t67me 1# H .estion des incidents de scuritD
t67me 1C H .estion de la continuitD
t67me 1O H Conformit JC+ILD auditsD tableau& de bordL)
3our ce qui concerne les particuliers internautesD les t67mes suivants ont t abords H
caractrisation socioprofessionnelle des personnes interro;es et identification de leurs outils
informatiquesD
perception de la menace informatiqueD sensibilit au& risques et ( la scuritD incidents
rencontrsD
usa;es de linformatique et dInternet ( domicileD
pratiques de scurit mises Ruvre Jmo'ens et comportementL)
Les rponses au& questions ont t consolides par .M4 Conseil en prservant un total anon'mat des
informationsD puis ont t anal'ses par un ;roupe de&perts du CL"SIFD spcialistes du domaine de la
scurit de linformation)
0fin de simplifier la compr6ension du documentD le c6oi& a t fait de ne citer que les annes de
publication des rapportsD ( savoir 2012D 2010 et 200Q) Les enquBtes ont t ralises sur le premier
trimestre de lanne de publication et les c6iffres cits portent donc sur lanne prcdenteD
respectivement 2011D 200W et 200P)
%nfinD le ;roupe de&perts tient ;alement ( prciser que toute enquBte de ce t'pe contient
ncessairement des rponses discordantes dues ( la sub>ectivit de lEobservation sur des domaines
difficilement quantifiables ouD dans le cas du domaine spcifique de la scurit du SID de la F culture G et
de la maturit de c6aque entrepriseD collectivit territoriale ou internaute)

Menaces informatiques ! CL"SIF 2012 1P$110
Entreprises

3rsentation de lc6antillon
1pendance ( linformatique des
entreprises de plus de 200 salaris
Mo'ens consacrs ( la scurit de
linformation par les entreprises
-67me O H 3olitique de scurit
-67me V H ,r;anisation de la scurit et
mo'ens
-67me P H La ;estion des risques lis ( la
scurit des SI
-67me Q H Scurit lie au& /essources
5umaines
-67me W H Scurit p6'sique
-67me 10 H .estion des oprations et des
communications
-67me 11 H ContrTle des acc7s lo;iques
-67me 12 H 0cquisitionD dveloppement et
maintenance
-67me 1# H .estion des incidents ^
Sinistralit
-67me 1C H .estion de la continuit
dactivit
-67me 1O H Conformit

1Q$110 ! CL"SIF 2012 Menaces informatiques
Les Entreprises

3our lEdition 2012 de son enquBteD le CL"SIF sou6aitait interro;er un c6antillon dEentreprises identique (
celui interro; en 200Q et 2010D mais re;roup diffremment) %n effetD cette anneD le t'pe F Services ^
Finance G a t dcoup en deu& cat;ories distinctes Jdu fait de niveau& de maturit en SSI asse?
diffrentsL et les t'pes F Industrie G et F *-3 G ont t re;roups) Les autres t'pes dentreprises ont t
conservs tels quels afin de pouvoir comparer les pro;r7s ou les ventuelles r;ressions) 0insiD la cible est
constitue des entreprises de plus de 200 salaris des secteurs dEactivit suivants H
*anque ^ 0ssurancesD
CommerceD
Industrie : *-3D
ServicesD
-ransport ^ -lcoms)
#O1 entreprises ont rpondu ( la sollicitation du CL"SIF Jentretien de 2O minutes en mo'enneLD avec un
tau& dEacceptation dEenviron 10 U Jidentique ( 2010L H sur 100 entreprises contactesD seulement 10 ont
accept de rpondre ( nos questionsD ce qui a impliqu dEappeler environ # O00 entreprises K
Lc6antillon est construit selon la mt6ode des quotas avec 2 crit7res ^ leffectif et le secteur dactivit
des entreprises ^ pour obtenir les rsultats les plus reprsentatifs de la population des entreprises)
Cet c6antillon est ensuite redress sur leffectif et le secteur dactivit pour se rapproc6er de la ralit
des entreprises franaisesD sur la base des donnes I+S%%)

Entreprise Taille
Secteur
200-499
salaris
500-999
salaris
1 000
et plus
Total Total en %
Donnes
INSEE
Banque - Assurance 16 7 20 4 12!% "%
#o$$erce 22 4 18 44 12!5% 15%
In%ustrie - BT& 86 27 21 14 '!2% 9%
Ser(ices 42 13 31 ') 24!5% 2"%
Transport * Tlco$s 18 5 21 44 12!5% 12%
Total 1'4 5) 111 51 100!0% 100%
Total en % 52!4% 1)!0% 1!)% 100!0%
Redressement

Donnes INSEE ""% 1"% )% 100%
R
e
d
r
e
s
s
e
m
e
n
t

0u sein de c6aque entrepriseD nous avons c6erc6 ( interro;er en priorit le /esponsable de la Scurit
des S'st7mes dInformation J/SSIL) Celui:ci a rpondu pour 2# U J2W U en 2010L des entreprises
interro;esD mais plus de CO U dans les plus de 1 000 salaris JC0 U en 2010L)
-outes tailles et secteurs confondusD les personnes sondes sont ( plus de Q2 U des 1SI J1irecteur des
S'st7mes dInformationLD des 1irecteurs ou /esponsables informatiques ou des /SSI JP2 U en 2010L)
Les entreprises de plus de 200 salaris
Menaces informatiques ! CL"SIF 2012 1W$110
1pendance ( linformatique des entreprises de plus de 200 salaris
L( S)s*+,( -In.o/,0*ion s*/0*12i3u( 4ou/ *ou*(s l(s (n*/(4/is(s
LEenquBte confirme cette anne encore que lEinformatique est perue comme strat;ique par une tr7s
lar;e ma>orit des entreprises H tous secteurs confondus et quelle que soit leur tailleD Q1 U dEentre elles
>u;ent lourde de consquences une indisponibilit de moins de 2C6 de leurs outils informatiques Javec un
ma&imum de W1 U pour le secteur de la *anque ^ 0ssuranceL)
+otre entreprise a-t-elle une %pen%ance , l-in.or$atique/
80% 19%
1
%
1
%
Forte : 81% Modre : 18%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2010
2012
Une dpendance forte : une nd spon ! " t de mo ns de 24# a de $ra%es cons&uences sur " 'act % t
Une dpendance modre : une nd spon ! " t (us&u') 48# est to" ra!" e
Une dpendance fa !" e : une nd spon ! " t m*me de " on$ue dure n'a pas de cons&uence $ra%e

#i2u/( % - D14(n-0nc( -(s (n*/(4/is(s 5 l6in.o/,0*i3u(

Mo'ens consacrs ( la scurit de linformation par les entreprises
n 7u-2(* in.o/,0*i3u( ,o)(n 5 %89 ,illion :
Le bud;et informatique annuel mo'en est de 1DV million deuros) Seuls C2 U des sonds ont rpondu (
cette questionD ils taient O1 U en 2010)
,n constate que VC U ont un bud;et infrieur ( 1 million deuro JOQ U en 2010LD 1Q U entre 1 et 2 millions
J20 U en 2010LD 1# U entre 2 et O millions J1O U en 2010L et enfin O U au:dessus de O millions >usqu( un
ma&imum de C0 millions JP U en 2010 avec un ma&imum de 20 millionsL)
n 7u-2(* s1cu/i*1 -on* l( 41/i,+*/( (s* *ou;ou/s ,0l c(/n1
Les /SSI ont encore du mal ( cerner le bud;et qui leur est attribu par rapport au bud;et informatique
total) Ce flou au;mente encore cette anne par rapport ( 2010D #V U cette anne contre #0 U en 2010)
Lorsque le bud;et est clairement identifiD la rpartition est 6tro;7ne)
0uel pourcenta1e reprsente le 2u%1et scurit %e l3in.or$ation par rapport au 2u%1et
in.or$atique total en 2011 4
7%
11%
20%
25%
26%
15%
16%
14%
30%
35%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2010
2012
Mo ns de 1% +e 1 ) 3% +e 3 ) 6% ," us de 6% -e sa t pas

#i2u/( ' < P0/* -u 7u-2(* in.o/,0*i3u( 0llou1 5 l0 s1cu/i*1 -0ns l(s (n*/(4/is(s
n( l12+/( /(4/is( -(s 7u-2(*s s1cu/i*1
.lobalementD le pourcenta;e des bud;ets F constants G au;mente JVC U contre CQ U en 2010L tandis que
22 U des bud;ets sont en au;mentation)
En 2011! quelle a t l-(olution %u 2u%1et scurit %e l3in.or$ation par rapport , l-anne
prc%ente 4
5%
4%
1%
5%
5%
1%
72%
50%
57%
67%
60%
8%
16%
11%
1%
12%
8%
24%
15%
4%
26%
10%
5%
13%
20%
1%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
. ndustr e
/0,
0ransports
0" coms
1er% ces
2ommerce
/an&ue
3ssurance
4n forte r$ress on 5p" us de 10%6 4n r$ress on 5mo ns de 10%6
2onstant 4n au$mentat on mo7enne 5mo ns de 10%6
4n forte au$mentat on 5p" us de 10%6 -e sa t pas

#i2u/( 3 < =olu*ion -u 7u-2(* s1cu/i*1 s(lon l(s s(c*(u/s -60c*i=i*1s

-outefoisD on constate que le poste a'ant eu la plus ;rosse au;mentation est la mise en place de solutionD
avec #P U) 0insiD la scurit semble avant tout correspondre ( la mise en place de rponses tec6niques)

L(s con*/0in*(s o/20nis0*ionn(ll(s (* l( 7u-2(* ./(in(n* l( RSSI
%nfinD lorsque lEon c6erc6e ( conna[tre les freins ( la conduite des missions de scurit dans leur
entrepriseD les /SSI citent par ordre dimportance dcroissante H
1
7re
raison cite J#C UD :11 points vs 2010L H le manque de bud;etD
2
7me
raison cite J2W UD :1 point vs 2010L H les contraintes or;anisationnellesD
#
7me
raison cite J21 UD XP points vs 2010L H le manque de personnel qualifiD
C
7me
raison cite J1Q UD :V points vs 2010L H la rticence de la 6irarc6ieD des services ou des
utilisateursD
O
7me
raison cite J1C UD X1 point vs 2010L H le manque de connaissance)
Les deu& freins principau& restent comme en 2010 le manque de mo'ens bud;taires et les contraintes
or;anisationnellesD avec toutefois une baisse par rapport ( 2010) Cest un si;ne positifD particuli7rement
important pour le premier crit7re Jmanque de bud;etL)
0u c6apitre des bonnes nouvellesD la rticence de la 1irection des S'st7mes dInformation reste 6ors du
top O J2 U seulementD contre # U en 2010L)
%nfinD le manque de personnel qualifi remonte dun cranD si;ne dune continuelle a;itation du marc6 de
lemploi dans le secteur de la SSID dmontr par ailleurs et de mani7re persistanteD par le nombre
important doffres demploisS

-67me O H 3olitique de scurit de lInformation J3SIL
S*02n0*ion -( l0 .o/,0lis0*ion (* con.i/,0*ion -( son i,4o/*0nc(
Le nombre dentreprises a'ant formalis leur 3SI est demeur inc6an; en deu& ans JV# UL) 1e plusD cette
politique est ;lobalement ( >our dans la mesure o_ Q2 U des entreprises interro;es lont actualise il ' a
moins de trois ans)
La 3SI des entreprises reste massivement soutenue par la 1irection .nrale pour pr7s de W# U des
entreprises rpondantes J:1 point vs 2010L)
Acc1l1/0*ion -( li,4lic0*ion -( l0 Di/(c*ion $1n1/0l( 0u -1.ici* -( l0 DSI (* -u RSSI >
Les 1irections des S'st7mes dInformation sont nettement moins impliques dans llaboration de la 3SI
JV0 U en 2012 vs Q0 U en 2010LD et limplication des /SSI passe de pr7s de O0 U ( un tiers) Il semble que
cette perte dimplication se fasse au profit de celle de la 1irection .nraleD qui semble se saisir de ce
dossier avec une implication pour P1 U des entreprises au lieu de OO U en 2010)
0uelles sont les entits %e (otre entreprise qui se sont i$pliqu %ans l3la2oration %e la &olitique %e
Scurit %e l3In.or$ation 4 5plusieurs rponses possi2les6
13%
16%
21%
26%
26%
34%
46%
80%
55%
7%
13%
15%
21%
21%
28%
34%
60%
71%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90%
3utres
8es + rect ons mt er
5product on9 mar:et n$;6
8e Responsa!" e de " <3ud t
ou du 2ontr=" e nterne
8e Responsa!" e de " a
,roduct on nformat &ue
8a + rect on >ur d &ue
8a + rect on des
Ressources ?uma nes
8e Responsa!" e de " a 1cur t
des 17st@mes d'. nformat on
8a + rect on des
17st@mes d<. nformat on
8a + rect on Anra" e
2010 2012

#i2u/( 4 < I,4lic0*ion -(s -i..1/(n*(s (n*i*1s 5 l0 PSI

Les normes de scurit poursuivent leur influence ;randissante sur la 3olitique de Scurit de
lInformation des entreprisesD passant de OO U en 2010 ( PO U en 2012)
0ussiD suite ( une question nouvelle pose en 2012D on constate larrive des rfrentiels internes comme
tant une base de la construction de la 3olitique de Scurit de lInformation de lentreprise pour plus de
20 U dentre elles) Linfluence de ces rfrentiels internes pourrait Btre lie ( la monte en puissance en
France des e&i;ences portes par les impratifs de contrTle interne)
7a &olitique %e Scurit %e I-In.or$ation %e (otre entreprise s-appuie t-elle sur %es r.rentiels %e
scurit 4 Si oui lequel 4 5plusieurs rponses possi2les6
8%
14%
2%
2%
6%
7%
26%
45%
18%
9%
1%
1%
1%
20%
27%
25%
0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 50%
-e sa t pas
3utre
M4?3R.
4/. B1
-orme .1B 27799
Au de ,11. de " '3-11.
Rfrent e" nterne
-orme . 1B 2700C
-on
2010 2012

#i2u/( ! < R1.1/(n*i(ls u*ilis1s 4ou/ l0 .o/,0lis0*ion -( l0 PSI

%nfinD plusieurs rfrentiels apparaissent dsormais dusa;e mar;inalD tels que le ;uide 3SSI de l0+SSID
lIS, 2PPWW pour le domaine de linformatique de sant et M%50/I Jcette derni7re restant avant tout une
mt6ode danal'se des risquesL) 0u ;lobalD on aboutit ( une consolidation du pa'sa;e des rfrentielsD
centr autour dIS, 2P00& et de rfrentiels internesD plus adapts au& conte&tes des entreprises)
La 3SI est communique ( tous les acteurs du S'st7me dEInformation dans PC U des entreprises)
7a &olitique %e Scurit %e l3In.or$ation %e (otre entreprise est-elle co$$unique , tous les acteurs
%u S8st9$e %-In.or$ation 4
43% 31% 22%
4
%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Bu 9 de man @re proact %e et eCp" c te 5format on s7stmat &ue6
Bu 9 ma s p" us D pour nformat on E 5stoc:a$e dans un . ntranet6
-on9 seu" es certa nes popu" at ons D spc f &ues E 7 ont acc@s
3utre F -e sa t pas

#i2u/( 9 < Di..usion -( l0 PSI 0u s(in -(s (n*/(4/is(s
-67me V H ,r;anisation de la scurit et mo'ens
n( .onc*ion RSSI 3ui con*inu( -( c/o?*/(
La fonction de /esponsable de la Scurit des S'st7mes dInformation J/SSI ou /SIL est de plus en plus
clairement identifie et attribue au sein des entreprisesD ce qui va dans le sens de l6istoire)
7a .onction :SSI est-elle claire$ent i%enti.ie et attri2ue %ans (otre entreprise 4
Bu G 37%
Bu G 49%
Bu G 54%
-onG 61%
-onG 51%
-onG 45%
1
%
2
%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2008
2010
2012
Bu -on -e sa t pas

#i2u/( @ < A**/i7u*ion -( l0 .onc*ion RSSI

%t V# U des /SSI sont ddis ( cette tNc6e ( temps plein Jvs CW U en 2010L et lorsque le /SSI ne&iste pasD
cette mission reste fortement attac6e ( la 1irection des S'st7mes dInformation)
Si pas %e :SSI i%enti.i! qui pren% en c;ar1e la $ission %e :SSI %ans (otre entreprise 4
5%
2%
3%
5%
7%
78%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90%
-e sa t pas
3utre
8e R s: Mana$er
8e respH du 2ontr=" e . nterne
8e respH 17st@me et rseau
8e +1. ou respH nformat &ue

#i2u/( & < P/is( (n cA0/2( -( l0 .onc*ion RSSI8 lo/s3uil n(Bis*( 40s -( RSSI


n /0**0cA(,(n* (nco/( (n 4(/41*u(ll( 1=olu*ion
Le /SI ou /SSI est soit rattac6 ( la 1SI JCP ULD soit ( la 1irection 0dministrative et Financi7re J10FL J10 UL
ou directement ( la 1irection .nrale pour pr7s du tiers J#2 UL des entreprises intervie\esD encore en
recul par rapport ( 2010 J:2 UL) Ceci peut se&pliquer par les arrives plus nombreuses de /SSI au sein
dentreprises de tailles mo'ennes a'ant un niveau de maturit en Scurit des SI encore faible)
0uel est le rattac;e$ent ;irarc;ique %u :SSI au sein %e (otre entreprise 4
3%
7%
1%
1%
4%
2%
5%
45%
32%
2%
11%
1%
2%
2%
12%
34%
36%
2%
5%
1%
1%
2%
10%
32%
47%
0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 50%
-e sa t pas
3utre
8a + rect on des r s&ues
8a + rect on 3ud t ou
2ontr=" e . nterne
Une ent t d'eCp" o tat on I
product on nformat &ue
8a + rect on 1cur t I
1Jret
8a + rect on 3dm n strat %e
et F nanc @re
8a + rect on Anra" e
8a + rect on des 17st@mes
d'. nformat on 5+1. 6
2008 2010 2012

#i2u/( " - R0**0cA(,(n* Ai1/0/cAi3u( -u RSSI 0u s(in -( l(n*/(4/is(

.lobalementD la rpartition des tNc6es du /SSI na pas volu par rapport ( 2010)
Dans le ca%re %es $issions %u :SSI! quel pourcenta1e reprsente le te$ps consacr au<
aspects/
24%
24%
23%
25%
30%
27%
10%
12% 12%
13%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2010
2012
fonct onne" s 5po" t &ue de scur t9 ana" 7se de r s&ues;6
tec#n &ues 5df n t on des arc# tectures9 su % des pro(ets;6
oprat onne" s 5$est on des dro ts d'acc@s9 adm n strat on;6
(ur d &ues 5c#arte ut " sateurs9 rec#erc#e de preu%es;6
de commun cat on 5sens ! " sat on;6

#i2u/( %C - R140/*i*ion -(s ,issions -u RSSI

%nfinD ( prsentD 100 U des entreprises ont en permanence une quipe scuritD marquant limportance du
su>et) -outefoisD dans P2 U des casD le /SSI Jou son quivalentL est encore un 6omme ou une femme
seulJeL ou en binTme seulement K
0uel est l3e..ecti. total %e l3quipe scurit %e l3in.or$ation per$anente au sein %e (otre
1roupe 4
3%
7%
7%
12%
10%
41%
61% 21% 1%
1% 3 ) 5 persH : 20% 1 ou 2 persH : 72%
Kro : 43% 1%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2008
2010
2012
," us de 5 personnes +e 3 ) 5 personnes
+e 1 ) 2 personnes ,as d'&u pe scur t permanente
-e sa t pas

#i2u/( %% - E..(c*i. *o*0l -( l13ui4( s1cu/i*1 4(/,0n(n*( 0u s(in -( l(n*/(4/is(

2V$110 ! CL"SIF 2012 Menaces informatiques
-67me P H La ;estion des risques lis ( la scurit des SI
In=(n*0i/( (* cl0ssi.ic0*ion -(s in.o/,0*ions D s*07ili*1 -(4uis -(uB 0ns
Le nombre dentreprises ralisant linventaire de leur patrimoine informationnel et$ou la classification
des informations est quasiment identique ( celui de 2010) 0sse? souvent ces deu& t67mes sont traits
simultanmentD ce que refl7tent bien les rsultats de lenquBte)
A(e=-(ous in(entori toutes les in.or$ations et leur a(e=-(ous attri2u un propritaire 4
30% 36% 34%
3% Bu 9 en tota" tG 27% Bu 9 en part eG 32% -onG 38%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2010
2012
Bu 9 en tota" t Bu 9 en part e -on -e sa t pas

#i2u/( %' < In=(n*0i/( (* 0**/i7u*ion -un 4/o4/i1*0i/( -(s in.o/,0*ions -( l(n*/(4/is(

Comme lob>ectif de la classification est de dfinir les informations et$ou processus les plus sensiblesD
avec leurs supportsD ces entreprises ont conscience du patrimoine qui participe ( leur prennit) %lles ontD
( prioriD les lments discriminants pour faire le c6oi& des mesures de scurit les mieu& adaptes) Le
nombre de niveau& de sensibilit des informations est ma>oritairement fi& ( #D pour C# U des entreprises)
3our les #Q U de socits qui nont pas ralis de classification de leurs informationsD la question se pose
de savoir sur quels crit7res elles dfinissent le niveau des dispositifs de scurit ( dplo'er M 1ans cette
cat;orieD 2Q U des socits de plus de 1 000 salaris nont en;a; aucune dmarc6e de classification de
leurs informations)
Mais au:del(D si lon consid7re quune classification partielle laisse F des trous dans la raquette GD cela
si;nifie que PO U des entreprises ne peuvent dire avec prcision sur quel prim7tre il est indispensable de
dplo'er des outils en prioritD dau;menter les contrTles ou de renforcer les actions de sensibilisation) Il
peut Btre intressant de rapproc6er ce c6iffre du facteur n`1 de frein ( la conduite de missions scurit
qui est le bud;et H est:ce que les responsables scurit utilisent des ar;uments suffisamment convaincants
dans leur communication vis:(:vis du dcideur bud;taire M
L0n0l)s( -(s /is3u(s (n .o/*( 4/o2/(ssion
Les rsultats de cette anne montrent une forte pro;ression des anal'ses de risques avec une inversion
positive de la rpartition par rapport ( 2010)
-outefoisD seulement 1W U de ces anal'ses prennent en compte le prim7tre complet de lentreprise et
pas uniquement celui des s'st7mes informatiques) La *anque:0ssurance et les Services se positionnent en
premi7re positionD avec 22 U danal'se sur lensemble du prim7tre de lentreprise)
A(e=-(ous ralis une anal8se .or$elle 52ase sur une $t;o%e ou un r.rentiel6 %es risques
lis , la scurit %e l3in.or$ation %e (otre entreprise 4
15% 23% 60% 2%
1% Bu G 19% Bu 9 en part eG 35% -onG 45%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2010
2012

#i2u/( %3 < *ilis0*ion -un( ,1*Ao-( ou un /1.1/(n*i(l 4ou/ /10lis(/ l0n0l)s( -(s /is3u(s

La boucle damlioration de la scurit se met en place peu ( peu avec la mise en Ruvre dun plan
dactions correctif conscutif ( lanal'se de risques) 0insiD C0 U des entreprises a'ant ralis une anal'se
de risqueD totale ou partielleD ont dfini et mis en Ruvre un plan dactions complet damlioration de la
scurit suite au rapport)
%n revanc6eD 1W U des entreprises ne font rien suite ( cette anal'se) 1ans ce casD quel est lob>ectif
rec6erc6 M Sa;it:il de rpondre ( une demande de la directionD une loiD un r7;lement M Cest une piste
possible car les directions daudit interne ou les directions informatiques insistent de plus en plus pour
obtenir un document dapproc6e de mana;ement par les risquesD quels que soient les mtiers de
lentreprise) 3ar ailleursD il arrive aussi que les ressources 6umaines soient insuffisantesD en nombre ou en
comptenceD pour raliser les actions ncessaires)
0ui est en c;ar1e %e l-anal8se %es risques 4 5plusieurs rponses possi2les6
13%
4%
8%
16%
9%
49%
17%
5%
8%
16%
20%
56%
0% 10% 20% 30% 40% 50% 60%
3utre
8e Responsa!" e des
1er% ces AnrauC
Un consu" tant eCterne
8e 2#ef de ,ro(et
.nformat &ue
8e propr ta re de c#a&ue act f
ou pro(et 5en $nra" " e
responsa!" e mt er6
8e R11. ou R1.
2010 2012

#i2u/( %4 < P(/sonn(EsF (n cA0/2( -( l0n0l)s( -(s /is3u(s

Les propritaires des actifs sont nettement plus impliqus dans les anal'ses de risques quen 2010) ,n
peut mBme noter que dans les entreprises de O00 ( WWW salarisD ils sont #0 U ( prendre en c6ar;e cette
mission) Cest un point positifD car cest bien le propritaire de linformation qui conna[t le mieu& les
processus de son mtier et les risques quil redoute)
1ans les entreprises de plus de 1 000 salarisD VP U des /SSI sont en c6ar;e de ce su>et) Ces anal'ses sont
ralises pour 2P U dentre elles en se basant sur les indications de la norme internationale IS, 2P00O et
pour #2 U sur dautres mt6odesD 6ors les mt6odes spcifiques scurit %*I,S JP UL et M%50/I JO UL)

-67me Q H Scurit lie au& /essources 5umaines
L(s cA0/*(s -us02( ou -u*ilis0*ion -u SI ,i(uB 0-o4*1(s
Les deu& derni7res annes nont pas entra[n une forte au;mentation des rdactions de c6artes dusa;e
ou dutilisation du SI H XQ U Jsoit V points de mieu&L des entreprises entre 2010 et 2012 disposent dune
c6arte finale ou en cours dlaboration) 1e mBme quEen 2010D leffet de taille a son importance H la c6arte
est prsente dans QW U des entreprises de plus de 1 000 personnes) %n queue de pelotonD le secteur du
Commerce avec seulement OV U de c6artes formalises)
E<iste-t-il une c;arte %3usa1e ou %3utilisation %u SI , %estination %u personnel %e (otre
entreprise 4
67% 9% 24%
Bu G 75% 7% -onG 18%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2010
2012
Bu 4n cours -on

#i2u/( %! < EBis*(nc( -un( cA0/*( -us02( ou -u*ilis0*ion -u SI

"ne telle c6arte a'ant pour ob>ectif principal de fi&er les r7;les dutilisationD de scurit et les bonnes
pratiques ( respecter par les utilisateursD il est primordial quelle soit approuve par les instances
reprsentatives du personnelD ce qui est le cas de plus de W1 U des entreprises Jcontre QC U en 2010L) %n
effetD les mo'ens de surveillanceD anal'se et contrTles mis en Ruvre par lentrepriseD dans le respect de
la l;islationD sont dtaills dans ce t'pe de document)
+euf entreprises sur di& la communiquent ( lensemble des utilisateurs et OV U la font si;ner par leurs
salarisD ce qui reprsente une au;mentation de 1V points par rapport ( 2010)
P0s 4lus -( 4/o2/0,,(s -( s(nsi7ilis0*ion
Les pro;rammes de sensibilisation ( la scurit de linformation sont tou>ours peu rpandus dans les
entreprises H pr7s de deu& tiers JOP U pas du tout et Q U en coursL dclarent navoir dplo' aucune action
de communication) CependantD ici encoreD les c6iffres montrent que la taille et le secteur dactivit ont
un impact sur le niveau de dploiement) 0insiD CW U des entreprises de plus de 1 000 personnes en
disposent et CO U des entreprises en *anque$0ssurance)
2uant ( lefficacit des pro;rammes de sensibilisation e&istantsD elle nest mesure que par #1 U des
entreprises) "ne comple&it frquemment rencontre par les /SSID qui les pnalise dans le lancement de
tels pro>etsD tant il est parfois difficile den montrer lefficacit ( leur 1irection K
,0is 4lus -( ,o)(ns 3u0n- ils (Bis*(n* >
Les mo'ens les plus utiliss dans le cadre des pro;rammes de sensibilisation sont inc6an;s en 2012 H la
publication $ diffusion dinformations via diffrents supports JIntranetD mailin;D affic6esD etc)L et les
formations priodiques de tout le personnel sont cites par une entreprise sur deu& environ) %n revanc6eD
une tendance claire appara[t par rapport ( 2010 H les pro;rammes de sensibilisationD quand ils e&istentD
stoffent) %n effetD le recours au& diffrents outils est en au;mentation dans tous les cas JO1 U de
Menaces informatiques ! CL"SIF 2012 2W$110
publications vs 1W U en 2010D CC U de sensibilisation priodique vs 1V UD 2V U de sensibilisation de
populations spcifiques vs 1V UL)

0uels sont les $o8ens utiliss pour assurer la sensi2ilisation 4 5plusieurs rponses possi2les6
12%
9%
17%
18%
26%
44%
51%
0% 10% 20% 30% 40% 50% 60%
3utres
Lu K ou &uest onna re " ud &ue sur . ntranet
+p" ants et D $ood es E
1ens ! " sat on des M. , 5+ rect on Anra" e6
Format on dd e ) des popu" at ons spc f &ues
1ens ! " sat on pr od &ue et rcurrente de tout " e
personne"
,u!" cat ons 5. ntranet9 aff c#es9 art c" es9 ma " n$6

#i2u/( %9 < Mo)(ns -( s(nsi7ilis0*ion 5 l0 s1cu/i*1 -( lin.o/,0*ion

D(s 4/oc1-u/(s -( 2(s*ion -(s 0cc+s li1(s 0u ,ou=(,(n* -(s coll07o/0*(u/s
PQ U des entreprises interro;es dclarent disposer dune procdure qui fi&e les r7;les de suppression des
droits dacc7s et de restitution du matriel lors du dpart ou de la mutation des collaborateurs)
E<iste-t-il une proc%ure pour 1rer! en cas %e %part ou $utation %es colla2orateurs! la suppression %e
tous les %roits %3acc9s et la restitution %e tout le $atriel 4
78% 9% 13%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Bu 4n cours -on

#i2u/( %@ < EBis*(nc( -un( 4/oc1-u/( -( su44/(ssion -(s 0cc+s (* -( /(s*i*u*ion -u ,0*1/i(l

0ttention cependant ( linterprtation de ce c6iffre H le&istence dune procdure nindique pas dans
quelle mesure celle:ci est applique sac6ant que lune des difficults iciD avant mBme denvisa;er la
suppression des droits dacc7sD est davoir une vue e&6austive sur ceu& possds par un utilisateur) %t
cest bien souvent l( que le bNt blesse dans le quotidien des entreprises K
#0$110 ! CL"SIF 2012 Menaces informatiques
-67me W H Scurit 36'sique
S1cu/i*1 4A)si3u( D 4(u* ,i(uB .0i/(
LenquBte 2012 sest focaliseD en scurit p6'siqueD sur la prise en compte du c'cle de vie des supports
papier dans la classification des donnes)
2ui dans son entreprise na >amais trouv un document sensible oubli au p6otocopieurD >et ( la poubelle
ou laiss sur un bureau accessible ( c6acun M 0utre e&empleD le rapport daudit confidentielD c6iffr sil
est c6an; par messa;erieD restreint dans sa diffusion lectroniqueD puisS imprim pour travailler plus
facilementD et finalementD encoreD oubli quelque partS
7e c8cle %e (ie %es supports papiers est-il pris en co$pte %ans la classi.ication %es %onnes 4
Bu G 31% 3% -onG 49% 11% 6%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Bu 4n cours -on . " n'7 a pas de c" ass f cat on -e sa t pas

#i2u/( %& < P/is( (n co,4*( -u c)cl( -( =i( -(s su44o/*s 404i(/s -0ns l0 cl0ssi.ic0*ion -(s -onn1(s

Les rponses positives recueillies dans ce t67me sont co6rentes avec celles de la ;estion des biensD pour
les entreprises qui ont ralis une valuation du besoin de protection)
3our CW U des entreprisesD avec une pointe ( OQ U dans le secteur des ServicesD ces supports ne sont pas
int;rs dans la classification) Le score ;rimpe ( V0 U si lon a>oute celles qui ne pratiquent pas du tout la
classification de leurs donnes et supports)
,n le voitD la route est encore lon;ue dans la mise en RuvreD et surtout le contrTleD de bonnes pratiques
qui doivent Btre rappeles r;uli7rement au& salarisD surtout si les informations manipules sont
sensibles H documents sous cl ou bureau fermD mBme pour une courte absenceD indication sur c6aque
document du niveau de sensibilit et$ou de diffusionD utilisation de bro'eurs papiers pour la destruction)

-67me 10 H .estion des oprations et des communications
Ce t67me aborde les lments lis ( la ;estion des oprations et des communications sous # aspects H
la scurisation des nouvelles tec6nolo;iesD
les tec6nolo;ies de protection et de ;estion des vulnrabilitsD
linfo;rance)
Menaces informatiques ! CL"SIF 2012 #1$110
S1cu/is0*ion -(s nou=(ll(s *(cAnolo2i(s
Lvolution de nouvelles tec6nolo;ies connectes au SI se stabiliseD il ' a peu dinnovations Jacc7s distantD
\ifiD smartp6onesD 4oI3L) CependantD ladoption de ces mo'ens de communication continue dvoluer)
0uelle est (otre politique %3acc9s au S8st9$e %-In.or$ation %e l-entreprise 4
12%
5%
6%
17%
29%
2%
2%
9%
4%
1%
2%
8%
7%
24%
19%
24%
35%
38%
51%
58%
47%
47%
31%
37%
77%
84%
75%
70%
43%
30%
46%
38%
43%
49%
69%
61%
14%
9%
2%
6%
3%
1%
2%
1%
64%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2010
2012
2010
2012
2010
2012
2010
2012
2010
2012
2010
2012
2010
2012
U
t
"
s
a
t
o
n
d
e
s

r
s
e
a
u
C
s
o
c
a
u
C
U
t
"
s
a
t
o
n

d
e
m
e
s
s
a
$
e
r
e
s
n
s
t
a
n
t
a
n
e
s
e
C
t
e
r
n
e
s
U
t
"
s
a
t
o
n

d
e
%
o
C

s
u
r

.
,

F
0
"
p
#
o
n
e
s
u
r

.
,
3
c
c
@
s

%
a

d
e
s
,
+
3
9

t
a
!
"
e
t
t
e
s
o
u
s
m
a
r
t
p
#
o
n
e
s
3
c
c
@
s

%
a

u
n
r
s
e
a
u

N
p
r

a
u

s
e
n
d
e
"
'
e
n
t
r
e
p
r
s
e
3
c
c
@
s

)

p
a
r
t
r
d
e

p
o
s
t
e
s

d
e
t
r
a
%
a
"

n
o
n
m
a
O
t
r
s

3
c
c
@
s

a
u

1
.

F
p
o
s
t
e

d
e
t
r
a
%
a
"
n
o
m
a
d
e
f
o
u
r
n
3utor s sans cond t on 3utor s sous cond t on . nterd t -e sa t pas

#i2u/( %" < Acc+s 0u S)s*+,( -6In.o/,0*ion -( l6(n*/(4/is(

n 0cc/oiss(,(n* -u no,0-is,(
Lacc7s nomade au& ressources de lentreprise est de plus en plus ;nralis) La maturit des solutions
tec6nolo;iques de conne&ionD de contrTle des postes nomades et des informations qui transitent
permettent un meilleur contrTle des risques associs) Cest ;alement vrai pour lacc7s au SI depuis un
poste de travail non ma[tris Jacc7s publiqueD ordinateur personnelL qui est de plus en plus autoris)
#2$110 ! CL"SIF 2012 Menaces informatiques
CependantD les informations accessibles par cette mt6ode sontD en ;nralD plus limitesD les
vulnrabilits et menaces en;endres par ce t'pe dacc7s tant plus difficiles ( ma[triser)
Lutilisation du \ifi priv en entreprise diminue) Le&plication peut se trouver dans les faiblesses
dmontres des diffrentes solutions de scurisation standard du \ifi ces derni7res annes)
Les 310D tablettes et smartp6ones connaissent tou>ours une au;mentation importante de leur usa;e H
au>ourd6uiD lacc7s au SI avec ces quipements est autoris dans plus de la moiti des entreprises
interro;es) Ils doivent Btre considrs comme un mo'en ( part enti7re dacc7s au& ressources du SID au
mBme titre que les ordinateurs portables) Les applications accdes sont cependant plus limites H acc7s
au& mailsD ( lannuaire dentreprise) Les menaces identifies sont identiques ( celles de 2010 H politique
de 3I+ ou mot de passe faibleD vol ou perte dinformations confidentiellesD installation dapplications
comportant du code malveillantD etc)
L( -14loi(,(n* -( l0 VoIP *ou;ou/s (n A0uss(.
La maturit et la diversit des solutions proposes au>ourd6ui sur le marc6 font de la 4oI3 et -oI3 des
tec6nolo;ies incontournables de lentreprise) 1e plusD leur dploiement continue de constituer dans
lesprit des entreprises une source dconomie importanteD notamment dans le cas de ;randes entreprises
rparties sur plusieurs continents ou pour des utilisateurs nomades) ,n observe donc une pro;ression
si;nificative de la prise en compte de ces tec6nolo;ies dans la politique de scurit)
L0 ,(ss02(/i( ins*0n*0n1( (* -(s /1s(0uB soci0uB 4(u 0u*o/is1s.
Lutilisation de la messa;erie instantane non fournie par lentreprise JMS+D S@'peD etc)L et des rseau&
sociau& est au>ourd6ui ma>oritairement interdite par les politiques de scurit) Les problmatiques de
scurits lies ( ces tec6nolo;ies sont nombreuses H confidentialitD c6iffrement des c6an;esD
>ournalisation des conversationsD transmission des virusD fuite dinformation) *ien que les menaces
puissent Btre contrTles par des dispositifs de scurit de derni7re ;nration Jfiltra;e protocolaireD
antivirusD 1L3D etc)L elles sont souvent identifies comme tant ( lori;ine du manque de productivit des
utilisateurs)
T(cAnolo2i(s -( 4/o*(c*ion (* -( 2(s*ion -(s =uln1/07ili*1s
Cette anneD le c6oi& a t fait de ne pas positionner les fire\alls rseau& H en effetD les tudes
prcdentes montrent une mise en place s'stmatique) 1e mBmeD les antivirus$antisp'\aresD les pare:feu
personnels et les outils de c6iffrement des donnes locales ont t dcoups en 2 cat;ories H une pour
les 3C portables et lautre pour les 310D smartp6ones et tablettes)
1e faitD cette seconde cat;orie est au>ourd6ui F mal G servieD bien que les 310D smartp6ones et
tablettes soit de plus en plus prsentsD et ce directement via lentreprise ou amen par les utilisateurs
eu&:mBmesD au travers du *=,1S
CTt scurit rseauD les I1S et I3S ont vu leur usa;e cro[tre de #O U et O0 U JX1V points pour les I1S et X1W
points pour les I3SL depuis la derni7re tudeD portant le tau& dquipement des entreprises (
respectivement V2 U et OV U) Ces quipements permettant de dtecter et de bloquer les attaques Jdes
vers par e&empleL en coutant le rseau peuvent Btre de tr7s bons complments ( un fire\all de
prim7tre)
-ou>ours sur le rseauD le +0C J+et\or@ 0ccess ControlL qui e&iste depuis quelques annes pro;resse
lentement JV points de mieu& depuis 2010L) Il faut dire que si la fonction apporte JcontrTler lacc7s
F p6'sique G au rseauL est tr7s intressante dans le conte&te de la scurit primtriqueD la mise en
place reste dlicate)
Menaces informatiques ! CL"SIF 2012 ##$110
0uelles tec;nolo1ies %e scurit utilise=-(ous pour lutter contre les (ulnra2ilits! les intrusions 4
14%
78%
27%
27%
42%
34%
48%
95%
91%
89%
16%
92%
97%
12%
9%
10%
10%
14%
12%
14%
5%
6%
6%
16%
4%
3%
13%
62%
54%
37%
48%
34%
3%
5%
66%
4%
3%
1%
9%
7%
6%
4%
2%
71%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2010
2012
2010
2012
2010
2012
2010
2012
2010
2012
2010
2012
2010
2012
2010
2012
2010
2012
2010
2012
,
a
r
e
I
f
e
u

s
u
r
,
+
3
9
s
m
a
r
t
p
#
o
n
e
e
t

t
a
!
"
e
t
t
e
s
,
a
r
e
I
f
e
u

s
u
r
,
2

p
o
r
t
a
!
"
e
,
a
r
e
I
f
e
u
p
e
r
s
o
n
n
e
"
1
o
n
d
e
s

d
e
p
r
%
e
n
t
o
n
d
'
n
t
r
u
s
o
n
s
5
.
,
1
6
1
o
n
d
e
s

d
e
d
t
e
c
t
o
n
d
'
n
t
r
u
s
o
n
s
5
.
+
1
6
,
a
r
e
I
f
e
u
r
s
e
a
u
3
n
t
I
s
p
a
m
3
n
t
I
%
r
u
s

F
a
n
t
I
m
a
"
P
a
r
e

s
u
r
,
+
3
9
s
m
a
r
t
p
#
o
n
e
e
t

t
a
!
"
e
t
t
e
s
3
n
t
I
%
r
u
s

F
a
n
t
I
m
a
"
P
a
r
e

s
u
r
,
2

p
o
r
t
a
!
"
e
s
3
n
t
I
%
r
u
s

F
a
n
t
I
m
a
"
P
a
r
e
Usa$e $nra" s Usa$e part e" -on ut " s -e sa t pas

#i2u/( 'C - T(cAnolo2i(s -( s1cu/i*1 G lu**( 0n*i=i/0l(8 0n*i-in*/usion8 2(s*ion -(s =uln1/07ili*1s E%G'F

#C$110 ! CL"SIF 2012 Menaces informatiques
0uelles tec;nolo1ies %e scurit utilise=-(ous pour lutter contre les (ulnra2ilits! les intrusions 4
9%
14%
23%
29%
23%
33%
30%
26%
9%
25%
17%
37%
40%
5%
6%
12%
12%
12%
19%
23%
26%
11%
18%
22%
19%
15%
52%
51%
52%
48%
44%
45%
77%
54%
54%
38%
39%
12%
19%
13%
8%
13%
3%
3%
3%
3%
7%
6%
6%
74%
61%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2010
2012
2010
2012
2010
2012
2010
2012
2010
2012
2010
2012
2010
2012
2010
2012
+
8
,

5
+
a
t
a
8
e
a
:
,
r
o
t
e
c
t
o
n
6
-
3
2

5
-
e
t
P
o
r
:
3
c
c
e
s
s
2
o
n
t
r
o
"
6
B
u
t
"
s

d
e
c
o
n
t
r
=
"
e
s

d
e
s
p
p
#
&
u
e
s
5
c
"
s

U
1
/
9

e
t
c
H
6
B
u
t
"
s

d
e
c
#
f
f
r
e
m
e
n
t
p
o
u
r

"
e
s
c
#
a
n
$
e
s
B
u
t
"
s

d
e
c
#
f
f
r
e
m
e
n
t
s
u
r

,
+
3
9
s
m
a
r
t
p
#
o
n
e
s
e
t

t
a
!
"
e
t
t
e
s
B
u
t
"
s

d
e
c
#
f
f
r
e
m
e
n
t
s
u
r

,
2
p
o
r
t
a
!
"
e
B
u
t
"
s

d
e
c
#
f
f
r
e
m
e
n
t
d
o
n
n
e
s
"
o
c
a
"
e
s
B
u
t
"
s

d
e
c
e
n
t
r
a
"
s
a
t
o
n
e
t

d
<
a
n
a
"
7
s
e
d
e

(
o
u
r
n
a
u
C
d
e

s
c
u
r
5
1
.
4
M
6

#i2u/( '% - T(cAnolo2i(s -( s1cu/i*1 G lu**( 0n*i=i/0l(8 0n*i-in*/usion8 2(s*ion -(s =uln1/07ili*1s E'G'F

Les SI%M JSecurit' Information and %vent Mana;ementL permettent de savoir ce qui se passe sur le rseau
de lEentreprise en rationalisant les >ournau& dun ;rand nombre dquipements) Ils correspondent donc (
un besoin de contrTle a posterioriD qui peut rpondre ( une problmatique >uridiqueD tec6niqueD de
supervision JalertesL ou de planification Jpar le biais des rapports ( lon; termeL) Les SI%M restent des
produits difficiles ( mettre en place et on voit queD mal;r lintrBt des ces tec6nolo;iesD le tau&
dquipement tend ( nau;menter que tr7s peu pour atteindre OO U des entreprises dont 1O U la'ant
dplo' sur un prim7tre restreint)
Le contrTle des prip6riques permet de limiter ( la fois les risques dinfection virale Jpar cl "S* par
e&empleL et les fuites de donnes) Ces solutions restent problmatiques ( mettre en place du fait de la
limitation fonctionnelle quelles imposent car lusa;e des prip6riques amovibles fait au>ourd6ui partie
int;rante de la faon de travailler dans de nombreuses or;anisations) Le tau& dquipement constat
Menaces informatiques ! CL"SIF 2012 #O$110
montre dailleurs une relative sta;nation avec une l;7re au;mentation du total dentreprises quipes
JO0 UL mais une baisse de celles en faisant un usa;e ;nralis J## U contre #P U lors de la derni7re
tudeL)
1erni7re tec6nolo;ie sur le marc6D le 1L3 J1ata Lea@ 3rotectionL est conu pour contrTler le flu& de
donnes au& fronti7res de lentreprise etD plus prcismentD se prmunir contre la fuite dinformations) Le
niveau dquipement reste encore faible J20 UD XV points par rapport ( 2010LD mais il faut dire que la
tec6nolo;ie est encore rcente et que les produits adressant lensemble des portes de sortie du prim7tre
de lentreprise Jpasserelles mail et 8ebD postes de travailD supports amoviblesD etc)L sont encore rares)
In.o21/0nc(
Il semble que les entreprises soient encore frileuses ( lide de dl;uer la ;estion dune partie de leur SI
( une autre socit) %ntre 2010 et 2012D la part de&ternalisation des SI des entreprises na pas beaucoup
pro;ressD passant de 10 U ( 12 U)
A(e=-(ous plac tout ou partie %e (otre s8st9$e %-in.or$ation sous contrat %-in.o1rance 4
9%
12%
25% 63% 3%
1%
2%
10%
Bu en part eG 27%
25%
-onG 59%
64%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2008
2010
2012
Bu en tota" t Bu en part e -on -e sa t pas

#i2u/( '' < P0/* -(s SI sous con*/0* -in.o21/0nc(

3armi les entreprises qui ont e&ternalis tout ou partie de leur SID le suivi par des indicateurs de scurit
na pas pro;ress non plusD pireD il a r;ress JOW U vs VV U en 2010L) MBme constat pour les audits des SI
info;rs H on passe de 2Q U en 2010 ( #1 U seulement en 2012)
Cela pourrait:il se&pliquer par les renouvellements de contrats pour les mBmes prestatairesD en qui les
entreprises ont d>( confiance ou serait:ce plus simplement li ( des probl7mes de bud;ets M
5Si in.o1rance6 E<erce=-(ous un sui(i r1ulier %e cette in.o1rance par %es in%icateurs %e
scurit 4
58% 38% 4%
Bu G 59%
66% 30%
-on G 37%
4%
4%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2008
2010
2012
Bu -on -e sa t pas

#i2u/( '3 - Sui=i -( lin.o21/0nc( 40/ -(s in-ic0*(u/s -( s1cu/i*1

#V$110 ! CL"SIF 2012 Menaces informatiques
5Si in.o1rance6 E..ectue=-(ous ou .aites-(ous e..ectuer %es au%its sur cette in.o1rance
5scurit tec;nique %es $atriels! scurit %es in.or$ations trans$ises ou stoc>es!
continuit %3acti(it! etc?6 4
58% 39% 3%
5%
4%
28%
Bu G 31% ,onctue" " ementG 32%
24%
-onG 33%
43%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2008
2010
2012
Bu 9 au mo ns une fo s par an ,onctue" " ement -on -e sa t pas

#i2u/( '4 < R10lis0*ion -0u-i* su/ lin.o21/0nc(

Il semble que le Cloud Computin; Jinformatique dans les nua;esL ne soit pas encore un service tr7s
demand H seules 1C U des entreprises lutilisent) Il sa;it pour VV U dentre eu& de Clouds privsD 20 U
sont des Clouds publics et le reste sont 6'brides)
A(e=-(ous recours , %es ser(ices en #lou% 4
Bu G 14% 3% -onG 80% 3%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Bu 4n cours -on -e sa t pas

#i2u/( '! < P0/* -u SI -0ns l( Clou- Co,4u*in2

La problmatique de la scurit des donnes Jpas de contrTle direct et permanent sur le lieu p6'sique
d6ber;ementD pas tou>ours de visibilit sur lapplication des procdures de scurit de lentrepriseD
etc)L et des lois et r;lementations JC+ILD /.SD etc)LD sont au>ourd6ui parmi les freins les plus prsents
quant ( une utilisation du Cloud Computin; plus lar;ie)

L(s ,o)(ns n1c(ss0i/(s 0uB con*/Hl(s -0cc+s 40s (nco/( 0u /(n-(I-=ous
Lau;mentation ;lobale en mati7re dutilisation et de ;estion des tec6nolo;ies de contrTle dacc7s en
2012 reprsente ( peine 2 points de plus quen 2010)
La volont de promouvoir les solutions SS, et 8eb SS, fait son c6emin) 1e plus en plus de nouvelles
solutions sont mises ( disposition des entreprises et le marc6 est maintenant mature a pourtant les
implmentations ne sont pas encore au rende?:vous)
Les tendances de lusa;e ;nralis des tec6nolo;ies de contrTle dacc7s lo;ique pour 2012 sont
prsentes dans le tableau suivant)

Menaces informatiques ! CL"SIF 2012 #P$110
T(cAnolo2i(s -( con*/Hl(
-0cc+s lo2i3u(
O7s(/=0*ions
T(n-0nc(
'C%' =s 'C%C
Le 3rovisionnin; Jcration $
suppression automatique des
comptes et droitsL
3eu de confiance dans lautomatisation de la ;estion
des comptes
X1 pt
Les 8or@flo\s dEapprobation
des 6abilitations
3as de dploiement massif par les entreprisesD
difficult d6armoniser les mod7les d6abilitation
X# pt
Les Mod7les d6abilitation sur
base de profils $ rTle mtier
La ma[trise des droits par rTle ou par profil mtier est
comple&e ( appliquer dans un sc6ma ;lobal
d6abilitation car la d'namique actuelle des
entreprises rend difficile une ;estion centralise de ces
mod7les
:1 pt
Le 8eb SS,
La maturit et lvolution des solutions commencent (
mettre en confiance les entreprises
X# pt
Le SS, JSin;le Si;n ,nL
Les solutions SS, int;res au& applications d>( en
place ne pro;ressent plusD lvolution va vers le 8eb
SS,
:C pt
La *iomtrie
*ien que les nouvelles tec6nolo;ies nous apportent plus
de robustesse et de traabilit pour le contrTle
dacc7sD une lt6ar;ie sest instaure dans les
entreprises
0
LEaut6entification par
certificat lectronique
lo;iciel
"ne pro;ression notable montre lintrBt dutilisation
des 3bI ou I.C J3ublic be' Infrastructure ou
Infrastructure de .estion de Cls publiquesL pour les
applications en acc7s 8eb scuriss
XP pt
LEaut6entification forte par
certificat lectronique sur
support matriel Jcarte (
puce ou cl ( puceL
Lusa;e des supports matriels Jcls "S*D cartes (
puceL est en au;mentationD laspect pratique sadapte
parfaitement ( une volution de plus en plus prsente
vers le nomadisme
XC pt
LEaut6entification forte par
calculette ( mot de passe non
re>ouable
Lapport des tec6nolo;ies et des facilits de
dploiement rendent la fonction ,-3 J,ne -ime
3ass\ord ^ mot de passe ( usa;e uniqueL plus
accessible pour les entreprises
XC pt

#Q$110 ! CL"SIF 2012 Menaces informatiques
0uelles sont les tec;nolo1ies %e contr@le %-acc9s lo1ique que (ous a(e= %plo8es 4
8%
11%
21%
17%
18%
19%
18%
22%
26%
25%
3%
3%
13%
17%
7%
11%
19%
26%
16%
12%
16%
17%
10%
18%
12%
18%
12%
20%
16%
13%
17%
18%
23%
26%
25%
36%
62%
65%
70%
61%
68%
56%
60%
49%
81%
83%
70%
64%
68%
61%
54%
37%
1%
3%
1%
1%
2%
2%
2%
4%
2%
6%
1%
1%
2%
2%
2%
1%
75%
74%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2010
2012
2010
2012
2010
2012
2010
2012
2010
2012
2010
2012
2010
2012
2010
2012
2010
2012
N
e
!

1
1
B
1
1
B

5
1
n
$
"
e
1
$
n

B
n
6
,
r
o
%
o
n
n
n
$
5
c
r
a
t
o
n

F
s
u
p
p
r
e
s
s
o
n
a
u
t
o
m
a
t
&
u
e
d
e
s

c
o
m
p
t
e
s
e
t

d
r
o
t
s
6
N
o
r
:
f
"
o
P
s
d
<
a
p
p
r
o
!
a
t
o
n
d
e
s
#
a
!
"
t
a
t
o
n
s
M
o
d
@
"
e
s
d
<
#
a
!
"
t
a
t
o
n
s
u
r

!
a
s
e

d
e
p
r
o
f
"
s

F

r
=
"
e
m
e
r
3
u
t
#
e
n
t
Q
!
o
m
t
r
&
u
e
3
u
t
#
e
n
t
Q

p
a
r
m
o
t

d
e

p
a
s
s
e
n
o
n

r
e
I
(
o
u
a
!
"
e
3
u
t
#
e
n
t
Q

p
a
r
c
e
r
t
c
a
t
"
e
c
t
r
o
n
&
u
e
s
u
r

s
u
p
p
o
r
t
m
a
t
e
"
3
u
t
#
e
n
t
Q

p
a
r
c
e
r
t
c
a
t
"
e
c
t
r
o
n
&
u
e
"
o
$
e
"

#i2u/( '9 - T(cAnolo2i(s -( con*/Hl( -60cc+s lo2i3u( -14lo)1(s (n (n*/(4/is(
Menaces informatiques ! CL"SIF 2012 #W$110
,0is un( 2(s*ion -(s co,4*(s 3ui s0,1lio/( n(**(,(n* >
Les entreprises mettent en Ruvre une vritable ;estion des comptes utilisateurs ( VC UD au travers de
procdures formelles de crationD modification et suppression de comptes utilisateurs nominatifs) Ce
c6iffre monte mBme ( PO U dans la *anque$0ssuranceD preuve sil en est de la maturit de ce secteur)
-outefoisD lorsque cette procdure e&isteD elle ne concerne pas les F administrateurs G dans 20 U des cas)

E<iste-t-il une proc%ure .or$elle %e cration! $o%i.ication et suppression %e co$ptes utilisateurs
no$inati.s 5pas 1nriques6 4
Bu 9 en tota" tG 64% 18% -onG 17% 1%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

#i2u/( '@ < Mis( (n 4l0c( -( 4/oc1-u/(s -( 2(s*ion -(s co,4*(s u*ilis0*(u/s

%nfinD la mise en place de r7;les de constitution et de premption des mots de passe r;resse l;7rement
JQ0 U vs Q2 U en 2010L) Ici aussiD le bon l7ve est la *anque$0ssuranceD avec W# U)
Des r91les %e constitution et %e pre$ption %es $ots %e passe e<istent-t-elles pour toutes les
acc9s 4
63% 19% 18%
Bu 9 pour tousG 61% 19% -onG 20%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2010
2012
Bu 9 pour tous Bu 9 pour certa ns -on

#i2u/( '& < Mis( (n 4l0c( -( /+2l(s -( cons*i*u*ion (* -( 41/(,4*ion -(s ,o*s -( 40ss(

-67me 12 H 0cquisitionD dveloppement et maintenance
V(ill( (* 40*cA ,0n02(,(n* (n /12/(ssion >
Les applicationsD quelles soient directement dveloppes en interne ou via des prestatairesD voire
acquises F sur ta;7re G Jpro;icielsL se doivent dBtre r;uli7rement surveilles du point de vue de la
scurit) Les vulnrabilits tant monnaie couranteD il convient de mettre en place une veille et des
processus de mise ( >our particuliers)
La veille en vulnrabilits est tou>ours prsenteD bien que nvoluant pas ou peu dans les pratiques) Il
reste quand mBme un bon tiers des entreprises qui nassure aucune veille K

C0$110 ! CL"SIF 2012 Menaces informatiques
:alise=-(ous une (eille per$anente en (ulnra2ilits et en solutions %e scurit 4
21% 38% 38% 3%
1%
1% Bu G 32%
34% 37%
Bu en part eG 34%
28%
-onG 33%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2008
2010
2012
Bu 9 s7stmat &uement Bu en part e -on -e sa t pas

#i2u/( '" < V(ill( (n =uln1/07ili*1s (* (n solu*ions -( s1cu/i*1

1e mBmeD apr7s plusieurs annes dau;mentation r;uli7reD la formalisation des procdures
oprationnelles de mise ( >our estD en 2012D en r;ression)
A(e=-(ous .or$alis %es proc%ures %e %ploie$ent %e correcti.s %e scurit 5patc;
$ana1e$ent6 4
48% 51% 1%
64%
Bu G 59% -onG 39%
35%
2%
1%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2008
2010
2012
Bu -on -e sa t pas

#i2u/( 3C - #o/,0lis0*ion -(s 4/oc1-u/(s -( -14loi(,(n* -( co//(c*i.s -( s1cu/i*1

3ar ailleursD le dlai ncessaire pour dplo'er les correctifs en cas de menace ;rave reste ma>oritairement
F dans la >ourne G JOQ UD X# points vs 2010LD puis Ydans l6eure J21 UD :# points vs 2010L)
Concernant les dveloppementsD peu de socits J20 UD idem 2010L dclarent mettre en Ruvre des c'cles
de dveloppements scuriss) 3armi les entreprises a'ant mis en place un c'cle scurisD C# U utilisent
S1LC JX# U vs 2010LD C1 U appliquent des F bonnes pratiques pra;matiques GD le reste se rpartit sur
diverses mt6odes F formelles G JI+C0SD ,80S3 CL0S3D Ci;ital 1SLD etc)L)

-67me 1# H .estion des incidents ^ Sinistralit
P0s -( /1(l 4/o2/+s -0ns l0 2(s*ion -(s inci-(n*s -( s1cu/i*1
Ces deu& derni7res annes marquent un palier dans la ;estion des incidents de scurit par les
entreprises) %n 2012D O# U JX1 point vs 2010L dentre elles ont une cellule Jddie ou parta;eL ( la
;estion de ces incidents de scurit)
Menaces informatiques ! CL"SIF 2012 C1$110
E<iste-t-il une cellule %e collecte et %e traite$ent %es inci%ents %e scurit 4
13% 26% 59% 2%
2%
2%
20%
Bu 9 ce" " u" e dd eG
24%
Bu 9 ce" " u" e
parta$eG 29%
32%
-onG 45%
46%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2008
2010
2012
Bu 9 ce" " u" e dd e Bu 9 ce" " u" e parta$e -on -e sa t pas

#i2u/( 3% < EBis*(nc( -un( c(llul( -( coll(c*( (* -( */0i*(,(n* -(s inci-(n*s -( s1cu/i*1

,n note toutefois une pro;ressionD in;ale selon les secteursD du nombre de cellules ddies J2C U en
2012D XC points vs 2010L)
(* *ou;ou/s 0ussi 4(u -( -14H*s -( 4l0in*(s >
"ne tou>ours Jtr7sL faible proportion dentreprises se tourne vers le dpTt de plainte JV UD :1 point vs
2010L) %n effetD rien nobli;e au>ourd6ui une entreprise ( dposer plainte suite ( un incident de scurit
etD dEautre partD celui:ci comporte un risque datteinte ( lima;e)
Au cours %e l3anne passe! (otre entreprise a-t-elle %pos %es plaintes suite , %es inci%ents
lis , la scurit %e l3in.or$ation 4
6% 91% 3%
5%
6% -onG 90%
90%
4%
5%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2008
2010
2012
Bu -on -e sa t pas

#i2u/( 3' < D14H*s -( 4l0in*(s sui*( 5 -(s inci-(n*s li1s 5 l0 s1cu/i*1 -( lin.o/,0*ion

n( 4(/c(4*ion ,0ni.(s*(,(n* -i..1/(n*( -(s inci-(n*s /(ncon*/1s
Les t'pes dincidents rencontrs par les entreprises connaissent des tau& beaucoup plus faibles que les
annes prcdentes) Il est vraisemblable que leur perception ait volu sur ces su>ets Jbien que leur
or;anisation dans la ;estion des incidents nait pas beaucoup c6an;L) Lordre dimportance des
diffrentes cat;ories dincidents a ainsi peu voluD mBme si on note une forte baisse des erreurs
dutilisation J1P UD :2W points soit :V# U vs 2010L proportionnellement au& autres cat;ories)
Les infections par virus restent tou>ours la premi7re source dincidents dori;ine malveillante pour les
entreprises J1#DP incidents de scurit dI ( des virusLD loin devant les vols ou disparition de matriel J#DPL)
1u cTt des incidents dori;ine non malveillanteD on retrouve les erreurs dutilisation JPD1LD suivies des
erreurs de conception JODWL)

C2$110 ! CL"SIF 2012 Menaces informatiques
Au cours %e l3anne prc%ente! (otre or1anis$e a-t-il su2i %es inci%ents %e scurit %e l3in.or$ation
conscuti.s ,/
4%
4%
8%
3%
3%
4%
6%
9%
24%
46%
37%
40%
44%
45%
1%
1%
2%
2%
3%
3%
3%
4%
10%
17%
19%
23%
25%
26%
0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 50%
actes de c#anta$e ou
d'eCtors on nformat &ue
sa!ota$es p#7s &ues
d %u" $at ons
ntrus ons sur " es
s7st@mes d' nformat on
actes de dn $rement
ou d'atte nte ) " ' ma$e
fraudes nformat &ues
ou t" com
acc dents p#7s &ues
atta&ues " o$ &ues c !" es
%nements nature" s
erreurs de concept on
erreurs d'ut " sat on
%o" s F d spar t ons de matr e"
nformat &ue ou t" com
nfect ons par % rus sans
*tre spc f &uement % s
pannes d'or $ ne nterne
pertes de ser% ces essent e" s
2010 2012

#i2u/( 33 < T)4olo2i( -(s inci-(n*s -( s1cu/i*1

Menaces informatiques ! CL"SIF 2012 C#$110
n i,40c* .in0nci(/ *ou;ou/s 4(u 4/is (n co,4*(
%nfinD limpact financier des incidents est tou>ours aussi peu souvent valu H 1C U J:2 points vs 2010L
lvaluent F s'stmatiquement G et 2O U Jidem 2010L F parfois G) Si lon enl7ve les O U qui F ne savent
pas GD il reste donc OO U des entreprises qui nvaluent >amais cet impact)
Les /SSI devraient ' rflc6irD afin de les aider dans la capacit ( F vendre G la SSI ( leurs 1irections
.nrales)

-67me 1C H .estion de la continuit dactivit
In*1/J* 4ou/ l(s sc1n0/ii -in-is4oni7ili*1 -( l(u/s .ou/niss(u/s (ss(n*i(ls
"n peu moins dun tiers des entreprises ne prennent pas en compte la continuit dactivit) Ceci reste
relativement stable au re;ard des rsultats de ltude ralise en 2010)
Sans surpriseD lindisponibilit des F s'st7mes informatiques G reprsente le scnario le plus couvert
JOW UL) Il est intressant de noter que moins dune entreprise sur deu& prend en considration le scnario
dindisponibilit de ses locau& pourtant >u; comme un scnario traditionnel)
Cette anneD notre enquBte sEintresse ( lindisponibilit des collaborateurs) #Q U couvrent ce scnario
J;rippeD ;r7veD etc)L et dmontrent une prise de conscience qui sera ( suivre dans les proc6aines annes)
Lindisponibilit dun fournisseur essentiel est aussi une nouveaut de cette tude) Il fait apparaitre quun
quart des intervie\s prend en compte dsormais ce scnario) Il semble donc que les entreprises
commencent ( contrTler que leurs prestataires >u;s F essentiels G disposent eu&:mBmes de processus de
continuit dactivit)
7a 1estion %e la continuit %3acti(it %ans (otre entreprise cou(re-t-elle les scnarii sui(ants 4
5plusieurs rponses possi2les6
26%
38%
45%
59%
31%
0% 10% 20% 30% 40% 50% 60% 70%
. nd spon ! " t d<un fourn sseur essent e"
. nd spon ! " t des ressources #uma nes
5co" " a!orateurs6
. nd spon ! " t des " ocauC
. nd spon ! " t des s7st@mes nformat &ues
3ucun processus m s en p" ace

#i2u/( 34 < Sc1n0/ii cou=(/*s 40/ l0 2(s*ion -( l0 con*inui*1 -0c*i=i*1

#o/*( 4/o2/(ssion -( l0 4/is( (n co,4*( -(s (Bi2(nc(s ,1*i(/s
La question formule dans ltude 2012 sur lvaluation des e&i;ences mtiers des entreprises dans le
cadre dun *I0 J*ilan dEImpact sur l0ctivitL prsente des rsultats en forte 6ausse par rapport au&
rsultats de 2010) %n effetD on note une forte pro;ression de 2# ( O2 U des entreprises qui ont valu leurs
e&i;ences mtiers Jles O2 U incluant les W U de celles qui affirment Btre en train de le faireL)
Les rsultats prsents semblent plus co6rents que ceu& de 2010 au re;ard des scnarios de couvertures
et prouvent que les entreprises commencent ( adresser la ;estion de la continuit dactivit avec laide
dun *I0)
CC$110 ! CL"SIF 2012 Menaces informatiques
A(e=-(ous (alu les e<i1ences A Btiers C en ter$es %e Dlai Ba<i$al %3Interruption
A%$issi2le 5DBIA ou :TD6 et %e &erte %e Donnes Ba<i$ale A%$issi2le 5&DBA ou :&D6
%ans le ca%re %3un BIA 5Bilan %3I$pact sur l3Acti(it6 .or$el 4
23% 72% 5%
6% Bu G 43% 9% -onG 42%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2010
2012

#i2u/( 3! < R10lis0*ion -un KIA .o/,(l 4ou/ 1=0lu(/ l(s i,40c*s L M1*i(/s M

n( insu..is0nc( 0u ni=(0u -(s *(s*s 3ui 4(/-u/( .
La dissociation effectue volontairement cette anne entre -ests "tilisateur et -ests Informatique montre
des rsultats sensiblement quivalents)
Il subsiste encore 12 U de personnes qui ne savent pas rpondre ( la question sur le test utilisateur) 3lus
surprenantD W U ne savent pas non plus rpondre sur le volet informatique)
3r7s de C0 U des entreprises ne testent >amais ou moins dune fois par an leur 3C0 que ce soit sur le volet
"tilisateur ou celui de lInformatique)
,rD un 3C0 non test Jou insuffisamment testL donne lillusion dune couverture mais en cas dactivationD
il aura peu de c6ance datteindre les ob>ectifs fi&s)
Seulement 11 U des entreprises effectuent des tests plusieurs fois c6aque anne) %sprons que dans les
annes ( venir ce dernier pourcenta;e voluera ( la 6ausse) /appelons en effet que seuls les tests
permettent de sassurer que les processus de continuit dactivit mis en place sont oprationnels)

A quelle .rquence les plans %e secours 5utilisateurs et in.or$atiques6 sont-ils tests 4
26% 11%
13%
5%
5%
12%
8% >ama s G 26% R1 F anG 13%
13%
Une fo s par anG 35%
33%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
0est
ut " sateur
0est
nformat &ue
>ama s Mo ns d<une fo s par an Une fo s par an
," us eurs fo s par an 8ors de c#an$ement5s6 mportant5s6 -1,

#i2u/( 39 < #/13u(nc( -(s *(s*s -( s(cou/s

Enco/( -(s (..o/*s 5 .0i/( (n 2(s*ion -( c/is(
3r7s de la moiti des entreprises JCV UL nEont pas de processus formalis de ;estion de crise K C2 U
consid7rent disposer dune cellule de crise oprationnelle JCC,L et seulement #Q U dentre elles dune
cellule de crise dcisionnelle JCC1L) Le rpondant a:t:il bien interprt la diffrence entre ces deu&
cellules bien distinctes lune de lautre M
3our rappel H la CC, fait ltat des lieu&D activeD coordonneD contrTle la bonne e&cution des tNc6es du
3C0D centralise les informationsD anal'se et traite les imprvusD ralise les s'nt67ses davancement et
Menaces informatiques ! CL"SIF 2012 CO$110
recommandations da>ustements strat;iques ( destination de la CC1) Celle:ciD quant ( elleD ;7re
larbitra;e des dcisions strat;iquesD la ;estion des imprvus et la coordination de la communication)
Lautre point surprenant des rponses concerne le faible quipement en salle de ;estion de crise comme
en processus descalade JoutilsL) 1ans les annes ( venirD les entreprises vont devoir prendre conscience
de la ncessit de disposer dune ;estion de crise etD de plusD de squiper de mo'ens affrents pour une
meilleure efficacit)
7a 1estion %e crise %ans (otre entreprise co$pren%-elle 4 5plusieurs rponses possi2les6
18%
29%
38%
42%
46%
0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 50%
Une sa" " e de $est on de 2r se &u pe
Un ,rocessus d<esca" ade 5out " s6
2e" " u" e de 2r se +c s onne" " e
2e" " u" e de 2r se Bprat onne" " e
,as de $est on de cr se forma" se

#i2u/( 3@ < Con*(nu -(s 4/oc(ssus -( 2(s*ion -( c/is(

Ce t67me aborde les lments lis ( la conformit sous # aspects H
la conformit avec la loi F Informatique et Liberts GD
laudit des S'st7mes dInformationD
lutilisation de tableau de bord)
Con.o/,i*1 0=(c l0 loi L In.o/,0*i3u( (* Li7(/*1s M
Z QQ U Jidem 2010LD les entreprises se dclarent en conformit avec les obli;ations de la C+IL) Ces bons
rsultats mritent nanmoins dBtre nuancs par la relative faible proportion dentreprises a'ant dsi;n
un Correspondant Informatique et Libert JCILL tel que dfini par la C+IL)
%n effetD mBme sil est remarquable de noter que les c6iffres pro;ressent de #1 U par rapport ( 2010 JX10
pointsLD moins de la moiti des entreprises a dsi;n un CIL Jpour C2 U dentre ellesL) +ul doute que
lau;mentation du nombre de contrTles par la C+IL pour apprcier lefficacit du CIL a port ses fruitsD
toutefoisD des pro;r7s sont encore possibles)
CV$110 ! CL"SIF 2012 Menaces informatiques
+otre entreprise $et-elle en place un #orrespon%ant In.or$atique et 7i2ert tel que %.ini par la #NI7 4
-onG 42%
-onG 34%
6%
11%
Bu 9 c'est d() fa tG
42%
32%
10%
4% 11%
10%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2010
2012
Bu 9 c'est d() fa t Bu 9 c'est pr%u 5" a dc s on est pr se6
2'est ) " 'tude 5" a rf" eC on est en cours6 -on
-e sa t pas

#i2u/( 3& < EBis*(nc( -un Co//(s4on-0n* In.o/,0*i3u( (* Li7(/*1

CTt secteurs dactivitD la *anque$0ssurance est lar;ement en tBte avec V# UD suivie du Commerce
JCQ ULD alors que lIndustrie:*-3 ferme la marc6e avec #C U)
L(s 0u-i*s
Sur une priode de deu& ansD deu& tiers des entreprises interro;es ont ralis au moins un audit ou
contrTle de scurit du S'st7me dInformation par an Jc6iffres ;lobalement quivalents ( ceu& de 2010L)
#o$2ien %-au%its %e scurit %u SI sont-ils $ens en $o8enne par an 4
5% 54% 35% 6%
4%
5% S5G 8%
8% 63%
+e 1 ) 5 par anG 66%
25%
3ucunG 21%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2008
2010
2012
," us de 5 par an +e 1 ) 5 par an 3ucun -e sa t pas

#i2u/( 3" < No,7/( -60u-i*s -( s1cu/i*1 -u SI /10lis1 (n ,o)(nn( 40/ 0n
Menaces informatiques ! CL"SIF 2012 CP$110
Ces audits sont dclenc6s principalement par respect de la 3SSI Jpour CO U des entreprises sondesL) 1e
mBmeD la conformit avec des e&i;ences contractuelles ou r7;lementaires Jdans #W U des casLD ou le
contrTle de tiers JassurancesD clientsLD sont des sources de motivations pour mener des audits) 3ar
ailleursD il est ( noter que par rapport ( 2010D les entreprises dclenc6ent moins dEaudits en raction ( un
incident J#0 U en 2010 vs 1C U en 2012L) Les audits font partie int;rante du processus de mana;ement de
la scurit des S'st7me dInformation)
0uels t8pes %-au%its ou contr@les %e scurit sont $ens au sein %e (otre entreprise 4
22%
13%
46%
48%
53%
5%
4%
43%
60%
59%
6%
4%
62%
64%
70%
0% 10% 20% 30% 40% 50% 60% 70% 80%
-e sa t pas
3utres
0ests d' ntrus on rseauC
Mr f cat on des conf $uI
rat ons tec#n &ues
Mr f cat on de " 'or$an saI
t on et des procdures
2008 2010 2012

#i2u/( 4C < T)4(s -60u-i*s ou con*/Hl(s -( s1cu/i*1 /10lis1s

3our la premi7re foisD les audits et contrTles orients par les aspects or;anisationnels de la SSI arrivent en
tBte)
L(s *07l(0uB -( 7o/- -( s1cu/i*1
"ne lar;e proportion dentreprises JPW UL ne mesure pas r;uli7rement son niveau de scurit lie (
linformation)
+otre entreprise a-t-elle $is en place un ta2leau %e 2or% %e la scurit %e l-in.or$ation 4
Bu G 15% -onG 79% 6%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Bu -on -e sa t pas

#i2u/( 4% < Mis( (n 4l0c( -( *07l(0uB -( 7o/- -( l0 s1cu/i*1 -( l6in.o/,0*ion

Les tableau& de bords sont en premier lieu destins au& oprationnelsD puis au /SSI et enfin au& 1irections
.nrales) Ces derni7res sont finalement les moins bien informes en mati7re de scurit de
linformation H il ' a l( une source damlioration pour les /SSI)
CQ$110 ! CL"SIF 2012 Menaces informatiques
Si ta2leau %e 2or%! %e quels t8pes sont-ils 4
8%
37%
47%
60%
0% 10% 20% 30% 40% 50% 60% 70%
-e sa t pas
1trat$ &ue 5+ rect on Anra" e9 2od r6
, " ota$e 5fonct ons 11. 6
Bprat onne" 5product on9 mt er6

#i2u/( 4' < Mis( (n 4l0c( -( *07l(0uB -( 7o/- -( l0 s1cu/i*1 -( l6in.o/,0*ion

Les indicateurs inclus dans le tableau de bord voluent K *ien entenduD les aspects tec6niques restent
prsents Jnombre dEincidents sur une priodeD vulnrabilits dtectesD etc)L mais les t67mes
or;anisationnels sont ;alement bien reprsents mal;r uner;ression par rapport ( 2010L H
conformit avec la politique de scuritD
impacts directs et indirects des incidents de scuritD
conformit avec les normesD
valuation des risques mtierD
etc)
Cest le si;ne dune certaine maturitD pour les 1O U dentreprises qui formalisent des tableau& de bord)
Menaces informatiques ! CL"SIF 2012 CW$110
Si ta2leau %e 2or%! quels t8pes %-in%icateurs 8 sont sui(is 4 5plusieurs rponses possi2les6
16%
37%
39%
66%
35%
50%
45%
36%
44%
56%
70%
63%
15%
16%
23%
27%
31%
33%
37%
37%
42%
46%
57%
70%
0% 10% 20% 30% 40% 50% 60% 70% 80%
0auC de pers onnes sens ! " ses
1u % du !ud$et consacr ) " a scur t de " ' nformat on
4%a" uat on des r s &ues mt er 5T/a" anced 1core2ardT6
2onform t a%ec " es normes 5comme " '. 1B 270016
3%ancement des pro(ets de s cur s at on
-om!re d'atta&ues arr*tes par " es d s pos t fs de
scur t
. mpacts d rects et nd rects des nc dents de scur t
0auC de m s e ) (our des patc#es de scur t
0auC de m se ) (our des s $natures ant % ra" es
Mu" nra! " ts dtectes
-om!re d' nc dents sur une pr ode
2onform t a%ec " a ,o" t &ue de 1cur t de " '. nformat on
2010 2012

#i2u/( 43 - In-ic0*(u/s sui=is -0ns l( *07l(0u -( 7o/- -( l0 s1cu/i*1

Menaces informatiques ! CL"SIF 2012 O1$110
Collectivits territoriales

1pendance ( linformatique des
collectivits territoriales
Mo'ens consacrs ( la scurit de
linformation par les collectivits
territoriales
-67me O H 3olitique de scurit
-67me V H ,r;anisation de la scurit et
mo'ens
-67me P H La ;estion des risques lis ( la
scurit des SI
-67me Q H Scurit lie au& /essources
5umaines
-67me 10 H .estion des oprations et des
communications
-67me 12 H 0cquisitionD dveloppement et
maintenance
-67me 1# H .estion des incidents ^
Sinistralit
-67me 1C H .estion de la continuit
dactivit

O2$110 ! CL"SIF 2012 Menaces informatiques
Les Collectivits erritoriales

n( 0n0l)s( 2lo70l( 3ui -oi* J*/( /(l0*i=is1( 40/ -(s -is40/i*1s -( 4/0*i3u(s (n*/( l(s
-i..1/(n*s 4/o.ils -( coll(c*i=i*1s
Cette anneD le CL"SIF sEest intress au& collectivits territoriales) La cible de lEenquBte 200Q a t
reprise afin de pouvoir comparer les pro;r7s ou les ventuelles r;ressions) La cible est constitue des
collectivits suivantes H
Communauts de communes de plus de 10 000 6abitantsD
Communes de plus de #0 000 6abitantsD
Communauts urbaines et da;;lomrationD
Conseils .nrau&D
Conseils /;ionau&)
Sur plus de Q00 collectivits de France mtropolitaine interro;esD 20O ont rpondu ( la sollicitation du
CL"SIFD soit un tau& dEacceptation dEenviron 2O U) Ce rsultat est satisfaisant et nous permet de considrer
que lc6antillon de la cible est reprsentatif)

EcA0n*illon
CLSI#
N redressement
Donn1(s
n0*ion0l(s
Commune de plus de #0 000 6abitants V0 2W U 1V U
Conseils .nrau& 21 10 U V U
Conseils /;ionau& P # U 1 U
Communauts urbaines et dEa;;lomration #C 1P U 1C U
Communauts de communes de plus de 10 000
6abitants
Q# C0 U V2 U
To*0l 'C! %CC N %CC N

0u sein de c6aque collectivitD nous avons c6erc6 ( interro;er en priorit le R(s4ons07l( -( l0 S1cu/i*1
-(s S)s*+,(s -In.o/,0*ion J/SSIL) Celui:ci a rpondu pour 1V U en mo'enneD ce qui se&plique en partie
par le fait que les collectivits de taille mo'enne nont pas encore de fonction /SSI clairement identifie
ou attribue) %n revanc6eD au sein des collectivits de taille importante comme les Conseils ;nrau&D
plus dEun rpondant sur deu& est le /SSI)
Menaces informatiques ! CL"SIF 2012 O#$110

0uelle est (otre .onction au sein %e la collecti(it territoriale 4
+1. 9 +1. ad(o ntG 37%
+ recteur ou
responsa!" e
nformat &ueG 25%
R11. G 16% 3utreG 22%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

#i2u/( 44 - P/o.il -(s in*(/=i(O1s

Lanal'se dtaille des rponses fait appara[tre des pratiques in;ales entre les diffrents profils de
collectivits) Les Conseils .nrau& et /;ionau& font preuve dune plus ;rande mise en Ruvre des
pratiques de scurit) Il en est de mBme pour les villes qui ontD pour la plupartD structur leur activit
scurit) 0 contrarioD les communauts dEa;;lomrations et de communesD entits encore asse? >eunesD
sontD par manque de ressources ou de connaissancesD dans une approc6e plus empirique de ces pratiques)
Sentiment de dpendance ( linformatique
L0 ,J,( 4(/c(4*ion 3u(n 'CC&
La mise en li;ne dinformations pour le cito'enD lau;mentation du nombre de tl:services ou encore la
mise en place pro;ressive de 3%S ^42 pour la dmatrialisation des flu& comptables ne semblent pas avoir
modifi la perception de la dpendance des collectivits ( linformatique)
+otre collecti(it territoriale a-t-elle une %pen%ance , l-in.or$atique/
ForteG 68% ModreG 31% Fa !" eG 1%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

#i2u/( 4! - D14(n-0nc( -(s coll(c*i=i*1s *(//i*o/i0l(s 5 l6in.o/,0*i3u(

OC$110 ! CL"SIF 2012 Menaces informatiques
Mo'ens consacrs ( la scurit de linformation par les collectivits
D(s 7u-2(*s (n .onc*ion -( l0 *0ill( (* -(s s(/=ic(s -1li=/1s 40/ l0 coll(c*i=i*1
%n 200QD O0 U des collectivits avaient accept de rvler le montant de leur bud;et informatique) Cette
anneD nous obtenons un tau& de rponse de PW U) Les bud;ets sont dune ;rande disparit et varient
selon la taille de la collectivit) 1une mani7re ;nraleD ce sont les Conseils .nrau& qui ont les plus
;ros bud;ets dpassant parfois asse? nettement le seuil des O Mc)
0uel est le 2u%1et in.or$atique annuel %e (otre collecti(it territoriale 4
5in(estisse$ent et .onctionne$ent6
R 100 :U
45%
101 ) 499 :U
26%
5
0
0
:

)

1
M
U

9
%
1 ) 5 MU
16%
S

5

M
U
G

4
%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
R 100 :U 101 ) 499 :U 500: ) 1MU 1 ) 5 MU S 5 MU

#i2u/( 49 - Ku-2(*s in.o/,0*i3u(s 0nnu(ls -(s coll(c*i=i*1s *(//i*o/i0l(s

n 7u-2(* s1cu/i*1 3ui cons(/=( l(s ,J,(s cl1s -( 4/o4o/*ionn0li*1 3u(n 'CC&
Le bud;et scurit est tou>ours difficile ( valuer) 3ar e&emplea faut:il considrer que la solution de
sauve;arde fait partie de ce bud;etD la rplication des donnes doit:elle Btre prise en compte M Si 1W U des
collectivits nont pas de li;ne bud;taire prcise pour la scuritD les autres confirment que les cls de
proportionnalit bud;taire nont pas beaucoup bou; depuis 200Q)
0uel pourcenta1e reprsente le 2u%1et scurit par rapport au 2u%1et in.or$atique total 4
Mo ns de 1%
13%
Mo ns de 1%
14%
+e 1 ) 3%
23%
+e 1 ) 3%
27%
+e 3 ) 6%
21%
+e 3 ) 6%
18%
," us de 6%
17%
," us de 6%
22%
-e sa t pas
19%
-e sa t pas
26%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2008
2012
Mo ns de 1% +e 1 ) 3% +e 3 ) 6% ," us de 6% -e sa t pas

#i2u/( 4@ - P0/* -u 7u-2(* in.o/,0*i3u( cons0c/1 5 l0 s1cu/i*1

L0 s1cu/i*18 un 7u-2(* (n l12+/( /(4/is(
.lobalementD dans des proportions similaires ( celles des entreprisesD le pourcenta;e des bud;ets
F constants G au;mente JV1 U contre CW U en 200QL tandis que 2W U des bud;ets sont en au;mentation)

Menaces informatiques ! CL"SIF 2012 OO$110
En 2011! quelle a t l-(olution %u 2u%1et scurit %e l3in.or$ation par rapport , l-anne
prc%ente 4
2onstantG 61% 15% 14% 8% 2%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
4n forte r$ress on 4n r$ress on 5mo ns de 10%6
2onstant 4n au$mentat on mo7enne 5mo ns de 10%6
4n forte au$mentat on 5p" us de 10%6 -e sa t pas

#i2u/( 4& - E=olu*ion -u 7u-2(* s1cu/i*1

L( 4os*( 7u-21*0i/( 4ou/ l0 ,is( (n 4l0c( -( solu*ions 0u2,(n*( si2ni.ic0*i=(,(n*
Lorsque lon sait que les menaces viennent principalement de lintrieurD il est satisfaisant de constater
que le poste bud;taire formations$sensibilisations est en au;mentation) La mise en place de solutions
bnficie en valeur absolue de la plus forte au;mentation bud;taire) Les solutions qui rpondent au&
ob>ectifs de disponibilit comme le renouvellement de la sauve;arde centralise ou encore la mise en
Ruvre dune salle secours informatique ' sont probablement pour beaucoup)
0uels ont t les postes %ont le 2u%1et a au1$ent %ans (otre collecti(it territoriale 4
30%
17%
11%
12%
16%
37%
0% 5% 10% 15% 20% 25% 30% 35% 40%
-e sa t pas
3utre
2ontr=" es F 3ud ts
Format ons F 1ens ! " sat ons
M se en p" ace d'" ments or$an sat onne" s
M se en p" ace de so" ut ons

#i2u/( 4" - Pos*(s 7u-21*0i/(s (n 0u2,(n*0*ion

P/inci40l ./(in 5 l0 con-ui*( -(s ,issions -( s1cu/i*18 l( ,0n3u( -( 4(/sonn(l 3u0li.i1
0lors quen 200Q le principal frein tait le manque de bud;etD lenquBte de 2012 rv7le que dsormais
cest le manque de personnel qualifi qui freine la conduite des missions de scurit Jraison mentionne
par un tiers des collectivitsL) Cit en secondD le manque de connaissances corrobore le point prcdentD
lacc7s ( la connaissance permettant damliorer la qualification de personnel)
Le manque de bud;et arrive e&:dquo en seconde position) 3lus dEun /SSI sur quatre estime quil na pas
suffisamment de mo'ens bud;taires pour conduire ses missions)
2# U des personnes interro;es se plai;nent de contraintes or;anisationnelles) La transversalit de la
fonction /SSI dans des or;anisations tr7s verticales ne facilitant pas sa tNc6e) %nfinD la rticence des
directions ;nralesD des mtiers et des utilisateurs aurait tendance ( confirmer quun travail important
de sensibilisation doit Btre fait pour avoir une plus ;rande ad6sion de ces instances)
OV$110 ! CL"SIF 2012 Menaces informatiques
0uels sont selon (ous les .reins , la con%uite %es $issions %e scurit %ans (otre collecti(it
territoriale 4
23%
1%
21%
23%
27%
27%
33%
0% 5% 10% 15% 20% 25% 30% 35%
3utres
Rt cence de " a +1.
Rt cence de " a +A9 des mt ers ou des ut " sateurs
2ontra ntes or$an sat onne" " es
Man&ue de !ud$et
Man&ue de conna ssances
Man&ue de personne" &ua" f

#i2u/( !C - #/(ins 5 l0 con-ui*( -(s ,issions -( s1cu/i*1

-67me O H 3olitique de scurit de lEinformation
L0 .o/,0lis0*ion -( l0 4oli*i3u( -( s1cu/i*1 EPSIF n61=olu( 40s.
0u mBme titre que la dpendance perue ( lEinformatiqueD les collectivits ne rattrapent pas leur retard
dans la formalisation de leur 3SI) Moins dEune collectivit sur # a formalis sa 3SI) -outefoisD le soutien de
la 6irarc6ie est acquis dans WW U des casD soit une pro;ression de P points par rapport ( lEenquBte de
200Q) 3our pratiquement Q collectivits sur 10D la 3SI a t conue ou mise ( >our dans les # derni7res
annes)
+otre collecti(it territoriale a-t-elle .or$alis sa &olitique %e Scurit %e l-In.or$ation 4
31%
35%
28%
43%
69%
65%
72%
57%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
4nsem!" e
+partement F R$ on
2ommunaut
M " " e
Bu -on

#i2u/( !% - EBis*(nc( -6un( 4oli*i3u( -( s1cu/i*1 -( l6in.o/,0*ion

n( Di/(c*ion $1n1/0l( conc(/n1( 40/ l0 PSI
LElaboration de la 3SI implique ma>oritairement la 1irection .nrale des Services JQ0 UL en relation avec
la 1irection des S'st7mes dEInformation JOP UL et les quipes de production J2# UL) La 3SI voit ;alement
une forte pro;ression de lEimplication des lus et des directions mtiersD mBme si cela reste minoritaire)
Menaces informatiques ! CL"SIF 2012 OP$110
0uelles sont les entits %e (otre collecti(it qui ont particip , l-la2oration %e la &olitique %e Scurit
%e I-In.or$ation 4
3%
3%
21%
22%
8%
11%
30%
95%
14%
9%
12%
20%
20%
22%
23%
29%
57%
80%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
8e Responsa!" e de " <3ud t
ou du 2ontr=" e . nterne
8es + rect ons Mt ers
8a + rect on >ur d &ue
8a + rect on des Ressources
?uma nes
8es V" us
8e Responsa!" e de " a
,roduct on nformat &ue
8e R11.
8a + rect on des 17st@mes
d'. nformat on
8a + rect on Anra" e des
1er% ces
2008 2012

#i2u/( !' - Ac*(u/s -( l0 4oli*i3u( -( s1cu/i*1 -( l6in.o/,0*ion

n( PSI 3ui =oi* son c0-/( ,1*Ao-olo2i3u( 4/o2/(ss(/
%n 200QD # collectivits sur O ne sEappu'aient sur aucune F norme de scurit G pour leur 3SI) La situation
en 2012 sEest inverse puisque VO U dEentre elles utilisent une norme ou un rfrentiel)
Les dpartements et les r;ions plbiscitent lEIS, 2P00& ( VP U) .lobalementD le travail de lE0+SSI porte
ses fruits aupr7s des collectivits puisque que le .uide 3SSI et la mt6ode %*I,S associe sont cites C fois
plus quEen 200Q)

OQ$110 ! CL"SIF 2012 Menaces informatiques
7a &olitique %e Scurit %e I-In.or$ation %e (otre collecti(it s-appuie-t-elle sur %es r.rentiels %e
scurit 4 Si oui! lesquels 4
5%
10%
5%
3%
26%
62%
13%
9%
1%
13%
9%
20%
35%
0% 10% 20% 30% 40% 50% 60% 70%
-e s a t pas
3utre
M4?3R.
Au de ,11. W 4/. B1
Rfrent e" nterne
-orme .1B 270C
-on
2008 2012

#i2u/( !3 - A44ui -( l0 4oli*i3u( -( s1cu/i*1 -( l6in.o/,0*ion -(s coll(c*i=i*1s su/ un /1.1/(n*i(l -( s1cu/i*1

-67me V H ,r;anisation de la scurit et mo'ens
L( RSSI D un 4os*( ,1*i(/ (n 4/o2/(ssion
La fonction de /SSI ou de /SI simpose peu ( peu dans le monde des collectivits territoriales H elle est
clairement identifie et attribue dans #2 U des cas en 2012 contre 22 U en 200Q) ,n note une prsence
plus forte dun /SSI dans les Conseils .nrau& et /;ionau&)
7a .onction :SSI est-elle claire$ent i%enti.ie et attri2ue %ans (otre collecti(it territoriale 4
Bu G 22%
Bu G 32%
-onG 77%
-onG 67%
1
%
1
%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2008
2012
Bu -on -e sa t pas

#i2u/( !4 - I-(n*i.ic0*ion (* 0**/i7u*ion -( l0 .onc*ion RSSI

Le rTle de /SSI ou de /SI prend de plus en plus de poids H plus de CO U des /SSI sont ddis ( cette tNc6e (
temps plein en 2012D contre #2 U en 200Q)
Menaces informatiques ! CL"SIF 2012 OW$110
Si la .onction :SSI est attri2ue! la personne en c;ar1e est-elle %%ie , cette $ission 4
Bu G 32%
Bu G 46%
-onG 68%
-onG 53%
1
%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2008
2012
Bu -on -e sa t pas

#i2u/( !! - Mu*u0lis0*ion -(s ,issions 4ou/ l(s RSSI i-(n*i.i1s -0ns l(s coll(c*i=i*1s *(//i*o/i0l(s

Lorsque le /SSI ne&iste pasD cette mission reste attribue par dfaut ( la 1irection des S'st7mes
dInformation ou ( la 1irection Informatique)
Si pas %e :SSI i%enti.i! qui pren% en c;ar1e la $ission %e :SSI %ans (otre collecti(it territoriale 4
24%
12%
4%
9%
14%
51%
0% 10% 20% 30% 40% 50% 60%
-e sa t pas
3utre
8e Responsa!" e d'eCp" o tat on
Un consu" tant eCterne
3utre nformat &ue
8e +1. ou respH nformat &ue

#i2u/( !9 - P/is( (n cA0/2( -( l0 .onc*ion RSSI8 lo/s3u6il n6(Bis*( 40s -( RSSI

Le /SSI consacre dsormais et en mo'enne 12 U de son temps au& activits >uridiques H dclaration C+IL et
instruction de plaintes)
Dans le ca%re %es $issions %u :SSI! quel pourcenta1e reprsente le te$ps consacr au< aspects/
tec#n &ues
26%
oprat onne" s
24%
(ur d &ues
12%
fonct onne" s
23%
de commuI
n cat onG 15%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

#i2u/( !@ - R140/*i*ion -(s ,issions -u RSSI

V0$110 ! CL"SIF 2012 Menaces informatiques
-67me P H .estion des biens
n ,0n3u( -ou*ils 4ou/ l0 2(s*ion -(s 7i(ns
,n ne prot7;e bien que ce que lon connait bien K "ne bonne connaissance de ses actifs est essentielle)
+os interlocuteurs nous font part dun manque doutils pour la ;estion des biens) 3our certaines
collectivitsD la rponse se trouverait dans les lo;iciels de carto;rap6ie)
A(e=-(ous in(entori toutes les in.or$ations 5et leur support6 %e (otre collecti(it et leur a(e=-(ous
attri2u un propritaire 4
Bu 9 en tota" t
21%
Bu 9 en part e
34%
-on
44%
1
%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

#i2u/( !& - In=(n*0i/( -(s in.o/,0*ions -0ns l(s coll(c*i=i*1s *(//i*o/i0l(s

V0 U des collectivits nont pas classifi leurs informations) %st:ce par manque de mt6odeD par manque
de temps ou est:ce li ( la difficult de le&ercice M Il nempBc6e que cela se traduit probablement par
des pratiques de scurit identiques quelle que soit la valeur de lactif) La classification prsente pourtant
un intrBt ma>eurD celui dappliquer le principe de proportionnalit)
A(e=-(ous classi.i les in.or$ations! pour in%iquer le 2esoin! les priorits et le %e1r sou;ait %e
protection 4
Bu 9 en part e
30%
-on
59%
1
%
Bu
10%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Bu 9 comp" @tement Bu 9 en part e -on -e sa t pas

#i2u/( !" - Cl0ssi.ic0*ion -(s in.o/,0*ions -0ns l(s coll(c*i=i*1s *(//i*o/i0l(s

La moiti des collectivits limitent ( trois les niveau& de confidentialit) Cette classification facilite
probablement lapplication de r7;les de scurit spcifiques et proportionnes pour ;arantir le secret
mdical dans les collectivits qui manipulent des donnes de sant)
5Si in.or$ations classi.ies6 #o$2ien %e ni(eau< %e sensi2ilit %i..rents sont %i..rencis 4
2 n %eauC
24%
3 n %eauC
46%
4 n %eauC
15%
5 ou X
15%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2 n %eauC 3 n %eauC 4 n %eauC 5 ou X

#i2u/( 9C - Ni=(0uB -( s(nsi7ili*1 -(s in.o/,0*ions -0ns l(s coll(c*i=i*1s *(//i*o/i0l(s

Menaces informatiques ! CL"SIF 2012 V1$110
L0 -1,0/cA( -0n0l)s( -( /is3u( s(/0i* (n /12/(ssion
Lanal'se formelle des risques lis ( la scurit de linformation demeure une pratique limiteD en
r;ression par rapport ( 200Q J## U en totalit ou en partie versus C2 ULD voire confidentielle si lon
consid7re le&6austivit de la dmarc6e)
A(e=-(ous ralis une anal8se .or$elle! 2ase sur une $t;o%e! %es risques lis , la scurit %e
l-in.or$ation %e (otre collecti(it 4
Bu 9 en tota" t
16%
8%
-on
58%
-on
66%
1
%
Bu
7%
Bu 9 en part e9
sur " es 1.
26%
Bu 9 en part e9
sur " es 1.
18%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2008
2012
Bu 9 en tota" t
Bu 9 en part e9 sur " es s7st@mes nformat &ues
Bu 9 en part e9 sur " es act % ts de " a co" " ect % t et ce &u ne dpend pas seu" ement de " ' nformat &ue
-on
-e sa t pas

#i2u/( 9% - An0l)s( .o/,(ll( 70s1( su/ un( ,1*Ao-( -60n0l)s( -(s /is3u(s

La norme IS, 2P00O ou une mt6ode F conforme IS, 2P00O G sont donnes en rfrence dans un cas sur 2)
/emarquons que la mt6ode %*I,S est plus souvent cite pour les Collectivits que pour les entreprises
J1P U contre P ULD probablement en raison de lori;ine Jsecteur publicL de cette mt6ode)
%n revanc6eD le tau& dincertitude JF 0utre G et F +e sait pas GL ne permet ;u7re dautre conclusionD sauf
peut:Btre quune partie des Collectivits utilise une mt6ode maison)
5Si anal8se %e risques6 Sur quelle5s6 $t;o%e5s6 %-anal8se %es risques (ous Etes-(ous 2as 4
30%
40%
10%
17%
20%
0% 5% 10% 15% 20% 25% 30% 35% 40% 45%
-e sa t pas
3utre
M4?3R.
4/. B1
. 1B 27005

#i2u/( 9' - M1*Ao-( u*ilis1( -0ns l(s coll(c*i=i*1s 4ou/ l60n0l)s( -( /is3u(s

V2$110 ! CL"SIF 2012 Menaces informatiques
-67me Q H Scurit des ressources 6umaines
L0 cA0/*( (s* sou,is( -( ,0ni+/( 3u0si s)s*1,0*i3u( 0u co,i*1 *(cAni3u( 40/i*0i/(
La c6arte dusa;e est souvent la premi7re formalisation des r7;les de scurit de ltablissement)
Cette pratique a peu volu depuis 200Q) LEarrive du *=, J*rin; =our ,\n 1eviceL pourrait c6an;er la
donne) Les Communauts impactent fortement la mo'enne nationale)
E<iste-t-il une F c;arte %-usa1e ou %-utilisation %u SI F , %estination %u personnel %e (otre collecti(it 4
Bu
41%
Bu
90%
Bu
30%
Bu
73%
4n cours
21%
4n cours
23%
4n cours
17%
-on
37%
-on
6%
-on
46%
-on
8%
1
%
1
%
2
%
4%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
4nsem!" e
+partement F R$ on
2ommunaut
M " " e

#i2u/( 93 - EBis*(nc( -6un( cA0/*( -6us02( s(lon l( 4/o.il -( l0 coll(c*i=i*1

Il faut toutefois noter une implication forte des instances reprsentatives) CEest un point r;lementaire
pris en compte pour rendre la c6arte effectivement applicable)
Si oui! la c;arte a-t-elle t sou$ise au< Instances :eprsentati(es %u &ersonnel
et au< Instances lus 4
Bu G 76%
Bu G 93%
1% 21%
4%
2
%
2
%
2%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2008
2012

#i2u/( 94 - Sou,ission -( l0 cA0/*( 0uB ins*0nc(s /(4/1s(n*0*i=(s -u 4(/sonn(l

1ans V0 U des casD la c6arte est officiellement si;ne par lEa;ent) 2uelques collectivits estiment que
cette pratique nest pas >ustifie H on ne si;ne pas le r7;lement intrieur et pour autant les r7;les qui '
fi;urent en;a;ent la responsabilit de la collectivit et de ses a;ents)
3our les collectivits qui poss7dent une c6arteD on enre;istre une pro;ression de #O U JX2O pointsL dans la
communication de son contenu)
Menaces informatiques ! CL"SIF 2012 V#$110
5Si e<istence %e c;arte6 A-t-elle t co$$unique et si1ne par tous les a1ents 4
2ommun &ue et
s $neG 41%
2ommun &ue et
s $neG 57%
1eu" ement
commun &ueG 28%
4n cours
18%
13%
1eu" ement
commun &ueG 37%
4%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2008
2012
2ommun &ue et s $ne 1eu" ement commun &ue 4n cours -on commun &ue -e sa t pas

#i2u/( 9! - Co,,unic0*ion -( l0 cA0/*( 0uB u*ilis0*(u/s -0ns l(s coll(c*i=i*1s

La sensibilisation des utilisateurs ne fait pas recette) La dmarc6e semble sessouffler puisque seules 1P U
des collectivits ont lanc des actions dans ce domaine et 12 U en prparent) Soit ( peu de c6ose pr7sD la
mBme proportion quEil ' a C ans)
1une mani7re ;nrale et lorsque la pratique e&isteD cette sensibilisation est tr7s apprcie par les
a;ents) Ils ' voient un double intrBt H amliorer leurs pratiques pour leurs usa;es privs et
professionnels)
E<iste-t-il un pro1ra$$e %e sensi2ilisation , la scurit %e l-in.or$ation %ans (otre collecti(it 4
Bu G 23%
Bu G 17%
4n cours
10%
-onG 67%
-onG 70%
1
%
4n cours
12%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2008
2012

#i2u/( 99 - P/o2/0,,( -( s(nsi7ilis0*ion 5 l0 s1cu/i*1 -0ns l(s coll(c*i=i*1s

*ien que la culture de lvaluation ne soit pas ancre dans les collectivitsD lEimpact de la sensibilisation
est mesur dans 1 cas sur CD ce qui reprsente une volution si;nificative par rapport ( la prcdente
enquBte J1$10L) LEapproc6e de la scurit des S'st7mes dEInformation par la sensibilisation des utilisateurs
est int;re dans le processus dEamlioration continue)
Les collectivits nous rapportent que ce nest pas limpact de la sensibilisation qui est mesur
prioritairement lors de ces pro;rammes mais la satisfaction de la;ent) +anmoins et parmi les vecteurs
de mesure dimpactsD les collectivits nous font remarquer que le nombre de dclarations ( la C+IL
connait un l;er pic apr7s les sances de sensibilisation)
VC$110 ! CL"SIF 2012 Menaces informatiques
5Si sensi2ilisation6 7-i$pact %e cette sensi2ilisation est il $esur 4
Bu G 14%
Bu G 23%
-onG 86%
-onG 76%
1
%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2008
2012
Bu -on -e sa t pas

#i2u/( 9@ - E=0lu0*ion -( l6i,40c* -( l0 s(nsi7ilis0*ion

3artie int;rante de la scurit lie au& ressources 6umainesD nous avons interro; les collectivits sur
leurs pratiques en mati7re de ;estion des mouvements de personnel) 1ans V0 U des collectivitsD la
;estion de la mobilit des a;ents JdpartD mutationL est lEoccasion de la remise ( plat des droits dEacc7s
au& S'st7mes dEInformation) 1une mani7re ;nraleD il e&iste des procdures dont le prim7tre est
variable dune collectivit ( lautreD mais beaucoup de nos interlocuteurs constatent que la 1SI est
rarement informe du dpart de collaborateurs)
3our pallier ( cette dficienceD certaines dentre elles ont mis en place une procdure daudit des
comptes dormants)
E<iste-t-il une proc%ure pour 1rer! en cas %e %part ou $utation %es colla2orateurs! la suppression %e
tous les %roits %3acc9s et la restitution %e tout le $atriel 4
47% 13% 40%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Bu 4n cours -on

#i2u/( 9& - $(s*ion -(s -/oi*s -0cc+s lo/s -(s -140/*s

Menaces informatiques ! CL"SIF 2012 VO$110
L0 s1cu/i*1 -(s su44o/*s 404i(/s (s* 5 l0 -isc/1*ion -(s -i/(c*ions ,1*i(/s
Cette anneD lenquBte a port sur les pratiques de scurit des supports papiers) 1ans la plus ;rande
partie des collectivitsD cette ;estion est ( la discrtion des directions mtiers) Si les pratiques sont
disparates dune direction ( une autreD dune collectivit ( une autreD linstruction du 2Q aoIt 200W de la
1irection des 0rc6ives de France pourrait apporter une rponse d6armonisation)
7e c8cle %e (ie %es supports papiers est-il pris en co$pte %ans la classi.ication %es %onnes 4
Bu G 23% 6%
-on
44%
5%
pas de c" ass f cat on
22%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2012
Bu 4n cours . " n'7 a pas de c" ass f cat on -on -e sa t pas

#i2u/( 9" - C)cl( -( =i( -(s su44o/*s 404i(/s (n .onc*ion -( l0 cl0ssi.ic0*ion -(s -onn1(s

-67me 10 H .estion des communications et des oprations
Ce t67me aborde les lments lis ( la ;estion des oprations et des communications sous # aspects H
la scurisation des nouvelles tec6nolo;iesD
les tec6nolo;ies de protection et de ;estion des vulnrabilitsD
linfo;rance)
S1cu/is0*ion -(s nou=(ll(s *(cAnolo2i(s
D(s coll(c*i=i*1s 3ui ou=/(n* l60cc+s 5 l(u/ S)s*+,( -6In.o/,0*ion.
1ans cette sectionD il est fait rfrence au& bonnes pratiques tec6niques mises en Ruvre dans les
or;anisations) Les tec6nolo;ies utilises sont ;lobalement les mBmes dans les collectivits que dans les
entreprisesD et les deu& conte&tes seront mis en parall7le dans les li;nes qui suivent) Il sera donc utile de
se rfrer au c6apitre correspondant de ltude F %ntreprises G)
1epuis la derni7re enquBteD les collectivits ont poursuivi la mise en Ruvre des nouvelles tec6nolo;ies
pour ouvrir les acc7s au S'st7me dEInformation en condition de mobilit) +ous constatons moins dEinterdit
et des droits et usa;es sont mieu& encadrs)
VV$110 ! CL"SIF 2012 Menaces informatiques
7es pratiques ou tec;nolo1ies sui(antes sont-elles???
35%
23%
8%
30%
4%
9%
5%
7%
7%
4%
12%
32%
20%
33%
33%
34%
48%
43%
39%
23%
35%
54%
57%
54%
55%
30%
61%
38%
52%
50%
76%
56%
42%
29%
3%
3%
4%
8%
1%
6%
4%
1%
2%
3%
30%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2008
2012
2008
2012
2008
2012
2008
2012
2008
2012
2008
2012
2008
2012
U
t
"
s
a
t
o
n
d
e
s

r
s
e
a
u
C
s
o
c
a
u
C
U
t
"
s
a
t
o
n

d
e
m
e
s
s
a
$
e
r
e
s
n
s
t
a
n
t
a
n
e
s
e
C
t
e
r
n
e
s
U
t
"
s
a
t
o
n

d
e
%
o
C

s
u
r

.
,

F
0
"
p
#
o
n
e
s
u
r

.
,
3
c
c
@
s

%
a

d
e
s
,
+
3
9

t
a
!
"
e
t
t
e
s
o
u
s
m
a
r
t
p
#
o
n
e
s
3
c
c
@
s

%
a

u
n
r
s
e
a
u

N
p
r

a
u

s
e
n
d
e

"
a
c
o
"
"
e
c
t
3
c
c
@
s

)

p
a
r
t
r
d
e

p
o
s
t
e
s

d
e
t
r
a
%
a
"

n
o
n
m
a
O
t
r
s

3
c
c
@
s

a
u

1
.

)
p
a
r
t
r

d
e
p
o
s
t
e
s

d
e
t
r
a
%
a
"
n
o
m
a
d
e
s
f
o
u
r
n
s

p
a
r

"
a
c
o
"
"
e
c
t
3utor s s ans cond t on 3utor s s ous cond t on . nterd t -e sa t pas

#i2u/( @C - Mo7ili*1 (* 0cc+s 0u S)s*+,( -6In.o/,0*ion -0ns l(s coll(c*i=i*1s
-out comme lEacc7s au S'st7me dEInformation via des postes de travail non ma[trissD lEusa;e des 310 et
des smartp6ones est en asse? forte pro;ression) Les collectivits doivent faire faceD comme les
entreprisesD au p6nom7ne du *=,1) La tlp6onie I3 voit son utilisation sans condition au;menter
si;nificativement) Les collectivits ont:elles bien int;r les risques associs ( cette tec6nolo;ie M
LEenquBte 2012 prend en compte lEutilisation des messa;eries instantanes et des rseau& sociau&) Les
messa;eries instantanes e&ternes sont interdites dans une collectivit sur 2 et encadres dans 1 sur #) Le
droit dEutilisation des rseau& sociau& est plus disparate puisque les pratiques se rpartissent
uniformment entre lEinterdiction et les autorisations avec ou sans condition) Si les collectivits utilisent
les mdias sociau& pour promouvoir leur communication et la dmocratie participativeD ont:elles pris la
>uste mesure des risques quEelles encourent en nEencadrant pas davanta;e lEusa;e par lEensemble de leurs
a;ents M
%n s'nt67seD on observe que les Conseils .nrau& et /;ionau& et dans une moindre mesure les villes
offrent plus de service de mobilit ( leurs a;ents que la mo'enne) Il appara[t ;alement que la mise (
disposition des mo'ens en mobilit est plus encadre dans ces collectivits)
Menaces informatiques ! CL"SIF 2012 VP$110
T(cAnolo2i(s -( 4/o*(c*ion (* -( 2(s*ion -(s =uln1/07ili*1s
L(s solu*ions l0/2(,(n* 0-o4*1(s D 0n*i=i/us (* 0n*i-s40,
1eu& solutions tec6niques font au>ourd6ui lob>et dun usa;e s'stmatique par lensemble des utilisateurs
de S'st7mes dEInformation H les tec6nolo;ies dantivirus J6ors le cas particulier des terminau& mobiles de
nouvelle ;nrationL et danti spam) La ;nralisation de lapplication de bonnes pratiques est en tout
point comparable ( celle qui est observe dans le monde des entreprises)
7es tec;nolo1ies %e scurisation sui(antes sont-elles/
5%
12%
26%
15%
4%
7%
33%
6%
71%
22%
30%
87%
8%
92%
6%
8%
10%
26%
6%
13%
18%
8%
10%
11%
14%
7%
10%
5%
64%
55%
88%
78%
46%
85%
17%
61%
52%
6%
81%
4%
15%
10%
4%
3%
3%
4%
2%
2%
7%
4%
2%
71%
75%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
+ata 8ea: ,rotect on ou +8,
-etPor: 3ccess 2ontro" ou -32
But " s de contr=" es des
pr p#r &ues 5c" s U1/9 etcH6
But " s de c# ffrement pour " es c#an$es
But " s de c# ffrement sur ,+39
smartp#ones et ta!" ettes
But " s de c# ffrement sur ,2 porta!" e
But " s de centra" sat on et
d'ana" 7se de (ournauC de scur t 51. 4M6
,areIfeu sur ,+39
,areIfeu sur ,2 porta!" e
1ondes de pr%ent on d' ntrus ons 5. ,16
1ondes de dtect on d' ntrus ons 5. +16
3nt Ispam
3nt I% rus F ant Ima" Pare sur ,+39
3nt I% rus F ant Ima" Pare sur ,2 porta!" e
Usa$e $nra" s Usa$e part e" -on ut " se -e sa t pas

#i2u/( @% - Lu**( 0n*i=i/0l(8 4/o*(c*ion con*/( l(s in*/usions (* 2(s*ion -(s =uln1/07ili*1s

VQ$110 ! CL"SIF 2012 Menaces informatiques
%ncore plus que dans le monde de lentrepriseD la protection antivirus des terminau& mobiles de nouvelle
;nration Jsmartp6ones et tablettesL est un su>et en devenir puisque le tau& dquipement natteint que
1Q U Jdont 10 U sur prim7tre restreintL)
,n peut dailleurs se poser la question de la perce relle des tablettes et smartp6ones dans les
Collectivits -erritorialesD avec pour corollaire des questions telles que lusa;e qui en est fait ou le tau&
de conne&ion rel au SI de lor;anisation)
Ce faible niveau dadoption se retrouve sur la tec6nolo;ie pare:feu J1C U des smartp6ones et tablettes
quips contre 2V U dans le monde de lentrepriseLD alors que la mise en place de la tec6nolo;ie pare:feu
sur les portables classiques est plus dans la mo'enne avec Q0 U dquipement Jici aussi sans doute li ( la
prsence de cette tec6nolo;ie dans les suites F anti:virus G du marc6L)
Concernant le c6iffrementD les smartp6ones et tablettes des collectivits ne sont pas mieu& lotis que ceu&
des entreprises) Les portables classiques fontD eu&D lob>et dune protection deu& fois moins importante
que dans les entreprises J20 U contre C# ULD peut:Btre est ce dI ( une prsence moindre de donnes
confidentielles sur ces postes de travailD ou bien ( une prise de conscience encore rare du niveau de
confidentialit des donnes prsentes sur les ordinateurs personnels)
L( con*/Hl( -(s 41/i4A1/i3u(s -( s*ocP02( 0,o=i7l(s
Le nombre de collectivits effectuant le contrTle des prip6riques de stoc@a;e amovibles J#V UL est
comparable ( celui rencontr pour les entreprises) Ce tau& relativement faible se&plique souvent par les
freins ( ladoption pour les utilisateurs pour lesquels les cls "S* sont des outils dc6an;e
particuli7rement utiles) Il est important de noter que cette pratique Jlc6an;e de donnesL est en train
de se dplacer vers des services de t'pe F stoc@a;e dans le Cloud GD avec des problmatiques identiques (
celles rencontres sur les prip6riques amovibles)
L0 s1cu/i*1 -(s /1s(0uB
I1S et I3S font lob>et dun niveau dquipement bien plus faible que celui rencontr dans les entreprises)
Les collectivits sont plus nombreuses ( baser la scurit de leur rseau sur les seuls fire\alls) 3ourtantD
les collectivits dploient autant de rseau& tendus que les entreprisesD rseau& sur lesquels des
fonctionnalits I3S trouvent toute leur >ustification en proposant de limiter des F attaques G potentielles
sans pour autant opposer de limitations fonctionnelles au& utilisateurs) Il appara[t donc que celles:ci sont
moins nombreuses que les entreprises ( avoir fait le c6oi& de cette compartimentation)
L(B4loi*0*ion -(s .icAi(/s -( ;ou/n0lis0*ion
Le niveau dadoption des outils de ;estion de lo; est comparable ( celui rencontr dans le monde des
entreprises)
L( NAC (* l( DLP8 -(s *(cAnolo2i(s .onc*ionn(ll(,(n* 0,7i*i(us(s
Le +0C JcontrTle dacc7s au niveau rseauL et le 1L3 JcontrTle de la fuite des donnesL font lob>et dune
adoption faible en entreprise et sont encore moins utiliss dans les collectivits) Les uns comme les autres
sont confronts ( la comple&it de mise en place de ces solutionsD tant sur les plans fonctionnel que
tec6nique) Ce qui nenl7ve rien ( la pertinence de ces tec6nolo;iesD que ce soit pour contrTler lacc7s au
rseau ou le mouvement des informations de lentrepriseD par e&emple au travers de prip6riques de
stoc@a;e amovibles)
L6in.o21/0nc(
Plus -( /(cou/s 5 lin.o21/0nc(
Les raisons sont nombreuses et les collectivits citent les ob>ectifs de disponibilit 2C$P$#VO pour
certaines applicationsD la difficult de maintenir une pol'valence sur lint;ralit du catalo;ue applicatifD
la comple&it des tec6nolo;ies qui ncessitent des savoir:faire e&ternes et enfin la rationalisation de la
1SI avec le&ternalisation des applications ressources 6umaines et finance)
3armi les collectivits qui ont recours ( linfo;ranceD nous remarquons une forte proportion de
Communauts de communes) Il sa;it sans doute pour elles de pallier pour partie ( un manque de
comptences internes)
Menaces informatiques ! CL"SIF 2012 VW$110
A(e=-(ous plac tout ou partie %e (otre S8st9$e %3In.or$ation sous contrat %3in.o1rance 4
14%
Bu 9 en part e
27%
Bu 9 en part e
26%
-onG 72%
-onG 60%
1
%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2008
2012

#i2u/( @' - P0/* -(s S)s*+,(s -6In.o/,0*ion -( coll(c*i=i*1s sous con*/0* -6in.o21/0nc(

Lau;mentation des services info;rs a entra[n une au;mentation de la maturit et des pratiques de
scurit vis:(:vis des tiers) 1sormaisD O0 U des collectivits suivent cette info;rance par des indicateurs
de scurit)
5Si in.o1rance6 E<erce=-(ous un sui(i r1ulier sur cette in.o1rance par %es in%icateurs %e scurit %e
l3in.or$ation 4
Bu G 39%
Bu G 50%
-onG 61%
-onG 47%
3
%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2008
2012
Bu -on -e sa t pas

#i2u/( @3 - Sui=i -( l6in.o21/0nc( 40/ -(s in-ic0*(u/s -( s1cu/i*1

Les services info;rs sont de plus en plus audits) +anmoinsD lorsque les c6oi& et la ;estion de certains
services info;rs c6appent au prim7tre de la 1SID celle:ci dplore le fait de ne pas pouvoir faire de
tests de vulnrabilits)
5Si in.o1rance6 E..ectue=-(ous ou .aites-(ous e..ectuer %es au%its sur cette in.o1rance 5scurit
tec;nique %es $atriels! scurit %es in.or$ations trans$ises ou stoc>es! continuit %3acti(it! etc?6 4
-on
87%
-on
64%
2
%
Bu 9 au mo ns
1 fo s F an
15%
Bu ponctue" I
" ement
13%
Bu ponctue" I
" ement
19%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2008
2012
Bu 9 au mo ns une fo s par an Bu ponctue" " ement -on -e sa t pas

#i2u/( @4 - R10lis0*ion -60u-i*s su/ l6in.o21/0nc(

P0$110 ! CL"SIF 2012 Menaces informatiques
3our cette ditionD notre questionnaire sest intress au monde du Cloud JF informatique dans le
nua;e GL) Si la dmarc6e e&isteD elle est parfois subie Jservice de stoc@a;e en li;ne ;rand publicL et pas
forcment ma[trise) La F mise en Cloud G nest pas sans consquence sur les bud;ets puisque dans ce
casD la collectivit ne rcup7re pas la -40)
A(e=-(ous recours , %es ser(ices en #lou% 4
-onG 74%
2
%
Bu G 19% 5%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2012

#i2u/( @! - R(cou/s 0u clou- co,4u*in2 -0ns l(s coll(c*i=i*1s

Il sa;irait avant tout de Cloud priv) 3our les services de Cloud publicD les collectivits nous citent les
services SMSD les c6an;es de fic6iers mais aussi les transports scolaires) La mise ( disposition de donnes
publiques au travers du CloudD lE,pen 1ataD est en bonne voie mais la dmarc6e est peu structure)
5Si #lou%6 Est-ce un #lou% pu2lic! pri( ou ;82ri%e 4
,r %G 68%
3
%
,u!" c
10%
?7!r deG 18%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2012
,u!" c ?7!r de ,r % -e sa t pas

#i2u/( @9 - Clou- 4u7lic8 4/i=1 ou A)7/i-( -0ns l(s coll(c*i=i*1s

-67me 11 H ContrTle dacc7s
N(**( 4/o2/(ssion -( l0u*A(n*i.ic0*ion 40/ c(/*i.ic0* nu,1/i3u(
Le contrTle des acc7s lo;iques est abord sous trois dimensions H les mo'ens dEaut6entification forteD la
mani7re de ;rer et mettre en Ruvre les droits dEacc7s des utilisateursD les s'st7mes de contrTle dEacc7s
centraliss et dEaut6entification unique)
0fin de comparer avec la situation 200Q qui nEavait pas la mBme c6elleD les propositions de 200Q ont t
re;roupes en H F lar;ement utilis G pour F usa;e ;nralis G et F e&priment ou envisa; G pour
F usa;e partiel G)
0lors que lEaut6entification forte par certificat lectronique sur support matriel marque le pasD nous
notons un re;ain dEintrBt pour lEaut6entification par certificat lectronique lo;iciel ^ peut Btre en lien
avec les obli;ations l;ales ^ Marc6s publiquesD 5%LI,SD 0C-%SD etc) Cette tendance est plus marque
dans les villesD les dpartements et les r;ions)
LEaut6entification forte par calculette effectue ;alement une belle pro;ression) CEest plutTt dans les
a;;lomrations et les villes o_ son utilisation ( tendance ( se ;nraliser
Menaces informatiques ! CL"SIF 2012 P1$110
#es tec;nolo1ies %e contr@le %-acc9s au SI sont-elles utilises 4
3%
10%
5%
5%
7%
16%
14%
5%
9%
14%
32%
32%
45%
47%
85%
76%
61%
63%
48%
36%
1%
3%
1%
2%
2%
94%
85%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2008
2012
2008
2012
2008
2012
2008
2012
3
u
t
#
e
n
t
Q
!
o
m
t
r
&
u
e
3
u
t
#
e
n
t
Q

p
a
r
m
o
t

d
e

p
a
s
s
e
n
o
n

r
e
I
(
o
u
a
!
"
e
3
u
t
#
e
n
t
Q

p
a
r
c
e
r
t
c
a
t
"
e
c
t
r
o
n
&
u
e
s
u
r

s
u
p
p
o
r
t
m
a
t
e
"
3
u
t
#
e
n
t
Q

p
a
r
c
e
r
t
c
a
t
"
e
c
t
r
o
n
&
u
e
"
o
$
e
"

#i2u/( @@ - T(cAnolo2i(s -( con*/Hl( -60cc+s 0u SI u*ilis1(s -0ns l(s coll(c*i=i*1s

Con*/Hl( -60cc+s c(n*/0lis1
Les s'st7mes de contrTle 8ebSS, et SS, maintiennent leur pro;ression dans les collectivits) Ici encoreD
les villesD les Conseils .nrau& et /;ionau& utilisent compl7tement ou partiellement ces tec6nolo;ies
dans C ( O cas sur 10 pour le SS, et dans # ( C cas sur 10 pour le 8ebSS,)
Les intercommunalits sont plutTt frileuses) %lles nEutilisent ces tec6nolo;ies que dans 1 J8ebSS,L ( 2
JSS,L cas sur 10)
6%
6%
7%
9%
23%
10%
24%
15%
69%
73%
4%
4%
80%
71%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2008
2012
2008
2012
N
e
!

1
1
B
1
1
B

5
1
n
$
"
e
1
$
n

B
n
6

#i2u/( @& - T(cAnolo2i(s -( con*/Hl( -60cc+s c(n*/0lis1

P2$110 ! CL"SIF 2012 Menaces informatiques
$(s*ion -(s A07ili*0*ions D un ,0n3u( -6in*1/J*
0 peine # collectivits sur 10 ont mis en place une ;estion des droits par rTle ou profil mtier) Ici encoreD
il ' a une asse? ;rande disparit) CEest une mairie sur 2 et plus de # Conseils .nrau& et /;ionau& sur 10
qui ont mis en place ces outilsD contre 1 sur C pour les intercommunalits)
7%
10%
13%
9%
23%
16%
12%
10%
21%
15%
9%
14%
64%
69%
60%
63%
1%
2%
2%
7%
8%
8%
78%
80%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2008
2012
2008
2012
2008
2012
,
r
o
%
o
n
n
n
$
N
o
r
:
f
"
o
P
s
d
<
a
p
p
r
o
!
a
t
o
n
d
e
s
#
a
!
"
t
a
t
o
n
s
M
o
d
@
"
e
s
d
<
#
a
!
"
t
a
t
o
n
s
u
r

!
a
s
e

d
e
p
r
o
f
"
s

F

r
=
"
e
m
e
r

#i2u/( @" - $(s*ion -(s A07ili*0*ions -0ns l(s coll(c*i=i*1s

Lo;iquementD la mise en place dEun \or@flo\ de validation des 6abilitations suit la mBme courbeD avec
une diffrence par rapport ( 200Q plus marque Jperte de 10 pointsL mais une rpartition 6tro;7ne ^
pr7s dEun conseil ;nral ou r;ional et dEune ville sur 2 en font un usa;e ;nralis ou partiel)
Le provisionnin; est en faible croissanceD principalement tir par les Conseils .nrau& et /;ionau& qui
lEutilise dans O0 U des cas) Cela peut sEe&pliquer du fait que ces collectivits ont du faire face depuis 200Q
( lEarrive importante de nouveau& a;ents suite au& transferts de comptences)
Ces outils sEaccompa;nent de procdure formelle de crationD modification et suppression de comptes
utilisateurs nominatifs dans V collectivits sur 10 et mBme dans Q villes ou Conseils .nrau& et /;ionau&
sur 10) Ces procdures sappliquent ( tous les comptes dans V0 U des cas ' compris les comptes
administrateurs)
1es r7;les de constitutions et de premption des mots de passe e&istent dans 1 collectivit sur 2) %lles
sont s'stmatiques dans un cas sur #) Ici encoreD les villesD les Conseils .nrau& et /;ionau& se
dmarquentD puisque les r7;les sont s'stmatiques dans une ville sur 2 et V Conseils .nrau& et
/;ionau& sur 10)

-67me 12 H 0cquisitionD dveloppement et maintenance du S)I
2ue les solutions soient directement dveloppes en interne ou via des prestatairesD la scurit fait partie
int;rante de leur acquisitionD leur dveloppement et de leur maintenance)
Les vulnrabilits tant volutivesD il convient de mettre en place une veille et des processus de mise (
>our particuliers)
Si la veille en vulnrabilits est tou>ours prsente et empiriqueD il reste quand mBme un bon tiers des
collectivits na'ant pas de pratique particuli7re)
Menaces informatiques ! CL"SIF 2012 P#$110
:alise=-(ous une (eille per$anente en (ulnra2ilits et en solutions %e scurit %e l3in.or$ation 4
-onG 38%
-onG 35%
1
%
Bu G 24%
Bu G 20% Bu 9 en part eG 41%
Bu 9 en part eG 41%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2008
2012
Bu 9 s7stmat &uement Bu 9 en part e -on -e sa t pas

#i2u/( &C - V(ill( (* 2(s*ion -(s =uln1/07ili*1s -0ns l(s coll(c*i=i*1s

"n point tonnantD concerne la ;estion des patc6s o_ lon note un net recul des pratiques)
A(e=-(ous .or$alis %es proc%ures %e %ploie$ent %e correcti.s %e scurit 5patc; $ana1e$ent6 4
3%
Bu G 52%
Bu G 35% -onG 62%
-onG 48%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2008
2012
Bu -on -e sa t pas

#i2u/( &% - P/oc1-u/(s .o/,0lis1(s -( -14loi(,(n* -( co//(c*i.s -( s1cu/i*1

Il est ( noter mal6eureusement que ces politiques semblent influencer les collectivits sur leur ractivit
lors de la dcouverte dincidents) L( o_D en 200QD nous avions plus des 2 tiers capables de ra;ir dans la
>ourne sur un incidentD nous avons maintenant une ractivit approc6ant les O0 U sur # >ours)
En cas %e $enace 1ra(e! en $o8enne quel %lai est ncessaire pour %plo8er les correcti.s 4
1 #eureG 26% 1 (ourG 58%
3 (ours
4%
8% 4%
22%
1 #eure
10%
1 (ourG 49%
3 (ours
12%
8%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2008
2012
1 #eure 1 (our 3 (ours 8ors de sess ons p" an f es de m se ) (our -e sa t pas

#i2u/( &' - D1l0i -( -14loi(,(n* -(s co//(c*i.s -( s1cu/i*1

Concernant les dveloppementsD les collectivits dclarent pour O U dentre:elles avoir mis en place des
c'cles de dveloppements scuriss

PC$110 ! CL"SIF 2012 Menaces informatiques
-67me 1# ^ .estion des incidents de scurit
n( 4/o2/(ssion -0ns l0 4/is( (n co,4*( -(s inci-(n*s 40/ l(s coll(c*i=i*1s
Les collectivits territoriales investissent dans une meilleure appr6ension des incidents de scuritD avec
des cellules de traitement de mieu& en mieu& or;anises) Ltude rv7le une pro;ression dans lvaluation
des impacts financiers des incidents)
E<iste-t-il une cellule %e collecte et %e traite$ent %es inci%ents %e scurit 4
-onG 73%
-onG 69%
1
%
3
%
6%
11% 17%
20%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2008
2012
Bu 9 ce" " u" e dd e Bu 9 ce" " u" e parta$e a%ec d'autres fonct ons -on -e sa t pas

#i2u/( &3 - EBis*(nc( -6un( c(llul( -( coll(c*( (* -( */0i*(,(n* -(s inci-(n*s -( s1cu/i*1

R(cul 2lo70l -( l0 sinis*/0li*1 ,0is 4/o2/(ssion -(s in.(c*ions 40/ =i/us
Les statistiques de sinistralit sont en net recul H consquences des nouvelles mesures ou manque de
traabilit M Les pertes de services essentielsD les infections virales et les pannes dori;ine interne
reprsentent tou>ours les principales causes dEincidents de scurit) Ceu& lis au& fraudesD sabota;es et
intrusions reprsentent un total de V U des sinistres identifis)
Menaces informatiques ! CL"SIF 2012 PO$110
Au cours %e l3anne prc%ente! (otre or1anis$e a-t-il su2i %es inci%ents %e scurit %e l3in.or$ation
conscuti.s ,/
0%
2%
5%
6%
2%
3%
7%
6%
9%
31%
31%
38%
40%
20%
44%
0%
2%
2%
2%
2%
3%
3%
4%
6%
12%
17%
19%
24%
25%
27%
0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 50%
actes de c#anta$e ou
d'eCtors on nformat &ue
sa!ota$es p#7s &ues
fraudes nformat &ues
ou t" com
acc dents p#7s &ues
ntrus ons sur " es
s7st@mes d' nformat on
actes de dn $rement
ou d'atte nte ) " ' ma$e
%nements nature" s
d %u" $at ons
atta&ues " o$ &ues c !" es
erreurs de concept on
erreurs d'ut " sat on
%o" s F d spar t ons de matr e"
nformat &ue ou t" com
pannes d'or $ ne nterne
nfect ons par % rus sans &ue " a
co" " ect % t so t spc f &uement % se
pertes de ser% ces essent e" s
2008 2012

#i2u/( &4 - T)4olo2i( -(s inci-(n*s -( s1cu/i*1 4ou/ l(s coll(c*i=i*1s

PV$110 ! CL"SIF 2012 Menaces informatiques
-67me 1C ^ .estion de la continuit dactivit
LEenquBte montreD quEen mati7re de ;estion de la continuit dEactivitD les Collectivits sont tr7s en retrait
par rapport au& entreprises)
3our preuveD plus dune Collectivit sur 2 ne dispose daucun processus de ;estion de la Continuit
dactivit) 3lus surprenant encoreD sur laspect indisponibilit des s'st7mes informatiquesD seulement C2 U
dentre:elles le prennent en compte)
"n quart des Collectivits consid7rent les deu& scnarios H locau& et a;ents)
%nfinD on peut se poser la question de ce que feraient les QP U des Collectivits qui n;li;ent le scnario
dune panne lectrique ou dun oprateur essentiel)
7a 1estion %e la continuit %-acti(it %ans (otre collecti(it cou(re-t-elle les scnarios sui(ants 4
13%
25%
26%
42%
54%
0% 10% 20% 30% 40% 50% 60%
. nd spon ! " t d'un
fourn sseur essent e"
. nd spon ! " t des ressources
#uma nes 5co" " a!orateurs6
. nd spon ! " t des " ocauC
. nd spon ! " t des
s7st@mes nformat &ues
3ucun processus m s en p" ace

#i2u/( &! - Cou=(/*u/( -(s sc1n0/ios -( 2(s*ion -( l0 con*inui*1 -0ns l(s coll(c*i=i*1s

"n quart des Collectivits ont d>( un *ilan dImpact sur l0ctivit) Ces rsultats sont intressants (
double titre a on note une forte prise en compte JW0 UL de ltape dun *I0 qui devrait se traduire par une
amlioration de la couverture des scnarios dans les proc6aines annes)
A(e=-(ous (alu les e<i1ences F Btiers F en ter$es %e Dlai Ba<i$al %-Interruption A%$issi2le
5DBIA ou :TD6 et %e &erte %e Donnes Ba<i$ale A%$issi2le 5&DBA ou :&D6 %ans le ca%re %-un BIA
5Bilan %-I$pact sur l-Acti(it6 .or$el 4
-onG 9%
3
%
Bu G 26% 4n coursG 63%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

#i2u/( &9 - E=0lu0*ion -(s (Bi2(nc(s ,1*i(/s -0ns l( c0-/( -u 7il0n -6i,40c* su/ l60c*i=i*1

3lus de la moiti des collectivits ne teste pas son plan de continuit) Cette pratique est faiblement suivie
par manque de ressources pour raliser les tests) Si le processus du *I0 se formaliseD il devient ncessaire
dallouer des ressources pour le maintien en conditions oprationnelles du 3C0)
Menaces informatiques ! CL"SIF 2012 PP$110
A quelle .rquence les plans %e continuit %-acti(it sont-ils tests 4
>ama s
59%
3%
6%
8%
8%
8%
7%
>ama s
56%
R1Fan
8%
R1Fan
8%
1Fan
14%
1Fan
15%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
0est p" an de cont nu t par
ut " sateurs ds $ns dans
" e cadre de " 'act %at on du
,23
0est p" an de
cont nu tFrepr se
d'act % t nformat &ue
>ama s Mo ns d'une fo s par an Une fo s par an
," us eurs fo s par an 8ors de c#an$ement5s6 mportant5s6 -e sa t pas

#i2u/( &@ - #/13u(nc( -(s *(s*s -(s 4l0ns -( con*inui*1

-67me 1O Conformit
Ce t67me aborde les lments lis ( la conformit sous # aspects H
la conformit avec la loi F Informatique et Liberts GD
laudit des S'st7mes dInformationD
lutilisation de tableau de bord)

Con.o/,i*1 0=(c l0 loi L In.o/,0*i3u( (* Li7(/*1s M
Concernant la conformit au& obli;ations de la C+ILD une baisse de Q points sest opre en 2012D par
rapport ( 200Q) Sa;it:il dune prise de conscience plus ai;]e des e&i;ences de la C+IL M Cela tmoi;ne:t:il
dune plus ;rande F sensibilit GD favorise par les actions de contrTle mene par la C+IL M
3robablementD et les e&i;ences du /.S J/frentiel .nral de ScuritL ont vraisemblablement suscit
un re;ard plus attentif ( certaines e&i;ences communes)
PQ$110 ! CL"SIF 2012 Menaces informatiques
A (otre a(is! (otre collecti(it est-elle en con.or$it a(ec les o2li1ations %e la #NI7 4
1%
5%
5
%
8
%
0ota" ementG 69%
0ota" ementG 53%
,our " es tra tements
" es p" us sens !" esG
34%
,our " es tra tements
" es p" us sens !" esG
26%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2008
2012
0ota" ement ,our " es tra tements " es p" us sens !" es ,as du tout -e sa t pas

#i2u/( && - Con.o/,i*1 CNIL -(s coll(c*i=i*1s

"ne partie des intentions de 200Q se sont concrtises) +ous constatons au>ourdE6ui #W U de
Correspondants C+IL nomms ou prvus Jdcision priseL par rapport ( #P U en 200Q) Cette volution de 2
points masque une forte disparit entre les Communauts et les autres Collectivits)
Sur cet aspect ;alement les Conseils .nrau& et /;ionau& sont en avance JCC U en placeL) Les
Communes e&priment une nette intention de satisfaire ( cette e&i;ence H #O U de CIL sont nomms et 1PU
prvus et dcids)
+otre collecti(it $et-elle en place un #orrespon%ant In.or$atique et 7i2ert tel que %.ini par la #NI7 4
-onG 41%
-onG 43%
3
%
5
%
30%
31%
pr%u
8%
pr%u
7%
3 " 'tude
19%
3 " 'tude
13%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2008
2012
Bu 9 c'est d() fa t Bu 9 c'est pr%u 5" a dc s on est pr se6
2'est ) " 'tude 5" a rf" eC on est en cours6 -on
-e sa t pas

#i2u/( &" - EBis*(nc( -6un Co//(s4on-0n* In.o/,0*i3u( (* Li7(/*1 -0ns l(s coll(c*i=i*1s

Les Conseils .nrau& et les Conseils /;ionau& tmoi;nent dune plus ;rande connaissance de leurs
obli;ations l;ales H CO U ont rpondu F oui G)
Menaces informatiques ! CL"SIF 2012 PW$110
+otre collecti(it est-elle sou$ise , %es lois etGou r1le$entations spci.iques en $ati9re %e scurit
%es in.or$ations 4
Bu G 26% -onG 68% 7%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Bu -on -e sa t pas

#i2u/( "C - R12l(,(n*0*ions s41ci.i3u(s (n ,0*i+/( -( s1cu/i*1 -( l6in.o/,0*ion

Mal;r le dcret paru en 2010 concernant le /.S J/frentiel .nral de ScuritLD seulement #P U des
Collectivits dclarent avoir pris en compte les obli;ations de conformit pour 201#) Ici encoreD les
c6iffres montrent une ;rande disparit entre collectivits puisque les Conseil .nrau& et /;ionau& sont
en cours de conformit ( OW U et les villes ( V2 U)
+otre collecti(it est-elle con.or$e au :HS 5:.rentiel Hnral %e Scurit6 4
-onG 31% -e sa t pasG 33%
Bu
9%
Bu 9 en part eG 28%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Bu 9 tota" ement Bu 9 en part e -on -e sa t pas

#i2u/( "% - Con.o/,i*1 -(s coll(c*i=i*1s 0u R$S

L(s 0u-i*s
n( 4/0*i3u( -( l60u-i* 3ui n( s60,1lio/( 40s.
C0 U de collectivits m7nent un audit au moins une fois par anD alors que OV U nEen m7nent pas du tout)
Ces c6iffres sont les mBmes que lors de la derni7re enquBte)
Les audits raliss traitent plus souvent des aspects tec6niques que des aspects or;anisationnels) Si les
c6iffres sont deu& fois plus importants quEil ' a C ansD la proportion entre les diffrents t'pes dEaudit est
stable)
Q0$110 ! CL"SIF 2012 Menaces informatiques
0uels t8pes %-au%its ou contr@les %e scurit sont $ens au sein %e (otre collecti(it 4
15%
27%
34%
36%
6%
2%
53%
62%
74%
0% 10% 20% 30% 40% 50% 60% 70% 80%
-e sa t pas
3utres
Mr f cat on de " 'or$an saI
t on et des procdures
0ests d' ntrus on rseauC
Mr f cat on des conf $uI
rat ons tec#n &ue
2008 2012

#i2u/( "' - T)4(s -60u-i*s ou -( con*/Hl(s -( s1cu/i*1 /10lis1s

Ces audits sont une fois sur 2 motivs par la politique de scurit ou des e&i;ences contractuelles ou
r;lementaires) Les e&i;ences du /.S se font sentir sur les pro>ets F sensibles G) Les incidents dclenc6ent
un audit deu& fois plus quEil ' a C ans)
0uelles sont les $oti(ations principales qui %clenc;ent ces au%its 4
18%
8%
3%
12%
23%
3%
12%
16%
22%
34%
49%
0% 10% 20% 30% 40% 50% 60%
-e sa t pas
3ud t de t ers eCterne
5assureur9 2" ent9 2326
3pr@s un nc dent
1ur " es pro(ets sens !" es
4C $ence contractue" " e ou
r$" ementa re
Respect de " a ,11.
2008 2012

#i2u/( "3 - Mo*i=0*ions 4ou/ l0 /10lis0*ion -(s 0u-i*s

L(s *07l(0uB -( 7o/- -( s1cu/i*1
LEutilisation de tableau de bord nEa pas pro;ress depuis la derni7re enquBte) 0insiD seule 1 collectivit sur
10 annonce avoir mis en place des outils de ce t'pe) Il sEa;it alors ma>oritairement des tableau& de bord
oprationnels JPC U des casLD ( des fins de pilota;e de la fonction scurit JC0 UL et dans les
intercommunalits et C.$C/ de tableau& de bord strat;iques ( destination de la 1irection .nrale ou
des lus JC0 UL)
Menaces informatiques ! CL"SIF 2012 Q1$110
*ien que la population concerne soit faible J1 collectivit sur 10L et quEil soit dlicat dEen tirer une
conclusion ;lobaleD il appara[t intressant de prsenter les t'pes dEindicateurs mis en Ruvre)
5Si ta2leau %e 2or%6 0uels sont les t8pes %-in%icateurs que (ous sui(e= %ans ce ta2leau %e 2or% 4
7%
15%
31%
32%
33%
33%
37%
38%
44%
46%
47%
47%
61%
81%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90%
-e sa t pas
3utre
4%a" uat on des r s&ues mt er
5T /a" anced 1core2ard T6
0auC de personnes
sens ! " ses
0auC de m se ) (our
des patc#es de scur t
1u % du !ud$et consacr )
" a scur t de " ' nformat on
2onform t a%ec " es normes
5comme " '. 1B 270016
-om!re d'atta&ues arr*tes
par " es d spos t fs de scur t
3%ancement des pro(ets
de scur sat on
. mpacts d rects et nd rects
des nc dents de scur t
2onform t a%ec " a ,1.
0auC de m se ) (our
des s $natures 3nt % ra" es
Mu" nra! " ts dtectes
-om!re d' nc dents
sur une pr ode

#i2u/( "4 - In-ic0*(u/s sui=is -0ns l( *07l(0u -( 7o/-

Menaces informatiques ! CL"SIF 2012 Q#$110
!nternautes

3rofil des internautes et inventaire
informatique
3erception et sensibilit au& menaces
et au& risques
"sa;es des internautes
Mo'ens et comportements de scurit

QC$110 ! CL"SIF 2012 Menaces informatiques
Les internautes

3rsentation de lEc6antillon
3our la troisi7me fois conscutiveD le CL"SIF enquBte sur les pratiques et les comportements des
particuliers autour dInternet ( partir de leurs quipements personnels) Cette nouvelle tude a t
ralise dbut 2012 ( partir dun c6antillon de 1000 personnes)
Comme pour les tudes prcdentesD les oprations et les traitements statistiques des donnes ont t
effectus par le cabinet spcialis .M4 Conseil qui sest appu' sur un panel dinternautes ;r par 5arris
Interactive)
Lc6antillon a t constitu de faon ( reprsenter le plus prcisment possible la ralit des internautes
franais ( partir des donnes socioprofessionnelles dont dispose le cabinet)
Lc6antillon final a fait lob>et dun redressement sur les donnes de si;naltique et par rapport au&
donnes connues sur le plan national H se&eD N;eD r;ionD t'pe da;;lomrationD cat;orie
socioprofessionnelleD mais aussi F0ID pratique dEInternetD etc)

Les internautes
Menaces informatiques ! CL"SIF 2012 QO$110

3artie I ^ 3rofil des Internautes et inventaire informatique
%n 2010D la prcdente enquBte montrait que la moiti des fo'ers interro;s ne possdait quun seul
ordinateur familialD au>ourd6ui le nombre dunits par fo'er a fortement au;ment)
Le nombre des fo'ers possdant trois ordinateurs ou plus est ainsi pass de 21 U ( 2P UD avec une
stabilisation du pourcenta;e des fo'ers en possdant deu&) Les pourcenta;es des fo'ers possdant 1 ou 2
ordinateurs familiau& sont tr7s proc6es maintenant et se rpartissent de mani7re identique dans c6aque
classe dN;e)
,n constate surtout une arrive en masse des autres quipements H
pr7s de O0 U des fo'ers sont quips dun ou deu& smartp6onesD pr7s de V0 U c6e? les moins de
#O ansD
dans environ 11 U des casD les fo'ers poss7dent au moins une tabletteD pour toutes les tranc6es
dN;e au dessus de 2O ans)
,n arrive ;lobalement ( un nombre mo'en dquipements par fo'er de 1DP unit JordinateurD smartp6oneD
tabletteL)
Mal;r cette diversit dquipementsD la tr7s ;rande ma>orit des internautes JWV UL se connecte (
Internet avec lordinateur familial)
0u domicileD les deu& tiers des acc7s sont effectus au travers dune conne&ion sans fil J\ifiL) 2uant au
mode de raccordement lui:mBmeD cest au travers dune liaison 6aut dbit J01SLD cNble ou fibre optiqueL
pour pr7s de W0 U des fo'ers)
A (otre %o$icile! utilise=-(ous une conne<ion IiJi pour (ous connecter , Internet 4
Bu G 59%
Bu G 74%
-onG 40%
-onG 26%
1
%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2010
2012

#i2u/( "! - *ilis0*ion -u Qi.i

-ou>ours dans la sp67re personnelleD les fo'ers qui poss7dent des crans de tlvision et des consoles de
>eu& qui communiquentD les connectent effectivement ( Internet ( respectivement #O U et 2V U) 4iennent
ensuite avec des pourcenta;es beaucoup plus faiblesD la voitureD llectromna;erS
%n de6ors du domicileD CV U des internautes se connectent tr7s r;uli7rement ( Internet)
Les services de stoc@a;e dans le nua;e sont encore peu utiliss J1V U des fo'ersLD la ma>orit sen servant
pour stoc@er des donnes personnelles J11 U des fo'ersL)
Les quipements personnels JordinateurD tablette ou smartp6oneL sont utiliss dans C2 U des fo'ers pour
traiter des donnes lies ( lactivit professionnelles J6ors conversation tlp6oniqueL sac6ant que seul
QO U de lc6antillon des internautes est concern par le su>et)

Les internautes
QV$110 ! CL"SIF 2012 Menaces informatiques

3artie II ^ 3erception et sensibilit au& menaces et au& risques
n( 4/is( -( consci(nc( 0cc/u( -(s /is3u(s li1s 5 In*(/n(*
La prise de conscience des Internautes quant au& risques lis ( lacc7s Internet depuis leur ordinateur est
plus nette quil ' a deu& ans H ils sont maintenant 1O U contre 10 U ( considrer quil n' a aucun risqueD
et #0 U contre 2# U ( considrer que les risques sont F importants G ou F tr7s importants G) CertainsD bien
conscients des risquesD ont fait leffort dau;menter leurs mo'ens de protectionD de faon ( diminuer le
niveau de risque)
A(ec (otre or%inateur! pense=-(ous que l3acc9s , Internet .asse courir %es risques ,
(os %onnes 5%ocu$ents! p;otos! (i%os! etc?6 ou , (otre $atriel %es risques/
mportantsG 21%
mportantsG 26%
15%
10%
11%
9%
2%
4%
peu mportantsG 51%
peu mportantsG 51%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2010
2012
tr@s mportants mportants peu mportants aucun r s&ue -e sa t pas

#i2u/( "9 - P/is( -( consci(nc( -(s /is3u(s

3our les smartp6ones et les tablettesD le risque est peru comme tant plus fort que sur les ordinateurs
personnels
Lacc7s depuis un smartp6one ou une tablette est peru comme tant F un peu plus G ou F beaucoup
plus G risqu pour 2V U des internautesD tandis que #1 U pensent que le niveau de risque est le mBme que
sur un ordinateur)
Selon (ous! l-utilisation %-Internet sur (otre s$artp;oneGta2lette au1$ente ou
%i$inue-t-elle les risques co$par , l3utilisation %3un or%inateur 4
2% -e sa t pasG 34% XX : 9% X : 17% Y : 31% I : 7%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
3u$mente !eaucoup p" us sur un smartp#oneFta!" ette &ue sur un ord nateur
3u$mente un peu p" us sur un smartp#oneFta!" ette &ue sur un ord nateur
M*me n %eau de r s&ue sur un smartp#oneFta!" ette &ue sur un ord nateur
+ m nue un peu sur un smartp#oneFta!" ette par rapport ) un ord nateur
+ m nue !eaucoup sur un smartp#oneFta!" ette par rapport ) un ord nateur
-e sa t pas

#i2u/( "@ - P(/c(4*ion -(s /is3u(s su/ s,0/*4Aon( (* *07l(**( 40/ /044o/* 5 un o/-in0*(u/

Les internautes
Menaces informatiques ! CL"SIF 2012 QP$110
La perception des risques au&quels les smartp6ones et tablettes sont e&poss est leve H C0 U des
internautes pensent mBme quelle est en 6ausseD et autant pensent quelle est stable) Lutilisation de ces
quipements appara[t ;lobalement comme plus ( risque que pour des ordinateurs personnels pour lesquels
la perceptionD bien quen 6ausse nette depuis deu& ans Jde 20 ( #2 UL reste infrieure)
Esti$e=-(ous que les %an1ers et les risques au<quels (os s$artp;ones ou ta2lettes sont e<poss sont 4
4%1%
-e sa t pas
15%
3% 9% 28% 40%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
4n tr@s forte #ausse 4n forte #ausse 4n #ausse 1ta!" es 4n !a sse 4n forte !a sse -e sa t pas

#i2u/( "& - P(/c(4*ion -( l61=olu*ion -(s /is3u(s 4ou/ s,0/*4Aon( (* *07l(**(

Vi( 4/i=1( su/ In*(/n(* D -(s 1c0/*s 21n1/0*ionn(ls ,0/3u1s
Le de;r de sensibilit au& dan;ers relatifs ( leur vie prive sur Internet est variable H 1W U des
internautes consid7rent quelle est fortement en dan;er sur Internet contre 1V U lors de la prcdente
tude) 3armi eu&D la ;nration = des 1O:2C ans apparait fortement sensibilise H ils sont 2P U ( percevoir
un fort dan;er alors que les autres tranc6es dN;e sont moins de 20 U ( le penser)
%n revanc6eD 2W U des internautes consid7rent dsormais que leur vie prive nest F pas du tout G ou F pas
vraiment G en dan;er alors quils ntaient que 2C U il ' a deu& ans) 3armi eu&D les #O:CW ans apparaissent
comme percevant le moins les risques)

Selon (ous! Internet $et-il en %an1er (otre (ie pri(e 4
Bu 9 un peuG 57%
Bu 9 un peuG 51%
4%
6%
2%
1%
Bu 9 fortement
19%
Bu 9 fortement
16%
-on9 pas %ra mentG
23%
-on9 pas %ra mentG
21%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2010
2012
Bu 9 fortement Bu 9 un peu -on9 pas %ra ment -on9 pas du tout -e sa t pas

#i2u/( "" - P(/c(4*ion -u /is3u( 40/ /044o/* 5 l0 =i( 4/i=1(

S*ocP02( -0ns l( nu02( D un nou=(l us02( (nco/( 4(u /140n-u
1ans lensembleD la moiti des internautes ne se prononce pas sur les risques lis ( lutilisation de service
de stoc@a;e dinformation dans le nua;e) 3armi les internautes utilisateursD 1O U sont plus confiants que
dans un stoc@a;e localD contre #O U qui pensent que les risques sont plus levs dans le nua;e et #2 U qui
consid7rent que le niveau de risque est quivalent)

Min(u/s (* In*(/n(* D un /is3u( -on* l(s in*(/n0u*(s son* l0/2(,(n* consci(n*s
Le questionnaire senric6it cette anne dune question relative ( la perception du dan;er que peut
reprsenter Internet pour les mineurs)
,n ne peut que se r>ouir de ce quune ;rande ma>orit des internautes JPP UL consid7rent quInternet
reprsente un dan;er pour les mineursD tous t'pes de supports confondus Jque ce soit sur un ordinateurD
une tablette ou un smartp6oneL)
Les internautes
QQ$110 ! CL"SIF 2012 Menaces informatiques
La mobilit ne semble pas Btre perue comme un facteur dterminant ou amplifiant le dan;er H seuls P U
des internautes ont estim quInternet reprsente un dan;er pour les mineursD F surtout avec une tablette
ou un smartp6one G)
&ense=-(ous qu-Internet prsente un %an1er pour les $ineurs 4
Bu
7%
Bu G 77%
-on9 pas
%ra mentG 13%
1%
2%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Bu 9 surtout a%ec une ta!" ette ou un smartp#one
Bu 9 &ue ce so t sur ord nateur9 une ta!" ette ou un smartp#one
-on9 pas %ra ment
-on9 pas du tout
-e sa t pas

#i2u/( %CC - P(/c(4*ion -u -0n2(/ -6In*(/n(* 4ou/ l(s ,in(u/s

Les internautes ont ma>oritairement JQC UL conscience du dan;er que peut reprsenter Internet pour les
mineurs)
-outefoisD ces bons c6iffres sont ( relativiser avec la proportionD encore importanteD dinternautes qui
consid7rent quInternet ne reprsente F pas vraiment G ou F pas du tout G un dan;er pour les mineurs
J1C UL)
L( =ol -( -onn1(s8 un -0n2(/ sous-(s*i,1 40/ l(s in*(/n0u*(s R
Seuls #C U des internautes dclarent avoir perdu des donnes sur leur ordinateur au cours des 2C derniers
mois) 3lus prcismentD seuls # U auraient perdu des donnes suite ( un pirata;eD et pour P U dentre eu&D
ce serait li ( une activit virale)
Ces rsultats sont faibles face ( laccroissement observ par ailleurs du nombre de pirata;es et de
corruption dordinateurs)

Les internautes
Menaces informatiques ! CL"SIF 2012 QW$110
Dans les 24 %erniers $ois! a(e=-(ous per%u %es %onnes sur (otre or%inateur 4
6%
8%
7%
4%
4%
4%
2%
3%
7%
14%
11%
15%
15%
12%
11%
-onG 60%
-onG 63%
-onG 69%
-onG 66%
-onG 65%
4%
4%
4%
3%
4%
6%
Bu
% rus 8%
Bu erreur
man p 16%
10%
Bu casse
panne %o" 13%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
15I24 ans
25I34 ans
35I49 ans
50 ans et X
4nsem!" e
Bu 9 par % rus Bu 9 par p rata$e
Bu 9 par une erreur de man pu" at on Bu 9 su te ) une panne9 une casse ou un %o"
-on -e sa t pas F ou!"

#i2u/( %C% - P(/*( -( -onn1(s su/ l(s o/-in0*(u/s

0insiD VO U des internautes dclarent navoir subi aucune perte de donnes sur leur ordinateur durant ces
2C derniers mois)
Il est cependant difficile de distin;uer les internautes na'ant pas conscience des pertes de donnes
subies J( leur insuL de ceu& na'ant effectivement pas subi de perte de donnes K Ce rsultat est ( mettre
en perspective avec la nature discr7te et furtiveD du pirata;e ou de lactivit dun virus ou dun mal\areD
qui sont en consquence rarement dtects)
Il confirme ;alement la tendance observe dans ltude 2010D selon laquelle la perception du risque
dintrusion par les internautes tait en baisse)
Lerreur de manipulation et la panne sont quant ( elles plus facilement perues et si;nales par les
internautes) 0insiD 11 U dentre eu& dclarent avoir subi une perte de donnes sur leur ordinateur suite (
une erreur de manipulation et 1# U suite ( une panneD une casse ou un vol)
Con*/( *ou*( 0**(n*(8 lS2( nin.lu(nc( 3u( 4(u8 =oi/( 40s8 l0 4(/c(4*ion -( l0 ,(n0c( (n l0
,0*i+/(.
0insiD et contrairement au& ides reuesD les F >eunes G et les F di;ital natives G Jdans la tranc6e des 1O:
2C ans et des 2O:#C ansL ne paraissent pas plus au fait dventuelles pertes de donnes faisant suite ( des
pirata;es ou ( la prsence de virusD que les plus F N;s G J#O:CW ans et O0 ans et plusL K
Les c6iffres sont en effet tr7s 6omo;7nes H ( titre de&empleD tant les 1O:2C ans que les plus de O0 ans
sont entre V0 et P0 U ( dclarer navoir connu aucune perte de donnes a et seuls V U des 1O:2C ans
dclarent en avoir connu une sur leur ordinateur au cours des 2C derniers moisD contre Q U pour les O0 ans
et plus)
Les internautes
W0$110 ! CL"SIF 2012 Menaces informatiques

n( con.i0nc( ,0?*/is1( R
0u palmar7s des situations susceptibles dau;menter le plus fortement les risquesD on trouve par ordre
dcroissant H
labsence danti:virus sur son ordinateur H pour QQ U des internautesD contre W1 U il ' a deu& ans)
&ense=-(ous que ne pas a(oir %-anti(irus sur (otre or%inateur au1$ente les risques 4
66%
66%
23%
26%
21%
24%
7%
3%
6%
1%
1%
1%
1%
4%
6%
5%
6%
5%
au$H tr@s fortement " es
r s&ues: 65%
66%
60%
au$H fortement
" es r s&ues : 23%
6%
7%
1%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
15I24 ans
25I34 ans
35I49 ans
50 ans et X
4nsem!" e
3u$mente tr@s fortement " es r s&ues 3u$mente fortement " es r s&ues
3u$mente fa !" ement " es r s&ues -'au$mente pas du tout " es r s&ues
-e sa t pas

#i2u/( %C' - P(/c(4*ion -u /is3u( L 07s(nc( -60n*i=i/us su/ l6o/-in0*(u/ M

la divul;ation de ses coordonnes personnelles sur des sites Internet H pour Q0 U des internautesD
sac6ant toutefois que O2 U des internautes font des ac6ats en li;ne par internet F souvent G (
F tr7s souvent GD et #V U F parfois GD
labsence de fire\all Jpare:feuL H pour PW U des internautesD
un anti:virus mais qui nest pas ( >our H pour PO U des internautesD cEest:(:direD un anti:virus qui
nest pas efficace contre les menaces rcentes) 0 noter que les 1O:2C ans sont beaucoup moins
mfiants que les plus de O0 ansD
le c6oi& de mots de passe trop simples H pour P1 U des internautesD
labsence de sauve;ardes des fic6iers H pour P0 U des internautesD S qui se trouveront donc fort
dpourvus lorsque la perte sera venue S
3lus de la moiti des internautes consid7rent quil ' a de nombreuses autres situations susceptibles
dau;menter les risques H
pour les mots de passe H avoir le mBme sur plusieurs sites Internet ou ne pas en avoir sur son
smartp6oneD
tlc6ar;er des lo;iciels ou des bonus ;ratuits J2C U des internautes disent le faire F souvent G
( F tr7s souvent GLD des utilitairesD des smile'sD des fonds dcranD des barres de navi;ationD des
codes de contournement pour des >eu&D des musiques ou des films en peer:to:peerD etc)D
ne pas bien s' connaitre en informatiqueD
Les internautes
Menaces informatiques ! CL"SIF 2012 W1$110
ne pas avoir danti:spam sur son ordinateurD les 1O:2C ans tant beaucoup plus confiants que les
plus de O0 ansD
faire des ac6ats en li;ne avec son smartp6one H un tiers des internautes dclare le faireD ce qui
ncessite ;nralement la saisie des coordonnes bancaires) ,n notera que les 1O:2C ans sont
plus confiants que les plus de O0 ansD mBme si au total 1O U des internautes estiment ne pas
savoir si un antivirus est ncessaire ( la scurit de leurs smartp6ones ou de leurs tablettes KD
ne pas avoir danti:virus sur son smartp6one ou sa tablette KD
ne pas faire de copie de sauve;arde des donnes de son smartp6oneD les 1O:2C ans tant encore
une fois moins conscients des risques que les plus de O0 ans)
M0is 3u(l3u(s inc(/*i*u-(s8 ou un( con.i0nc( in-u(
0insiD certains risques sont tr7s mal connus des internautesD par e&emple H
la ncessit davoir un s'st7me de&ploitation ( >ourD et de le maintenir dans cet tat H en
mo'enne 12 U ne le sait pasD
le dan;er de tlc6ar;er des applications depuis son smartp6one ou sa tablette H si en mo'enne
1W U ne le sait pasD on retrouve lcart ;nrationnel invers H 2V U pour les plus de O0 ansD mais
seulement W U pour les 1O:2C ansD sans qui sont plus familiariss avec ces outilsD
le dan;er de tlc6ar;er des musiques ou des films en peer:to:peer JeMuleD *it-orrentsD etc)L H
pour environ 1P U des plus de #O ansD
ne pas avoir de s'st7me de protection lectrique pour son ordinateurD comme un onduleur)
%nfinD cette tude montre que les internautes pBc6ent par e&c7s de confiance quand il sa;it de
smartp6ones ou de tablettes H ils ne sont que #Q U ( penser que le tlc6ar;ement dapplications
mobilesD dutilitairesD de >eu& ou autresD peut en au;menter les risques K 3our les 1O:2C ansD qui sont
pourtant ;ros consommateurs de ces tlc6ar;ementsD seuls 2C U le pensent)
Il ' a de quoi frmirD quand on connait tous les cas de pirata;es ou de vols de donnes survenus sur des
smartp6ones ( laide dapplications infectes par des mal\ares K
Les pirates ont dcidment encore de beau& >ours devant eu& S
Les internautes
W2$110 ! CL"SIF 2012 Menaces informatiques
&ense=-(ous que tlc;ar1er %es applications $o2iles! %es utilitaires! %es Keu<! etc? sur (otre
s$artp;one ou (otre ta2lette au1$ente les risques 4
13%
15%
12%
18%
23%
28%
26%
29%
22%
34%
16%
11%
7%
3%
9%
17%
22%
19%
13%
6%
3u$mente fortement
" es r s&ues G 34%
35%
3u$mente fa !" ement
" es r s &ues G 52%
9%
-e s a t pas G 26%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
15I24 ans
25I34 ans
35I49 ans
50 ans et X
4nsem!" e
3u$mente tr@s fortement " es r s&ues 3u$mente fortement " es r s&ues
3u$mente fa !" ement " es r s &ues -'au$mente pas du tout " es r s&ues
-e sa t pas

#i2u/( %C3 - P(/c(4*ion -u /is3u( li1 0u *1l1cA0/2(,(n* -6044lic0*ions su/ s,0/*4Aon( (* *07l(**(

S%t si lon consid7re que cette tude rv7le quenviron un tiers des internautes utilise leur ordinateur ou
leur smartp6one personnel pour des usa;es professionnelsD il apparait vident que la sensibilisation des
salaris au& principes de scurisation et ( lapplication des r7;les qui en dcoulent sont ncessaires K

Les internautes
Menaces informatiques ! CL"SIF 2012 W#$110

3artie III ^ "sa;es des internautes
*ilis0*ion -( lo/-in0*(u/ .0,ili0l
LenquBte confirme bien que lordinateur familial est utilis uniquement pour un usa;e priv par VQ U des
internautesD #1 U faisant un usa;e mi&te et 1 U un usa;e strictement professionnel) ,n note que lusa;e
personnel est pour toutes les tranc6es dN;eD suprieur ( O0 U mais que lusa;e mi&te diminue avec lN;e
pour une mo'enne ;lobale de #1 U)
Ltilise=-(ous (otre or%inateur .a$ilial pour un usa1e/
74%
81%
1%
0%
1%
1%
25%
18%
usa$e personne" :
68%
53%
60%
1%
usa$e m Cte : 31%
46%
40%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
15I24 ans
25I34 ans
35I49 ans
50 ans et X
4nsem!" e
usa$e un &uement personne" 9 as soc at f ou fam " a" usa$e un &uement profess onne" usa$e m Cte

#i2u/( %C4 - T)4(s -6us02( -( l6o/-in0*(u/ .0,ili0l

Lutilisation dun ordinateur familial pour raliser des travau& professionnels appara[t comme une solution
de secours ou de confort)
1epuis lenquBte 2010D on note toutefois une au;mentation de lusa;e mi&te dans la tranc6e dN;e 2O:#C
ans JX1O pointsL qui se situe au>ourd6ui au mBme niveau que la tranc6e 1O:2C ans)
*ilis0*ion -( s,0/*4Aon( (* -( *07l(**( 4(/sonn(ls
Les smartp6ones et tablettes personnels sont tout autant utilis que lordinateur familial)
La population des 2O:#C ans a une utilisation mi&te plus importante que les autres tranc6es)
Le tau& de non quipement est relativement 6omo;7ne par tranc6e dN;e)
Les internautes
WC$110 ! CL"SIF 2012 Menaces informatiques
Ltilise=-(ous (otre s$artp;one ou ta2lette personnel pour un usa1e/
61%
69%
1%
1%
1%
1%
26%
20%
9%
9%
12%
10%
10%
49%
63%
usa$e personne" :
68%
1%
41%
27%
usa$e m Cte : 31%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
15I24 ans
25I34 ans
35I49 ans
50 ans et X
4nsem!" e
usa$e un &uement personne" 9 assoc at f ou fam " a"
usa$e un &uement profess onne"
usa$e m Cte
-on &u p

#i2u/( %C! - T)4( -6u*ilis0*ion -(s ou*ils -( ,o7ili*1 4(/sonn(ls

Lu*ilis0*ion -un o/-in0*(u/ 4/o.(ssionn(l
LenquBte montre que lordinateur professionnel est utilis uniquement pour un usa;e professionnel par
#C U des internautesD 2O U en faisant un usa;e mi&teD et mBme >usqu( #Q U pour les 2O:#C ansD et P U un
usa;e non professionnel)
#C U des internautes nutilisent pas dordinateurs dans le milieu professionnel) Ce tau& tait de OV U en
2010D soit une au;mentation dquipement de C0 U K
Ltilise=-(ous (otre or%inateur pro.essionnel pour un usa1e/
7% usa$e profes onne" : 34% usa$e m Cte : 25%
,as d'ord nateur
profess onne" : 34%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
usa$e un &uement personne" 9 assoc at f ou fam " a" usa$e un &uement profess onne" usa$e m Cte -on &u p

#i2u/( %C9 - T)4(s -6us02( -( l6o/-in0*(u/ 4/o.(ssionn(l E(ns(,7l( -( l0 4o4ul0*ionF

2uand les internautes sont dots dordinateurs professionnelsD ils ne sont utiliss ( usa;e e&clusivement
professionnel que dans 1 cas sur 2)

Les internautes
Menaces informatiques ! CL"SIF 2012 WO$110
5Si or%inateur pro.essionnel6 Ltilise=-(ous (otre or%inateur pro.essionnel pour un usa1e/
9%
49%
40%
60% 31%
29% usa$e perso : 19%
10%
11%
4%
usa$e pro : 52%
52%
usa$e m Cte : 38%
39%
56%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
15I24 ans
25I34 ans
35I49 ans
50 ans et X
4nsem!" e
us a$e un &uement personne" 9 assoc at f ou fam " a" usa$e un &uement profess onne" us a$e m Cte

#i2u/( %C@ - T)4(s -6us02( -( l6o/-in0*(u/ 4/o.(ssionn(l E4o4ul0*ion 13ui41(F

*ilis0*ion -un s,0/*4Aon( 4/o.(ssionn(l ou -un( *07l(**( 4/o.(ssionn(ll(
2uand les internautes en sont quips J20 U des casLD le tau& dutilisation professionnel est de #O UD mais
lutilisation ( un usa;e uniquement personnel est de 20 U JsicL et mi&te de CO U)
Ltilise=-(ous (otre s$artp;oneGta2lette pro.essionnel pour un usa1e/
4% 7% 9%
,as de smartp#one ou
ta!" ette profess onne" 80%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
usa$e un &uement personne" 9 assoc at f ou fam " a" usa$e un &uement profess onne" usa$e m Cte -on &u p

#i2u/( %C& - T)4( -6u*ilis0*ion -(s ou*ils -( ,o7ili*1 4/o.(ssionn(ls

s02(s su/ In*(/n(*
MBme si lon constate un l;er recul en 2 ansD Internet sert principalement au& internautes pour surfer
JQW UL et envo'er des mails JW0 UL)
1epuis la derni7re enquBteD les internautes dialo;uent moins par messa;erie instantane JV2 U contre
PC UL mais utilisent plus les lo;iciels de tlp6onie sur Internet J#Q U contre OC UL) Ces derniers cas
dutilisation sont souvent laffaire d6abitus)

Les internautes
WV$110 ! CL"SIF 2012 Menaces informatiques
A quelle .rquence utilise=-(ous Internet pour les usa1es sui(ants %ans le ca%re personnel 5non
pro.essionnel6 4
21%
35%
33%
6%
3%
7%
24%
sou%ent : 27%
parfo s : 52%
(ama s : 39%
18%
35%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
0" c#ar$er des " o$ c e" s
+ a" o$uer sur une
messa$er e nstantane
0" p#oner 5ou % s o6 sur
" 'ord nateur
en ut " sant un " o$ c e"
1ou%ent ou tr@s sou%ent ,arfo s >ama s -on concern

#i2u/( %C" - P/0*i3u(s -( *1l1cA0/2(,(n*8 -( ,(ss02(/i( ins*0n*0n1( (* *1l14Aoni( su/ In*(/n(*

Le >eu multi:>oueurs en li;ne pro;resse de #0 U depuis la derni7re enquBte) Cest naturellement c6e? les
1O:2C ans que le tau& dusa;e est le plus fort puisque seuls #P U indiquent ne pas frquenter ce t'pe de
site)
pro.essionnel6 4
9% 18% 18% 55%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
>ouer en " $ne 5a%ec
d'autres nternautes6

#i2u/( %%C - P/0*i3u( -( ;(u (n li2n( su/ In*(/n(*

Les internautes se tournent vers les rseau& sociau&) La tendance est tire par les >eunes ;nrations
puisque les 1O:2C ans sont PP U ( les frquenter et VC U c6e? les 2O:#C ans)
Ceu& sont les leaders du marc6 JFaceboo@D .oo;leXDSL qui sont mis en avant) -\itterD qui a t identifi
spcifiquement cette anneD est utilis par moins de 20 U des internautesD principalement c6e? les 1O:2C
ans) Les rseau& sociau& remplacent peu ( peu la tenue dun blo; ou dun site personnel J20 U contre
#C UL) Les sites de rencontres voient leur frquentation doublerD mais cela reste asse? mar;inalD avec mois
de 10 U des internautes qui dclarent les frquenter)

Les internautes
Menaces informatiques ! CL"SIF 2012 WP$110
pro.essionnel6 4
19%
7%
5% 51%
25% 22%
25%
46%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Ut " sat on d'autres
rseauC soc auC
Ut " sat on des rseauC soc auC
5face!oo:9 Aoo$" eX9 + aspora;6

#i2u/( %%% - P/0*i3u(s -(s /1s(0uB soci0uB

Lutilisation dInternet pour les dmarc6es administratives na pas pro;ress depuis la derni7re enquBte)
Les services de stoc@a;e en li;ne sont utiliss par 1V U des internautes) ,n note toutefois que 2O U des
internautes utilisent les services d0pple JiCloudD i-unesSL)
Les tlc6ar;ements de musique et de film sur des sites l;au& est ;alement en forte pro;ression pour
atteindre #V U JX 21 pointsL pour les filmsD 2Q U JX12 pointsL pour la musique)
Ce sont principalement les 1O:2C ans qui tirent la tendance H Ils sont C fois plus nombreu& que les O0 ans
et plusD et 2 fois plus que les #O:CW ans)
Les ac6ats en li;ne avec paiement sont effectus par W internautes sur 10) Cest mBme une activit
frquente ou tr7s frquente pour O0 U dentre eu&)
La proportion dEinternautes qui se connectent ( distance au rseau de leur entreprise nEa pas volu)
-outefoisD il ' a # fois plus dEinternautes qui dclarent ne pas Btre concerns J#0 U en 2012D par rapport (
10 U en 2010L)
L( 40i(,(n* (n li2n(
Les internautes font de plus en plus confiance dans les solutions de paiement en li;ne mais demandent des
;aranties) Ils sont moins rticents quen 2010 ( ac6eter et ( vendre sur Internet) 1ans le cas du paiement
en li;neD ce nest ni le montantD ni la rputation du site qui motive ou non un ac6at) Les internautes
rclament en nombre croissant un environnement qui les scurise et qui soit adapt en faisant appel ( des
tec6niques telles que le c6iffrementD le paiement scurisD ou les certificats)
,n notera cependant que mBme sil ' a tou>ours des rticences pour effectuer des transactions en li;neD
le niveau dacceptation a considrablement au;ment depuis lenquBte de 2010 et que les internautes ont
de plus en plus de&i;ences de scurit)

Les internautes
WQ$110 ! CL"SIF 2012 Menaces informatiques
#oncernant le paie$ent %-ac;ats en li1ne sur Internet M
22%
12%
29%
68%
81% 7%
1%
3% 68%
8%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2012
2010
2012
,
a
e
m
e
n
t

e
n

"
$
n
e
d
e
p
u
s
s
m
a
r
t
p
#
o
n
e

F
t
a
!
"
e
t
t
e
,
a
e
m
e
n
t

e
n

"
$
n
e
d
e
p
u
s

u
n
o
r
d
n
a
t
e
u
r
>e pa e sur . nternet sans cond t on part cu" @re
>e pa e ou (e su s pr*t ) pa7er sur . nternet ) certa nes cond t ons ou sur certa ns s tes un &uement
>e n'effectue (ama s de pa ement sur . nternet
-e sa t pas

#i2u/( %%' - P0i(,(n* su/ In*(/n(* su/ o/-in0*(u/ (* su/ s,0/*4Aon( ou *07l(**(

L( 40i(,(n* su/ In*(/n(*8 ,0is -(4uis 3u(ls ou*ils R
Les internautes sont tr7s rticents pour le paiement en li;ne depuis un smartp6one ou une tablette)
Seules # U des internautes pa'ent sans se poser de questions particuli7res)
#oncernant le paie$ent %-ac;ats en li1ne %epuis (otre s$artp;one ou (otre ta2lette! sur
Internet! %irie=-(ous plut@t 4
4%
3%
26%
29%
28%
29%
68%
64%
3%
2%
5%
34%
68%
72%
67%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
15I24 ans
25I34 ans
35I49 ans
50 ans et X
4nsem!" e
>e pa e sur . nternet sans cond t on part cu" @re
>e pa e ou (e su s pr*t ) pa7er sur . nternet ) certa nes cond t ons ou sur certa ns s tes un &uement
>e n'effectue (ama s de pa ement sur . nternet

#i2u/( %%3 - P0i(,(n* su/ In*(/n(* -(4uis s,0/*4Aon( G *07l(**( s(lon l6S2(

Les internautes
Menaces informatiques ! CL"SIF 2012 WW$110
"n quart des internautes fait autant confiance ( son ordinateur quE( son smartp6one pour les paiements
en li;ne) Ils sont #Q U ( penser que lEordinateur est plus sIrD presque autant que les indcis J#V UL qui ne
peuvent pasD ou ne semblent pas pouvoirD faire un c6oi& et les comparer en mati7re de scurit)
&ense=-(ous que le paie$ent sur Internet est aussi scuris %epuis un or%inateur que %epuis
un s$artp;one ou une ta2lette 4
36% 25% 38% 1%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Bu 9 auss scur s dans " es 2 cas
-on9 p" us scur s sur un ord nateur &ue sur un smartp#one ou une ta!" ette
-on9 p" us scur s sur un smartp#one ou une ta!" ette &ue sur un ord nateur
-e sa t pas

#i2u/( %%4 - P(/c(4*ion -( l0 s1cu/i*1 /(l0*i=( (n*/( o/-in0*(u/ (* s,0/*4Aon( ou *07l(**(

P0i(,(n* (n li2n( D 3u(ls 4/1-/(3uis 4ou/ un s(n*i,(n* -( s1cu/i*1
,n notera cependant que mBme sil ' a tou>ours des rticences pour les transactions en li;neD le niveau
dacceptation a considrablement au;ment depuis lenquBte de 2010 et que les internautes ont de plus
en plus de&i;ences de scurit)
Comme voqu prcdemmentD mBme sil ' a tou>ours des rticences pour effectuer des transactions en
li;neD les internautes sont plus matures dans lapprciation des conditions de scurit)
%n particulierD la ;estion du paiement multi canal Jpar Internet et par SMSL et la fidlisation
Jenre;istrement pralable des donnes bancairesL font leurs apparitions dans le panel des rponses)
3our accepter de pa'er en li;neD un internaute demande en mo'enne que C des conditions suivantes
soient remplies H cf) Fi;ure 11O ci:apr7s)

Les internautes
&ar$i les con%itions sui(antes! lesquelles e<i1e=-(ous pour accepter %e pa8er en li1ne 4
6%
17%
35%
39%
68%
71%
95%
2%
4%
16%
17%
35%
35%
37%
55%
57%
71%
90%
17%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100
%
1 " e s te pro% ent d'un " en d rectement
nc" us dans un messa$e
1 " e s te est recommand par un
comparateur de pr C sur nternet
1 " e s te a t recommand par un proc#e
1 " e s te est a$r par des
or$an smes ndpendants
1 " e s te a une adresse en France
1 (e su s d() prenre$ str sur " e s te ou
&u' " d spose d() de mes coordonnes !anca res
1 " e montant ) r$" er n'est pas tr@s mportant
1 " e s te propose des mo7ens de pa ement
scur ss9 spc f &ues ) nternet : eIcarte
1 " e s te me transmet une conf rmat on de
mon pa ement par ema " ou par 1M1
1 " e s te est rput9 appart ent )
une mar&ue ou une ense $ne connues
1 " e s te est c" a rement scur s :
c# ffrement des donnes
2010 2012

#i2u/( %%! - C/i*+/(s -( con.i0nc( -0ns l0 s1cu/i*1 4ou/ l(s 40i(,(n*s (n li2n(

L(s -onn1(s 4(/sonn(ll(s
Les internautes remplissent asse? facilement des formulaires en li;ne qui leurs demandent leurs donnes
personnellesD -+s lo/s 3uils on* un( con.i0nc( -0ns l( si*()
Les #O:O0 ans et plus sont l;7rement plus rticents que le reste de la population)

Les internautes
:e$plisse=-(ous .acile$ent un questionnaire sur Internet %e$an%ant %es in.or$ations
personnelles 4
8%
5%
6%
71%
62%
69%
68%
27%
26%
7%
5%
74%
30%
19%
24%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
15I24 ans
25I34 ans
35I49 ans
50 ans et X
4nsem!" e
Bu 9 sans cond t on Bu 9 seu" ement s ('a conf ance dans " e s te -on9 rarement ou (ama s

#i2u/( %%9 - #o/,ul0i/(s su/ In*(/n(* (* -onn1(s 4(/sonn(ll(s

Les internautes

3artie I4 ^ Mo'ens et comportements de scurit
Lo2ici(ls -( s1cu/i*1 co,,( ,o)(ns -( 4/o*(c*ion
Les suites lo;icielles de scurit commerciales qui int7;rent plusieurs modules de scurisation Janti:virusD
anti:spamD anti sp'\areD pare:feuL ne sont utilises que par un tiers des internautes J#1 U en 2012L)
%n mati7re dEantivirusD les internautes semblent plbisciter lantivirus ;ratuit JVO UL)
&our 1arantir la scurit %e (otre or%inateur personnel! utilise=-(ous un anti(irus pa8ant ou
1ratuit 4
,a7ant
30%
Aratu tG 65% 5%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
,a7ant Aratu t -e sa t pas

#i2u/( %%@ - *ilis0*ion -60n*i=i/us 40)0n* ou 2/0*ui* su/ o/-in0*(u/

,n note en 2012 une l;7re baisse de lEutilisation des solutions dEanti:sp'\are Jde VO U en 2010 ( V1 U en
2012L) ,n constate la mBme tendance ( la baisse pour lEutilisation des lo;iciels dEanti:spam et des pare:feu
Jde QV U en 2010 ( Q0 U en 2012L)
S1cu/i*1 -u Qi.i
,n note une stabilit depuis 200Q sur la scurit du 8ifiD avec environ PP U des internautes qui dclarent
scuriser leur conne&ion 8ifi)
Ce sont les 2O:#C ans qui sont les plus sensibiliss au& risques lis ( la non:scurisation des rseau& 8ifi
JQ# ULD avec une pro;ression de 10 points c6e? les plus de O0 ans Jde VV U en 2010 ( PV U en 2012L)
Mis( 5 ;ou/ 0u*o,0*i3u(
3lus de Q0 U des internautes dclarent utiliser les mcanismes de mise ( >our automatise des lo;iciels)
Cette tendance peut sEe&pliquer par la volont affic6e par certains diteurs de lo;iciels dEint;rer cette
fonctionnalit 40/ -1.0u* dans leurs solutions)
&our 1arantir la scurit %e (otre or%inateur personnel! utilise=-(ous la $ise , Kour
auto$atique %es lo1iciels %e (otre or%inateur 5s8st9$e %-e<ploitation! anti(irus! na(i1ateur
Internet! etc?6
Bu G 84% -onG 10% 6%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Bu -on -e sa t pas

#i2u/( %%& - *ilis0*ion -(s ,1c0nis,(s -( ,is( 5 ;ou/ 0u*o,0*i3u( su/ o/-in0*(u/
Les internautes

S0u=(20/-(
0lors quEentre 200Q et 2010 on pouvait se r>ouir de voir que la sauve;arde tait une pratique en forte
au;mentationD ltude de cette anne fait appara[tre une forte baisse de lEutilisation des outils de
sauve;ardes des donnes personnelles Jc6ute de W0 U en 2010 ( VW U en 2012L)
Mo*s -( 40ss( -( s(ssion
Cette anne est 6eureusement marque par une forte 6ausse de lEutilisation des mots de passe dEouverture
de session JOW UL) %ntre 200Q et 2010D cette pratique avait fortement diminu Jpassant de CP U en 200Q (
O U en 2010L)
P/o*(c*ion 1l(c*/i3u(
Les dispositifs de protection lectrique sont l;7rement moins utiliss J2C U en 2012 contre 2P U en 2010L)
Ces dispositifs de protection de t'pe onduleur sont une nouvelle fois plutTt utiliss par les plus N;s des
utilisateurs J## U des XO0 ans contre 1# U des 1O:2C ansL)
S1cu/i*1 -(s (-,0ils (* -(s 4i+c(s-;oin*(s
Les internautes sont peu nombreu& J1# UL ( c6iffrer leurs envois de courrier lectronique)
Les s'st7mes de protection des pi7ces >ointes envo'es par messa;erie Jc6iffrementD mot de passe sur
fic6ierD ?ip avec mot de passeL sont eu& aussi que peu utiliss par les internautes sonds J20 UL)
Les internautes ne semblent donc pas particuli7rement sensibles au& risques lis au& fuites de donnes
personnelles)
Kio,1*/i(
LEutilisation de la biomtrie est en baisse depuis 2010 JV U en 2012 contre 11 U en 2010LD mal;r la
;nralisation des lecteurs dEempreintes di;itales sur les ordinateurs portables)
S)s*+,( 0n*i=ol -6o/-in0*(u/ 4o/*07l(
LEutilisation de dispositifs antivol pour les ordinateurs portables nEest tou>ours pas un rfle&e pour les
utilisateurs) Seuls Q U dEentre eu& dclarent en utiliser)
Con*/Hl( 40/(n*0l
LEutilisation des lo;iciels de contrTle parental est aussi en baisse J1O U en 2012 contre #C U en 2010L)
Seulement un quart des internautes de la tranc6e #O:CW ans dclare avoir mis en place ce t'pe de
solution)

Les internautes
Ltilise=-(ous les $o8ens %e protection sui(ants pour 1arantir la scurit %e (otre or%inateur
personnel 4
15%
24%
29%
31%
59%
61%
65%
69%
77%
78%
80%
84%
72%
79%
65%
66%
60%
36%
26%
31%
26%
14%
15%
12%
10%
5%
12%
5%
9%
4%
13%
5%
5%
9%
7%
9%
6%
15%
6%
13%
68%
86%
17%
8%
15%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
. dent f cat on ! omtr &ue
2# ffrement des eIma " s
2# ffrement des donnes
2ontr=" e parenta"
,rotect on " ectr &ue
5ondu" eur9 parasurtenseur6
Un ant % rus pa7ant
3nt % rus X ant Ispam X ant
sp7Pare X pareIfeu 5pa7ants6
Mots de passe d'ou%erture9
de dmarra$e9 de d%errou " " a$e
Un ant Isp7Pare
Un ant % rus $ratu t
Une sau%e$arde de %os donnes
sur un s7st@me t ers
Une scur sat on du P f
5c" N4,9 N,39 etcH6
Un ant Ispam
Un pareIfeu
M se ) (our automat &ue
5s7st@me et app" cat ons6
Bu -on -e sa t pas

#i2u/( %%" - Mo)(ns -( 4/o*(c*ions u*ilis1s su/ l(s o/-in0*(u/s 4(/sonn(ls

Les internautes

Mo)(ns (* co,4o/*(,(n* -(s in*(/n0u*(s su/ l(s s,0/*4Aon( (* *07l(**(s
La proccupation des internautes concernant la scurit de leur smartp6one est apparue depuis la
prcdente enquBte)
&our 1arantir la scurit %e (otre s$artp;one ou ta2lette 5celui que (ous utilise= le plus6!
utilise=-(ous les $o8ens %e protection sui(ants 4
8%
8%
9%
15%
19%
20%
26%
31%
45%
47%
54%
80%
78%
74%
75%
67%
63%
63%
58%
53%
39%
38%
33%
14%
18%
16%
18%
18%
17%
16%
16%
16%
15%
13%
6%
5%
7%
80%
74%
14%
15%
19%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
. dent f cat on ! omtr &ue
2ontr=" e parenta"
2# ffrement des donnes
Un ant % rus pa7ant
2# ffrement des eIma " s
3nt % rus X ant Ispam X ant sp7Pare
X pareIfeu 5pa7ants6
Un ant Isp7Pare
Un pareIfeu
Un ant % rus $ratu t
Un ant Ispam
Une sau%e$arde de %os donnes
sur un s7st@me t ers
Une scur sat on du P f
5c" N4,9 N,39 etcH6
M se ) (our automat &ue
5s7st@me et app" cat ons6
Mots de passe d'ou%erture9
de dmarra$e9 de d%errou " " a$e
Bu -on -e sa t pas

#i2u/( %'C - Mo)(ns -( 4/o*(c*ions u*ilis1s 4ou/ s,0/*4Aon( (* *07l(**(

Les internautes
10V$110 ! CL"SIF 2012 Menaces informatiques
,n constate que ;lobalementD O0 U des internautes utilisent au moins un mo'en de scuriser leur
smartp6one en privil;iant les mo'ens naturellement installs sur le smartp6one lors de sa livraison) ,n
ne sait donc pas si ces prcautions rel7vent dune relle sensibilisation ( la scurit de leur mobile ou si
elle rel7ve des 6abitudes acquises)
%n effetD lusa;e de mo'ens plus pousss comme le tau& dquipement en antivirus ou en pare:feu est
seulement de moins de 20 U) 10 U des internautes reconnaissent quils ne savent pas sils utilisent un
quelconque mo'en de prot;er leur smartp6ones) La confiance quil semble mettre dans leur oprateur et
dans la scurit des confi;urations des smartp6onesD mais aussi la scurit qui serait int;re dans le
rseauD tendraient ainsi ( e&pliquer pourquoi ils ne se posent pas de question plus avant)
,n constate aussi que les internautes de plus de #O ans sont ;lobalement plus concerns par la scurit
que les plus >eunes) Ce constat concerne tous les t'pes de mo'ens de protection)
%nfinD seul un tiers des internautes sauve;ardent les donnes de leur smartp6one)
0 peu pr7s la moiti des internautesD quel que soit leur N;e utilisent un mot de passe de sessionD la mise (
>our automatique des lo;iciels du smartp6one et la scurisation de la conne&ion 8IFI)
Les outils plus sop6istiqus comme les anti:virusD anti:sp'\are et pare:feu concernent ( peu pr7s un tiers
des plus de #O ans et une part beaucoup plus rduite des plus >eunes)
L(s ,is(s 5 ;ou/ -(s s)s*+,(s (* lo2ici(ls 4ou/ l(s o/-in0*(u/s
Les mises ( >our automatiques est actives pour pr7s de W internautes sur 10) Ce c6oi&D qui est
;nralement celui par dfautD permet dviter le pire)
+otre or%inateur est-il $is , Kour auto$atique$ent 4 5s8st9$e %-e<ploitation! anti(irus! etc?6
8%
88%
95%
87%
7%
3%
5%
2%
5%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2008
2010
2012
Bu -on -e sa t pas

#i2u/( %'% - Mis( 5 ;ou/ -(s s)s*+,(s -(B4loi*0*ion (* -(s lo2ici(ls -(s o/-in0*(u/s

%n effetD pour les internautes na'ant pas de mises ( >our automatiquesD plus de la moiti ne font des
mises ( >our au mieu& quune fois par mois)

Les internautes
5Si pas %e $ise , Kour auto$atique6 :alise=-(ous ces $ises , Kour $anuelle$ent 4
24% 18% 35% 3% 20%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
3 c#a&ue ut " sat on de " 'ord nateur 2#a&ue sema ne
2#a&ue mo s Mo ns sou%ent F (ama s
-e sa t pas

#i2u/( %'' - #/13u(nc( -(s ,is(s 5 ;ou/ ,0nu(ll(s 4ou/ l(s o/-in0*(u/s

E* 4ou/ l(s S,0/*4Aon(s
Concernant les smartp6ones la situation est nettement moins bonne car plus de la moiti des personnes ne
mettent pas ( >our leur smartp6one r;uli7rement Jmoins dune fois par moisL)
+otre s$artp;one est-il $is , Kour auto$atique$ent 4 5s8st9$e %-e<ploitation! anti(irus! etc?6
35%
28%
31% 34%
Bu G 47%
51%
45%
52%
-onG 26%
25%
23%
-e sa t pasG 27%
21%
30%
25%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
15I24 ans
25I34 ans
35I49 ans
50 ans et X
4nsem!" e
Bu -on -e sa t pas

#i2u/( %'3 - Mis( 5 ;ou/ -(s s)s*+,(s -(B4loi*0*ion (* -(s lo2ici(ls -(s s,0/*4Aon(s

Les mises ( >our ne sont pas pour autant ralises manuellement car l( encore #0 U des internautes le font
moins dune fois par mois et #1 U ne savent pas ou ne le font pas du tout)
Cette tendance pourrait se&pliquer par le fait que les internautes nont pas pris conscience quun
smartp6one est avant tout S un mini ordinateur)
Do,,02(s su/ l6o/-in0*(u/ 4(/sonn(l
1ans lEensembleD lorsquEils subissent un ou plusieurs domma;es sur leur ordinateur personnelD les
internautes prf7rent rsoudre eu&:mBmes les probl7mes informatiques JOV UL)
Ils ne sont que 22 U Jen baisse de V points depuis 2010L ( confier la rparation de lEordinateur personnel (
un professionnelD car ils prf7rentD dans #W U des casD faire appel ( un tiers F bnvole G JfamilleD amiD
etc)L)
Les internautes
L( s(n*i,(n* -( con.i0nc( su/ In*(/n(*
Jinale$ent! sur Internet! (ous sente=-(ous 4
4%
82%
82%
69%
5%
6%
20%
1%
3%
1%
1%
4%
12%
9%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2008
2010
2012
0ota" ement en scur t ," ut=t en scur t ," ut=t pas en scur t
,as en scur t du tout -e sa t pas

#i2u/( %'4 - P(/c(4*ion 2lo70l( -u con*(B*( s1cu/i*1 su/ In*(/n(*

Les internautes se sentent en ;rande ma>orit JP# UL totalement ou plutTt en scurit sur Internet) Cette
tendance est toutefois en forte baisse depuis 2010D avec une baisse de 1Q points)
%n complmentD on constate une forte 6ausse du sentiment dEinscurit sur Internet) Les internautes sont
en effet en 2012 pr7s de 2# U ( se sentir plutTt pas et pas du tout en scurit sur le 8eb)
Ces tendances restent vraies quelles que soient les cat;ories dEN;e)

L E S P R I T D E L C H A N $ E

CLUB DE LA SCURIT DE L'INFORMATION FRANAIS
11, rue de Mogador
75009 Paris
01 53 25 08 80
clusif@clusif.fr

Tlchargez les productions du CLUSIF sur
www.clusif.fr

Securite Informatique

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Securite Informatique

Transféré par

Droits d'auteur :

Formats disponibles

Menaces informatiques

3utor s sans cond t on 3utor s sous cond t on . nterd t -e sa t pas

3utor s s ans cond t on 3utor s s ous cond t on . nterd t -e sa t pas

Vous aimerez peut-être aussi