Dans cette étude, 3 types de risques sont pris en compte : celui sur l’intégrité des données (destruction ou altération de données due à une attaque ou à un incident inattendu), celui sur la confidentialité des données (divulgation de données confidentielles due à une intrusion, à des attaques par pharming, phishing ou par accident) et celui sur la disponibilité des services (indisponibilité des services TIC due à une attaque extérieure. Lorsqu’une politique de sécurité des TIC est définie, elle prend en compte neuf fois sur dix l’intégrité des données huit fois sur dix leur confidentialité et sept fois sur dix la disponibilité des services.
En 2015, en France, 27% des sociétés de 10 personnes ou plus déclarent (50% dans les 50-249 salariés, les 3/4 au-delà) avoir une politique de sécurité des TIC formellement définie (29% en Allemagne, 32% dans l’UE à 28).
En 2015, en France, 13% des sociétés de 10 personnes ou plus déclarent avoir subi, au cours de l’année précédente, au moins un incident de sécurité portant atteinte à l’intégrité, à la disponibilité ou à la confidentialité des systèmes et données informatiques, (4 points de plus qu’en 2010). Ces incidents concernent plus souvent les sociétés les plus grandes (24% des sociétés de 250 personnes et plus) et celles des secteurs d’activité en lien fort avec les TIC.
Les incidents les plus répandus sont les pannes de logiciel ou de matériel informatique, la destruction ou l’altération des données (8% des sociétés de 10 personnes ou plus), puis les attaques de programmes malveillants, comme les virus, ou les accès non autorisés, qui aboutissent à la destruction ou à l’altération de données (7%). Seules 3% des sociétés de 10 personnes ou plus déclarent avoir subi des attaques extérieures, 2% des attaques par intrusion ayant abouti à la divulgation de données confidentielles.
7 sociétés sur dix de 10 et la quasi-totalité des grandes sociétés, utilisent le contrôle de l’accès à distance par pare-feu (firewall) ou logiciel. La moitié sécurisent les équipements mobiles via le contrôle par mot de passe, l’effacement des données stockées sur les appareils en cas de perte ou de vol. Enfin, le quart contrôle l’accès physique aux serveurs (par badge, biométrie, etc.). 26% déclarent avoir une politique d’accès, de rectification et d’effacement des données personnelles. six sur dix déclarent sensibiliser leur personnel à ses devoirs concernant les problèmes de sécurité sur les données au travers notamment de clauses contractuelles ou d’engagement ou par des formations.; il s’agit des données à caractère personnel (notamment sur leurs clients ou salariés) mais aussi des données d’entreprise comme la propriété intellectuelle.
En 2 ans, l’usage des médias sociaux a nettement progressé : En 2015, 31% disposent d’un profil, d’un compte ou d’une licence d’utilisateur pour accéder à un ou plusieurs médias sociaux contre 20% en 2013 (dans l’UE 28, 39% contre 30% en 2013). 29% ont recours aux média sociaux, contre 9% pour les blogs, 9% pour les sites web de contenu multimédia et 4% pour les wikis. Le principal motif d’utilisation est de développer l’image de l’entreprise ou commercialiser ses produits (9 sociétés sur 10) et le second de recueillir l’avis, les critiques ou les questions des clients ou y répondre. Le tiers des sociétés de 10 à 49 personnes n’a ainsi ni site web, ni compte sur un média social, contre seulement 11% de celles de 50 à 249 personnes.