Par Christophe Guillemin (ZDNet) - «Le sentiment de protection déclaré par les entreprises est souvent en décalage par rapport à leur dépendance et aux moyens mis en oeuvre», conclut le Club de la sécurité des systèmes d'information français (Clusif), dans son bilan 2002 sur la «sinistralité informatique en France».

L'étude a été réalisée à partir des déclarations de 600 entreprises implantées dans l'Hexagone pour l'année 2002. Si elles sont 90% a s'estimer fortement ou modérément dépendantes de leur système d'information (contre 92% en 2001), seulement 36% des entreprises interrogées ont défini une politique globale de sécurité des systèmes d'information (SSI). Les causes en sont diverses: «une politique SSI est, ou semble, chère à mettre en place; les entreprises ont du retard à l'allumage; ou elles sont en phase de sensibilisation», estime le Clusif.

18% des entreprises interrogées s'estiment "très bien protégées"

Autre raison avancée: 60% des entreprises n'ont constaté aucun incident. Mais «il semble évident qu'ils sont nombreux à ne pas être détectés», tempère le Clusif. Sur les 40% à déclarer avoir subi des sinistres, 36% en ont répertorié moins de dix durant l'année. Il s'agit en premier lieux d'infections de virus (26,3%); suivies notamment de pannes internes (19,7%), d'erreurs d'utilisation (14,4%), d'erreurs de conception (7,3%), d'attaques logiques ciblées (2%) et d'intrusions (0,3%). L'impact financier n'est pour l'instant évalué que dans 14% des cas; le Clusif n'a donc pas été en mesure de le chiffrer.

Au final, elles sont 18% a estimer que leur système d'information est "très bien protégé" (contre 25% en 2001), 64% à se considérer comme "relativement bien protégé", 15% "insuffisamment protégé", et seulement 3% a s'estimer "très mal protégé" (chiffre constant). Le sentiment de confiance l'emporte donc toujours sur les craintes, malgré une légère perte par rapport à 2001.

Enfin, le Clusif a également interrogé 100 collectivités publiques sur le même thème. Elles sont 76% à s'estimer "très bien" ou "relativement bien protégées", et deux tiers d'entre elles n'ont déclarées aucun incident en 2002. Seulement 36% ont défini une politique en matière de sécurité, dont 41% des administrations, 30% des collectivités locales et 31% des établissements hospitaliers.