Documente Academic
Documente Profesional
Documente Cultură
dition 2010
Les entreprises de plus de 200 salaris Les hpitaux Les particuliers Internautes
Remerciements
Le CLUSIF remercie les personnes qui ont constitu le Comit dExperts ayant particip cette tude. NOM M. BESENVAL Stphane M. BOURCIER Stphane M. BOURSAT Jean-Marc M. BRUCKMANN Francis M. BUTEL Annie M. CALEFF Olivier M. CARTAU Cdric M. CHIOFALO Thierry M. CONSTANT Paul M. COURTECUISSE Hlne M. DOIDY Mathieu M. FREYSSINET ric M. GAZAY Emmanuel M. GIORIA Sbastien M. GOONMETER Nuvin M. GRONIER Loup M. GROSPEILLER ric M. GURIN Olivier M. HADOT Daniel M. HAMON Bruno M. JOUAS Jean-Philippe M. LOINTIER Pascal M. MINASSIAN Vazrik M. MOURER Lionel M. PEJSACHOWICZ Lazaro M. RICHY Paul M. RITZ Jean-Philippe M. ROSE Philippe M. ROULE Jean-Louis M. VANHESSCHE Patrick ENTIT OZSSI LE-DE-FRANCE MINISTRE DE LA DFENSE DEVOTEAM FT ORANGE BNP PARIBAS DEVOTEAM CHU NANTES BOLLOR LOGISTICS CLUSIF LISIS CONSEIL ACCENTURE GENDARMERIE NATIONALE ACCENTURE FR CONSULTANTS ACCENTURE DEVOTEAM MINISTRE DE LA SANT CLUSIF MINISTRES FINANCIERS SIDEXE CLUSIF CHARTIS ADENIUM ESR CONSULTING CNAMTS ORANGE OCLCTIC BEST PRACTICES SYSTMES D'INFORMATION CLUSIF CONSULTANT EN SCURIT DES SI
Le CLUSIF remercie galement vivement les reprsentants des entreprises et hpitaux ainsi que les internautes qui ont bien voulu participer cette enqute. Enqute statistique ralise pour le CLUSIF par le cabinet GMV Conseil et Harris Interactive.
CLUSIF 2010
3/102
Avant-propos
Une politique de scurit (de linformation) est la fois une ncessit conomique en raison de la dpendance croissante de nos activits aux informations numriques et parfois une ncessit rglementaire pour le respect dune conformit. Cest pourquoi, lemploi dune mthode danalyse de risques, telles que EBIOS ou MHARI, permet dapprcier ses besoins intrinsques de scurit et dordonner les priorits de mise en uvre de plans relatifs. Mais la connaissance des faits, de la ralit terrain , est tout aussi importante et cest pour cela que les rapports du CLUSIF ont toujours suscit un intrt de la part dun lectorat de plus en plus important. Autrefois appeles les statistiques du Clusif et ralises partir de donnes du monde de lassurance, ces rapports sont maintenant labors partir dune enqute nationale, par des professionnels, pour acqurir une photographie la plus reprsentative de lchantillon cibl : entreprise, administration, internaute Le nombre croissant de tlchargements, le rfrencement dans des prsentations en confrence et dans les formations, la traduction en anglais pour un accs international en sont dautres tmoignages. La lecture et lexploitation des donnes ainsi recueillies prsentent des avantages quelle que soit la nature de votre activit : pour le Responsable ou Fonctionnaire de la Scurit des Systmes dInformation ou pour un chef dentreprise, cest le moyen de mettre en perspective sa propre politique de scurit ou didentifier les freins rencontrs par des entreprises tierces, pour un Offreur de biens ou un Prestataire de services en Scurit des Systmes dInformation, cest mieux apprcier la nature du march, le dploiement des offres et/ou les attentes et besoins combler, pour nos services institutionnels et ceux en charge dune mission de veille, quelle soit technique, rglementaire ou socitale, cest lopportunit de dtecter des phnomnes mergents ou reprsentatifs dune volumtrie, voire sa contrapose si on considre par exemple la rticence toujours forte voquer les fraudes financires et les malveillances internes. La lecture de ce rapport peut donc se faire en multicritres et en fonction dun besoin immdiat ou non, sachant que les donnes restent relativement prennes ce qui justifie une livraison biennale. Enfin, au nom de lassociation et des futurs lecteurs, je tiens remercier lensemble des contributeurs ce rapport, professionnels membres de lassociation, mais aussi les experts invits collaborer ce Groupe de Travail.
CLUSIF 2010
4/102
Synthse de ltude
Au travers de ldition 2010 de son enqute sur les menaces informatiques et les pratiques de scurit (MIPS), le CLUSIF ralise, comme tous les 2 ans, un bilan approfondi des usages en matire de scurit de linformation en France. Cette enqute se veut tre une rfrence de par la taille et la reprsentativit des chantillons dentreprises (350 entreprises ont rpondu) et dhpitaux (151 ont rpondu) interrogs. Par ailleurs, elle se veut relativement exhaustive, puisque cette anne, elle passe en revue lensemble des 11 thmes de la norme ISO 27002, relative la scurit des Systmes dInformation. Enfin, cette anne, elle reprend le volet trs complet consacr aux pratiques des particuliers utilisateurs dInternet domicile (1 000 rpondants). Cette synthse reprend lune aprs lautre chacune des thmatiques abordes et en prcise les tendances les plus remarquables.
CLUSIF 2010
5/102
Ct contrle daccs, le SSO et le Web-SSO dcollent enfin (respectivement 21% et 8%, +14% et +5% vs 2008), signe dune meilleure prise en compte de la simplification daccs des utilisateurs. Cerise sur le gteau, ce mcanisme permet galement une meilleure traabilit. Parmi les points positifs : la veille est de plus en plus ralise, tant sur les vulnrabilits que sur les solutions de scurit (34%, +13% vs 2008). Idem pour les procdures de dploiement de correctifs de scurit ou patch management (64%, +16% vs 2008). Autre point positif, un mieux sur la gestion des incidents, avec une quantit dincidents identifie en hausse (26% dclare ne pas avoir eu dincident, -19% vs 2008), certainement d des mcanismes dalerte plus pertinents, pour un niveau de dpt de plainte quasi identique 2008 (5%, -1%). Reste que 33% (-7% vs 2008) des entreprises ne disposent toujours pas dun plan de continuit dactivit pour traiter les crises majeures ! Enfin, les aspects conformit , pour lesquels des progrs restent faire, au travers : des obligations CNIL : en lgre progression (68% conforment , 20% conforment pour leurs traitements sensibles , respectivement +4% et +1% vs 2008), des audits de scurit : 25% des entreprises nen font toujours pas !, du tableau de bord de la scurit informatique : 34% seulement en dispose (malgr les +11%).
et des plans daction est de plus en plus lie lanalyse de risques, base principalement sur les directives du GMSIH (36%). Depuis la dernire enqute en 2006, les hpitaux ont adopt les chartes de scurit (63%, +21% vs 2006) et mis en place des CIL (39%, +10%). Ils nont pas rsist au nomadisme, ni au dveloppement des rseaux sans fil et de la tlphonie sur IP. En progression, la dtection des incidents de scurit : laugmentation des vols de matriels informatiques (44%) et de la perte de services essentiels (46%) est forte, en raison de laugmentation de la pntration des Systmes dInformation dans les actes mdicaux. En retrait toujours : la sensibilisation gnrale des salaris la scurit de linformation (27%, +2% vs 2006), la mise en place de plans de continuit mtiers (54% en tout ou partie, +18% vs 2006), les audits de scurit (49% nen font pas) et les tableaux de bord de suivi (7%, +1% vs 2006). Mme si travers cette enqute MIPS 2010 on peut constater quelques rponses discordantes, probablement dues la subjectivit de l'observation sur des domaines difficilement quantifiables, ou au fait que la scurit est encore dpendante de la culture de chaque tablissement, il apparat clairement que les dfis relever par les hpitaux dans les prochaines annes sont encore importants et multiples !
CLUSIF 2010
7/102
Pour conclure
Pour autant, la menace ne faiblit pas et notre enqute montre de nouveau que les malveillances et les incidents de scurit sont bien prsents : attaques virales, vols de matriel, accroissement des problmes de divulgation dinformation et attaques logiques cibles sont toujours au menu ! Passer des politiques de scurit parapluie , que lon formalise pour se donner bonne conscience, vers des pratiques tangibles, vritablement ancres dans les processus de gestion de linformation, reste lenjeu pour les annes venir Pour les plus courageux dentre vous, ltude dtaille et argumente vous attend dans le reste de ce document Bonne lecture !
Lionel MOURER Pour le Groupe de Travail Enqute sur les menaces informatiques et les pratiques de scurit
CLUSIF 2010
8/102
Sommaire
REMERCIEMENTS .................................................................................... 3 AVANT-PROPOS ..................................................................................... 4 SYNTHESE DE LETUDE ............................................................................ 5 SOMMAIRE ............................................................................................ 9 LISTE DES FIGURES ................................................................................11 METHODOLOGIE ....................................................................................13 LES ENTREPRISES ..................................................................................16
Prsentation de lchantillon....................................................................... Dpendance linformatique des entreprises de plus de 200 salaris ....................... Moyens consacrs la scurit de linformation par les entreprises ......................... Thme 5 : Politique de scurit ................................................................... Thme 6 : Organisation de la scurit et moyens ............................................... Thme 7 : La gestion des risques lis la scurit des SI ...................................... Thme 8 : Scurit lie aux Ressources Humaines .............................................. Thme 9 : Scurit Physique ....................................................................... Thme 10 : Gestion des oprations et des communications ................................... Thme 11 : Contrle des accs logiques .......................................................... Thme 12 : Acquisition, dveloppement et maintenance ...................................... Thme 13 : Gestion des incidents Sinistralit .................................................. Thme 14 : Gestion de la continuit dactivit .................................................. Thme 15 : Conformit .............................................................................. 16 17 17 20 22 25 27 29 30 36 38 40 42 45
CLUSIF 2010
9/102
CLUSIF 2010
10/102
Figure 48 Normes de scurit utilise pour supporter la Politique de Scurit de l'Information .. 55 Figure 49 Entits ayant contribu llaboration de la Politique de scurit ................................. 56 Figure 50 Temps consacr par le RSSI aux diffrentes tches ..................................................... 57 Figure 51 Ralisation de linventaire des informations ............................................................. 58 Figure 52 Ralisation dune analyse des risques ..................................................................... 58 Figure 53 Existence dune charte de scurit destination du personnel ...................................... 60 Figure 54 Moyens utiliss pour assurer la sensibilisation du personnel .......................................... 61 Figure 55 Scurit des nouvelles technologies ....................................................................... 63 Figure 56 Infogrance du Systme dInformation .................................................................... 65 Figure 57 Suivi de linfogrance par des indicateurs de scurit ................................................. 65 Figure 58 Audits de linfogrance ....................................................................................... 66 Figure 59 Existence dune procdure formelle d'enregistrement, de rvision et de dsinscription ........ 67 Figure 60 Existence de rgles de constitution et de premption des mots de passe .......................... 67 Figure 61 Veille permanente en vulnrabilits et solutions de scurit ......................................... 68 Figure 62 Dlai moyen ncessaire pour dployer les correctifs ................................................... 69 Figure 63 Types dincidents survenus .................................................................................. 70 Figure 64 Natures des principaux incidents survenus ............................................................... 71 Figure 65 Rsorption de limpact financier des sinistres ........................................................... 72 Figure 66 Existence dun processus formalis et maintenu de la gestion de la continuit dactivit ...... 74 Figure 67 La gestion de la continuit dactivit concerne ....................................................... 74 Figure 68 Frquence des tests et mises jour des plans de continuit dactivit ............................. 75 Figure 69 Existence dun processus formalis de gestion de crise ................................................ 76 Figure 70 Solutions de secours .......................................................................................... 76 Figure 71 Frquence des audits ......................................................................................... 79 Figure 72 Nature des audits .............................................................................................. 79 Figure 73 Menaces sur les fichiers et le matriel .................................................................... 84 Figure 74 Menaces sur la vie prive .................................................................................... 84 Figure 75 volution des dangers ........................................................................................ 85 Figure 76 volution de la perception des menaces lies aux spams et au phishing ........................... 85 Figure 77 volution de la perception des menaces lies aux intrusions, aux virus et aux logiciels espions ........................................................................................................................... 86 Figure 78 volution de la perception des menaces lies au vol didentit ...................................... 86 Figure 79 Perception des menaces lies au wifi...................................................................... 87 Figure 80 Perception des facteurs aggravant les risques ........................................................... 87 Figure 81 Types dusage de lordinateur familial .................................................................... 89 Figure 82 Connexion distance aux rseaux dentreprises ........................................................ 90 Figure 83 Tlchargements de films et vidos ....................................................................... 90 Figure 84 Usage de lordinateur familial pour stocker ou manipuler des documents de travail ............ 91 Figure 85 Usage des rseaux sociaux ................................................................................... 91 Figure 86 Critres de confiance dans la scurit pour les paiements en ligne ................................. 92 Figure 87 Critres de scurit pour les paiements en ligne ........................................................ 93 Figure 88 Politique de mise jour ...................................................................................... 94 Figure 89 Protection par onduleur ...................................................................................... 95 Figure 90 Usage des mots de passe douverture de session ........................................................ 95 Figure 91 Usage protections poste de travail ......................................................................... 96 Figure 92 Politique de sauvegarde ...................................................................................... 96 Figure 93 Sentiment de scurit ........................................................................................ 97
CLUSIF 2010
12/102
Mthodologie
Lenqute du CLUSIF sur les menaces informatiques et les pratiques de scurit en France en 2010 a t ralise au cours des mois de janvier et fvrier 2010, en collaboration avec le cabinet spcialis GMV Conseil, sur la base de questionnaires denqute labors par le CLUSIF. Trois cibles ont t retenues pour cette enqute : les entreprises de plus de 200 salaris : 350 entreprises de cette catgorie ont rpondu cette enqute, les hpitaux : 151 hpitaux ont accept de rpondre cette enqute, les particuliers internautes : 1 000 individus, issus du panel d'internautes de l'institut spcialis Harris Interactive, ont rpondu cette enqute via Internet.
Pour les deux premires cibles, le questionnaire utilis a t construit en reprenant les thmes de la norme ISO 27002 dcrivant les diffrents items couvrir dans le domaine de la scurit de linformation. Lobjectif tait de mesurer de manire assez complte le niveau actuel dimplmentation des meilleures pratiques de ce domaine. Ces diffrents thmes, numrots dans la norme de 5 15, sont les suivants : thme 5 : Politique de scurit, thme 6 : Organisation de la scurit et moyens, thme 7 : Gestion des actifs et identification des risques, thme 8 : Scurit des ressources humaines (charte, sensibilisation), thme 9 : Scurit physique et environnementale, thme 10 : Gestion des communications et des oprations, thme 11 : Contrle des accs, thme 12 : Acquisition, dveloppement et maintenance, thme 13 : Gestion des incidents de scurit, thme 14 : Gestion de la continuit, thme 15 : Conformit (CNIL, audits, tableaux de bord).
Pour ce qui concerne les particuliers internautes, les thmes suivants ont t abords : caractrisation socioprofessionnelle des personnes interroges et identification de leurs outils informatiques, perception de la menace informatique, sensibilit aux risques et la scurit, incidents rencontrs, usages de linformatique et dInternet domicile, pratiques de scurit mises uvre (moyens et comportement).
Les rponses aux questions ont t consolides par GMV Conseil en prservant un total anonymat des informations, puis ont t analyses par un groupe dexperts du CLUSIF, spcialistes du domaine de la scurit de linformation. Afin de simplifier la comprhension du document, le choix a t fait de ne citer que les annes de publication des rapports, savoir 2010, 2008 et 2006. Les enqutes ont t ralises sur le premier trimestre de lanne de publication et les chiffres cits portent donc sur lanne prcdente, respectivement 2009, 2007 et 2005. Enfin, le groupe dexperts tient galement prciser que toute enqute de ce type contient ncessairement des rponses discordantes dues la subjectivit de l'observation sur des domaines difficilement quantifiables ou, dans le cas du domaine spcifique de la scurit du SI, de la culture et de la maturit de chaque entreprise, hpital ou internaute. Menaces informatiques et pratiques de scurit en France CLUSIF 2010 13/102
Entreprises
Prsentation de lchantillon Dpendance linformatique entreprises de plus de 200 salaris Moyens consacrs la scurit linformation par les entreprises Thme 5 : Politique de scurit Thme 6 : Organisation de la scurit et moyens Thme 7 : La gestion des risques lis la scurit des SI Thme 8 : Scurit lie aux Ressources Humaines Thme 9 : Scurit physique Thme 10 : Gestion des oprations et des communications Thme 11 : Contrle des accs logiques Thme 12 : Acquisition, dveloppement et maintenance Thme 13 : Gestion des incidents Sinistralit des de
CLUSIF 2010
15/102
Les Entreprises
Prsentation de lchantillon
Pour l'dition 2010 de son enqute, le CLUSIF souhaitait interroger exactement le mme chantillon d'entreprises que celui interrog en 2006 et 2008 afin de pouvoir comparer les progrs ou les ventuelles rgressions. Ainsi, la cible est constitue des entreprises de plus de 200 salaris des secteurs d'activit suivants : Industrie, BTP, Commerce, Transport Tlcoms, Services Finance.
350 entreprises ont rpondu la sollicitation du CLUSIF (entretien de 28 minutes en moyenne), avec un taux d'acceptation d'environ 10% (en hausse de 4% par rapport 2008) : sur 100 entreprises contactes, seulement 10 ont accept de rpondre nos questions, ce qui a impliqu d'appeler environ 3 500 entreprises ! Lchantillon est construit selon la mthode des quotas avec 2 critres leffectif et le secteur dactivit des entreprises pour obtenir les rsultats les plus reprsentatifs de la population des entreprises. Cet chantillon est ensuite redress sur leffectif et le secteur dactivit pour se rapprocher de la ralit des entreprises franaises, sur la base des donnes INSEE.
Taille .
Donnes INSEE
100%
Au sein de chaque entreprise, nous avons cherch interroger en priorit le Responsable de la Scurit des Systmes dInformation (RSSI). Celui-ci a rpondu pour 29% (21% en 2008) des entreprises interroges, mais plus de 40% dans les plus de 1 000 salaris. Toutes tailles et secteurs confondus, les personnes sondes sont 72% des DSI (Directeur des Systmes dInformation), des Directeurs ou Responsables informatiques ou des RSSI.
CLUSIF 2010
16/102
Forte; 80%
Modre; 19%
1%
0%
10%
20%
30%
40% Forte
50% Modre
60% Faible
70%
80%
90%
100%
CLUSIF 2010
17/102
2010
7%
20%
26%
16%
30%
2008 0%
14%
16% 40% De 1 3%
13%
39%
27%
20%
49%
43%
7%
52%
23%
14%
Commerce 2%
69%
11%
18%
BTP 0% 0% 10%
4% 100%
En rgression
En augmentation
CLUSIF 2010
18/102
2010 4% 6%
48%
18%
8%
16%
2008 2% 3%
43%
19%
18%
15%
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Les deux freins principaux sont le manque de moyens budgtaires (+10% par rapport 2008 : nous navons pas fini de nous alarmer) et les contraintes organisationnelles. Au chapitre des bonnes nouvelles, la rticence de la Direction des Systmes dInformation sort du top 5 (3% seulement, contre 8% en 2008) et lutilisateur du Systme dInformation semble de moins en moins systmatiquement peru comme une gne par les RSSI. Le manque de personnel qualifi tait le frein numro 2 en 2006, 4me en 2008, place quil occupe toujours, tout en perdant 9%. Ce rsultat pourrait sembler satisfaisant si ce ntait que le dtail des rponses montre un rsultat moins convenable quil ny parat puisque plus dun RSSI sur deux dnoncent ce manque de personnel comme frein majeur (choix 1 ou choix 2 des freins les plus importants). Lagitation forcene du march de lemploi dans le secteur de la SSI et le toujours haut niveau du nombre doffres restent dailleurs dautres tmoins de cette insatisfaction continue.
CLUSIF 2010
19/102
2010
63%
37%
0%
2008
55%
42%
3%
0%
10%
20%
30%
40% Oui
50% Non
70%
80%
90%
100%
De plus, cette politique est jour dans la mesure o 75% des entreprises interroges lont actualise il y a moins de deux ans. Dailleurs la PSI des entreprises est massivement soutenue par la Direction Gnrale (73% en 2010, +14% vs 2008), qui a contribu pour plus de la moiti son laboration. La Politique de Scurit de l'Information est-elle soutenue par la Direction Gnrale de votre entreprise ?
2010
73%
21%
4%
2%
2008
59%
36%
4%
1%
0%
10%
20%
30%
40%
60% Non
70%
80%
90%
100%
Oui, en totalit
Ne sait pas
CLUSIF 2010
20/102
En outre, mme si environ un tiers des entreprises fondent leur Politique de Scurit de lInformation (PSI) sur les normes ISO (27001, 27002, 27799), il convient de remarquer que prs de la moiti des entreprises ne sappuie sur aucune norme. La Politique de Scurit de lInformation (PSI) de votre entreprise s'appuie-t-elle sur des normes de scurit ?
Non ISO 2700x Guide PSSI ANSSI ISO 27799 EBIOS MEHARI Autre Ne sait pas 0% 7% 5%
3%
41% 24%
44%
17%
6%
6%
6% 2008 2010
2% 2%
3% 3%
13%
25%
13%
10%
15%
20%
25%
30%
35%
40%
45%
50%
CLUSIF 2010
21/102
2010
49%
51%
1%
2008
37%
61%
2%
0%
10%
20%
30%
40% Oui
70%
80%
90%
100%
Toutefois, seule la moiti des RSSI sont ddis cette tche temps plein et lorsque le RSSI nexiste pas, cette mission reste fortement attache la Direction des Systmes dInformation ou Direction Informatique. Lorsquil nexiste pas de RSSI, par quelle autre fonction la mission de RSSI est-elle prise en charge ?
Le Responsable du Contrle Interne; 3% Le Risk Manager; 0% Autre; 10% Ne sait pas; 4%
CLUSIF 2010
22/102
DSI DG
Autres
Le RSSI consacre en moyenne 50% de son temps aux aspects techniques et oprationnels (dfinition des architectures, suivi des projets, gestion des droits daccs, etc.). Le temps restant est partag galit entre les aspects fonctionnels (PSI, analyse des risques), et les aspects de communication (sensibilisation) et juridiques. Dans le cadre de ses missions, quel pourcentage de son temps le RSSI consacre-t-il aux aspects
2010
24%
23%
30%
10%
13%
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Fonctionnels
Techniques
Oprationnels
Juridiques
Communication
CLUSIF 2010
23/102
Enfin, prsent, prs de 80% des entreprises ont en permanence une quipe scurit, alors quil y a deux ans, seul prs 57% des entreprises en bnficiaient. Toutefois, dans 61% des cas, le RSSI est encore un homme ou une femme seul(e) ou en binme seulement ! Quel est leffectif total de lquipe scurit permanente au sein de votre entreprise ?
3% 2010 21% 61% 10% 5% 1% 2% 1%
2008
43%
41%
12%
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Les moyens humains affects la gestion des problmes de scurit de linformation apparaissent en retrait de ce qui pourrait tre attendu au regard de la dpendance exprime des entreprises vis--vis de leur Systme dInformation.
CLUSIF 2010
24/102
Non; 34%
4%
32%
0% Non
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Oui, en partie, sur les activits de l 'entreprise et ce qui ne dpend pas seulement de l 'informatique Oui, en partie, sur les systmes informatiques Oui, en totalit
Figure 13 Inventaire et attribution dun propritaire des informations de lentreprise
Une fois linventaire ralis, la question de la classification des informations se pose. 23% des entreprises ayant ralis un inventaire annoncent avoir effectu une classification des informations ce qui signifie que seulement 7% des entreprises disposent de cette classification sur la totalit de leurs biens informationnels. Lchelle des critres utilise comporte, pour une majorit (42%) trois niveaux de sensibilit, alors que pour 26% une chelle deux niveaux semble suffisante ; le reste utilisant une chelle 4 niveaux, voire plus. Combien de degr de sensibilit de linformation votre entreprise a-t-elle identifie ?
Deux; 26%
Trois; 42%
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Cette information est intressante car elle fait ressortir quune grande majorit (+ 50%) utilise une chelle disposant dun nombre impair de niveaux, ce qui offre toujours la possibilit dutiliser un niveau mdian, donc non significatif Sans surprise, le critre de confidentialit des informations arrive en tte (88%) des critres employs devant la notion de disponibilit (69%). Pour autant, la confidentialit nest quassez rarement trait au niveau attendu Menaces informatiques et pratiques de scurit en France CLUSIF 2010 25/102
11%
6%
Autre; 27%
21%
0%
10%
20%
90%
100%
La norme ISO est-elle une mthode danalyse de risque ? Si lon en croit les rponses lenqute, il semblerait que pour une majorit, la rponse soit oui , car 36% des personnes interroges reconnaissent lavoir utilise pour mener bien une analyse de risque et 27% utilise une autre mthode. Les mthodes formelles telles quEBIOS ou MEHARI ne recueillent quun score de 18% avec un avantage MEHARI, certainement li aux outils disponibles. Est-ce un problme de perception (lourdeur des mthodes), ou un manque de comptences, toujours est-il que presque un tiers des entreprises (27%) utilise une autre mthode, souvent propritaire.
CLUSIF 2010
26/102
2010
Non; 24%
9%
Oui; 67%
2008
39%
11%
50%
0%
10%
20%
30%
40% Non
50% En cours
60% Oui
70%
80%
90%
100%
Les entreprises de plus de 1000 personnes (avec prs de 83%) ainsi que celles du secteur des services (40%) ont une longueur davance, signe dune certaine maturit de la politique de scurit et de moyens plus consquents. Existe-t-il une charte de scurit destination du personnel de l'entreprise (par taille) ?
Existence d'une charte scurit 90% 80% 70% 60% 60% 50% 40% 30% 20% 11% 10% 0% 200-499 500-999 1000 et + Ensemble 5% 4% 9% En cours d'laboration 77% 67% 83%
CLUSIF 2010
27/102
Les entreprises de plus de 200 salaris Dans prs de neuf entreprises disposant dune charte scurit sur dix (88%), cette charte est communique lensemble des collaborateurs (qui la signent dans 40% des cas) et son contenu prcise les sanctions disciplinaires applicables dans 53% des cas (-3% vs 2008). Sur ce dernier point, la taille de lentreprise a une influence : 64% de plus de mille salaris ont intgr les sanctions dans le rglement intrieur, contre 47% pour les PME de 200 499 salaris.
Globalement, nous estimons que les actions de sensibilisation restent encore largement insuffisantes alors que le facteur humain est toujours, juste titre, prsent comme un des points de faiblesse majeur en termes de scurit dans lentreprise : seul 16% du personnel (-2% vs 2008) fait lobjet de formation / information de manire rcurrente et seulement 27% des nouveaux arrivants sont sensibiliss (contre 36% en 2008). On prfre se contenter pour linstant dune communication standardise, sous la forme de diffusion d'articles et/ou d'affiches, qui est clairement moins efficace, mais somme toute moins chre
CLUSIF 2010
28/102
Du RSSI; 17%
9%
8%
0%
10%
20%
30%
40%
50%
60% Du RSSI
70%
80%
90%
100% Autre
Le Responsable des Services Gnraux donne les moyens (destructeur de documents, armoire forte, coffre-fort, copieur diskless) en fonction des besoins exprims par les Directions mtiers. Le RSSI ou le RSI, avec le Responsable Sret, sont les garants de la bonne cohrence des dispositifs de protection des documents papiers au sein de lentreprise.
CLUSIF 2010
29/102
Thme 10 : Gestion des oprations et des communications Scurisation des nouvelles technologies
Lvolution des nouvelles technologies connectes avec le SI se stabilise : peu de nouvelles grandes innovations (telles que le wifi, les PDA/Smartphones ou la ToIP) sont apparues sur le march. Dun autre ct, la politique des entreprises par rapport lusage de ces nouvelles technologies mrit lentement : globalement, linterdiction pure et simple au sein des politiques de scurit diminue en tant que mthode retenue pour se prmunir des risques de scurit induits par leurs usages. Quelle est votre politique daccs au Systme d'Information de l'entreprise ?
Accs au SI depuis un poste contrl
2010
8% 7% 31% 27% 51% 30% 47% 49% 17% 8% 5% 19% 19% 35%
77% 78% Interdit; 69% 71% 46% 63% 43% 44% 43% 67% 75%
14% 13%
1%
2008
2%
0%
1%
PDA et smartphones
1% 3%
9% 5%
1%
2008
2%
VoIP / ToIP
2010
5%
2008
6%
2010
1%
2008
0%
10%
20%
30%
40%
50%
60%
70%
80% Interdit
90% NSP
100%
Un accroissement du nomadisme
Le dveloppement de nouveaux modes de travail plus efficaces (avoir accs sa messagerie de nimporte o), plus verts (minimiser les dplacements), voire plus scuritaires (travailler de chez soi en cas de pandmie) pousse au dploiement des nouvelles technologies lies la mobilit. Si laccs au SI via un ordinateur portable fourni par lentreprise reste stable, lusage dun poste de travail non matris (cybercaf, PC personnel, etc.) est de plus en plus autoris (sous condition) pour entrer dans le SI. Compte tenu du besoin de nomadisme grandissant, cette autorisation connat nanmoins Menaces informatiques et pratiques de scurit en France CLUSIF 2010 30/102
Les entreprises de plus de 200 salaris une hausse limite (+4%) du fait de la difficult matriser les vulnrabilits et menaces que ce type daccs peut engendrer. Les PDA / smartphones connaissent une augmentation importante de leur usage (plus de la moiti des entreprises lautorise) alors mme que le march du tlphone portable en gnral est en baisse. Ces quipements, essentiels pour les entreprises qui ont toujours besoin de plus de ractivit, portent en eux des failles de scurit (politique de code PIN / mot de passe faible, vol ou perte dinformations confidentielles, installation dapplications comportant du code malveillant, etc.) qui constitueront un dfi certain pour les SI de demain. Lutilisation du wifi en entreprise reste assez stable, en lgre augmentation (56% contre 54%) : cette technologie, pour laquelle il existe des systmes dauthentification et de chiffrement maintenant solides, entre dans le paysage rseau classique du SI des entreprises.
CLUSIF 2010
31/102
Quelles technologies de scurit utilisez-vous pour lutter contre les vulnrabilits, les intrusions ?
Antivirus
97% 90% 95% 85% 91% 82% 37% 29% 37% 16% 12% 34% 23% 30% 14% 23%
Question non pose
3% 0% 5%2% 3%
0% 5%
Pare-feu rseau
9% 3%3% 6% 3% 0% 10% 5%
6% 9% 5% 6% 3%
Antispam
SIM
38%
2008
Contrle des cls USB
50%
48%
6% 10%
IDS
2008
Chiffrement des changes
44%
3%
54%
9% 13%
IPS
2008
Pare-feu personnel
1%
54%
7% 10% 12%
0%
10%
20%
30%
40%
50%
60%
80% NSP
90%
100%
Usage gnralis
Usage partiel
CLUSIF 2010
32/102
Ct scurit rseau, les IDS/IPS ont vu leur usage crotre de 10% depuis la dernire tude, portant le taux dquipement des entreprises environ 50%. Ces quipements permettant de dtecter et de bloquer les attaques (des vers par exemple) en coutant le rseau peuvent tre de trs bons complments un firewall de primtre (cest dailleurs souvent intgr aux firewalls de type UTM), et peuvent fournir aussi un cloisonnement interne pour limiter lampleur dune infection sans limiter les changes (et donc les usagers) lintrieur du rseau dentreprise. Toujours sur le rseau, le NAC qui existe depuis quelques annes reste relativement peu implant (65% des entreprises sen passent). Il faut dire que si la fonction apporte (contrler laccs physique au rseau) est trs intressante dans le contexte de la scurit primtrique, la mise en place peut parfois tre complique. Venant en complment des infrastructures rseau, les SIMs (qui permettent dexploiter les journaux en provenance des composants du rseau) quipent de plus en plus dentreprises : 13% de plus en 2 ans, et la tendance devrait se confirmer pour atteindre le niveau de 60%. En effet, les organisations ont besoin de garder des traces pour des analyses a posteriori dincidents de scurit ; et parfois, en allant un peu plus loin, de grer des alertes et de la corrlation (les deux pouvant tre lies). La maturit des produits aujourdhui sur le march adresse en gnral bien la problmatique de base (concentration de logs htrognes, gestion de leur archivage et des accs qui y sont faits), et propose galement des fonctions dalerte et de corrlation qui, elles, ncessitent un important travail danalyse pralable (et rcurrent) pour tre pertinentes dans le cadre de lentreprise concerne. Du cot du poste de travail, les pare-feu personnels voient leur prsence diminuer de 15% pour arriver 40% en 2010. Il faut dire que les FW personnels, historiquement surtout dploys sur les parcs dordinateurs portables (potentiellement exposs hors du primtre protg), disparaissent dornavant au profit des filtres rseau inclus dans les suites de protection du poste de travail dsormais dployes sur les parcs. Ces suites peuvent comprendre un firewall, mais surtout un Hosts IPS dont le rle est galement de protger contre les attaques rseau, mais avec un impact souvent plus lger en termes dadministration. noter que ces fonctions host IPS ont pu rvler leur utilit relle en permettant dans certains cas de limiter la diffusion de vers tels que Conficker . Le contrle des priphriques fait galement parti des fonctionnalits ajoutes aux suites de protection du poste de travail, facilitant ainsi sa mise en place aujourdhui de 45% (en progression de 15% par rapport 2008). Ce contrle de priphriques qui reprsente un enjeu important (pour contrler lentre des virus et les fuites de donnes) nest pas proprement parler une nouveaut mais plutt une remise au got du jour des politiques de blocage des lecteurs de disquette qui ont exist par le pass (souvent suite des infections virales). Les outils de chiffrement de donnes utilisateur voient leur niveau de dploiement augmenter avec 40% dentreprises quipes en 2010, en progression de 10% par rapport 2008. La spcificit de cette technologie est dtre dploye en majorit sur un primtre restreint. Les ordinateurs portables restent les plus concerns par cette mesure, tant particulirement susceptibles de stocker des donnes importantes (en comparaison des postes fixes qui pourront travailler exclusivement sur le rseau), et tant par nature plus sujets au vol. Le taux dquipement reste malgr tout relativement faible au regard des parcs de portable en circulation, mais la croissance prvisible du niveau dquipement reste stable (5% dintentions dachat pour lanne 2010). Le chiffrement des changes est aujourdhui bien implant avec plus de 50% dentreprises quipes. Il reste utilis le plus souvent dans un contexte purement rseau (80% des entreprises quipes dchanges chiffrs le sont pour du VPN) et beaucoup moins pour le chiffrement des changes serveurs (30% font du https). Il sera dailleurs intressant de surveiller ce dernier indicateur : en effet, de plus en plus dapplications stratgiques ou contenant des donnes confidentielles sont mises disposition en mode Web, et sont donc faciles intercepter pour qui le souhaiterait. Dernire technologie sur le march, et surtout la seule porter sur le contenu des informations en tant que tel, le DLP est conu pour contrler le flux de donnes aux frontires de lentreprise et plus prcisment, se prmunir contre la fuite dinformations. Le niveau dquipement reste encore faible (15%), mais il faut dire que la technologie est rcente et que les produits adressant lensemble des portes de sortie du primtre de lentreprise (passerelles mail et Web, postes de travail, supports amovibles, etc.) sont encore rares Menaces informatiques et pratiques de scurit en France CLUSIF 2010 33/102
Infogrance
Linformation dans les nuages (Cloud Computing), les applications en mode hberg (SaaS, ASP) ont le vent en poupe. Ce nest pas un sujet nouveau que dexternaliser tout ou partie de son SI chez un tiers, surtout pour une recherche de cot moindre ou tout simplement par manque de comptences Lentreprise qui externalise son SI doit alors porter une attention particulire sur le respect par son prestataire dindicateurs de services, dont la scurit doit faire partie. Avez-vous plac tout ou partie de votre systme d'information sous contrat d'infogrance ?
2010
10%
Non; 64%
1%
2008 0%
9% 10%
3%
100%
Oui en totalit
Non
Ne sait pas
Il semble que cette externalisation progresse trs faiblement, le Cloud Computing ntant donc pas encore mature Toutefois, le suivi dindicateurs de scurit est plus pouss, signe vident dune maturit plus forte des SI (ITIL, ISO27000). Exercez-vous un suivi rgulier de cette infogrance par des indicateurs de scurit ?
2010
Oui; 66%
Non ; 30%
4%
58% 30% 40% Oui 50% Non 60% Ne sait pas 70%
4%
100%
En revanche, les audits des SI infogrs sont fortement en baisse (28% en 2010, -30% vs 2008), tout en notant quapparaissent les audits ponctuels, signe probable de la mise en place dlments de contrles ou dindicateurs au sein des infogreurs, souvent lis la mise en uvre de bonnes pratiques ou de normes (ITIL, ISO 20000, ISO 27000, etc.) ; ces indicateurs tant alors souvent fournis aux clients.
CLUSIF 2010
34/102
2010
28%
Ponctuellement; 24%
Non; 43%
5%
2008
Oui, au moins une fois par an; 58% 0% 10% 20% 30% 40% 50% 60% 70% Non
39%
3%
80%
90%
100%
Ponctuellement
Ne sait pas
CLUSIF 2010
35/102
Reste que prs des deux-tiers des entreprises nenvisagent toujours pas de telles solutions, qui apportent pourtant un rel confort aux utilisateurs, facilitant ainsi le respect des politiques de mots de passe plus strictes et une traabilit accrue.
CLUSIF 2010
36/102
Quelles sont les technologies de contrle d'accs logique que vous avez dployes ?
Modle d'habilitation par rle ou profil mtier
2010
9% 3% 11% 9%
7% 4%
60%
3% 2% 2% 3%
2008
59%
2010
SSO
62%
2008
Authentification par certificat lectronique logiciel
73%
2010
21% 26% 7% 3%
4%
54%
1% 2% 2% 2%
2008
5%
52%
Provisionning
2010
70%
2008
77%
Authentification Workflow par mot de passe d'approbation non rejouable des habilitations
2010
68%
2% 3% 1% 4% 2% 4%
2008
60%
2010
70%
2008
72%
Web SSO
2010
75%
2008 3% 7% 4%
82%
2010
7% 8% 14%
18% 15%
2%
5%
68%
2008
5%
71%
2010 3%
81%
2008 4%
3%
77%
0%
10%
20%
30%
40%
50%
60% Envisag
Largement utilis
Expriment
Non utilis
CLUSIF 2010
37/102
2010
Oui ; 34%
Non; 28%
1%
2008
3%
100%
Oui, systmatiquement
Oui en partie
De mme, la formalisation des procdures oprationnelles de mise jour est en trs forte amlioration indiquant une maturit videmment plus forte des Systmes dInformation et de leur rle central. Avez-vous formalis des procdures de dploiement de correctifs de scurit (patch management) ?
2010
Oui; 64%
Non; 35%
1%
2008
48%
51%
1%
0%
10%
20%
30%
40% Oui
50% Non
70%
80%
90%
100%
Toutefois, cette maturit semble impacter directement les dlais de mise en uvre de ces mises jour en les augmentant plus dune journe.
CLUSIF 2010
38/102
En cas de menace grave, en moyenne quel dlai est ncessaire pour dployer les correctifs ?
2010; 23%
Dans l'heure Dans la journe dans les 3 jours Lors de sessions planifies de mise jour Ne sait pas 0%
5%
26%
54% 12% 4%
4%
60%
5%
2008
2010
7%
10%
20%
30%
40%
50%
60%
70%
Figure 28 - Dlai ncessaire pour dployer les correctifs en cas de menace grave
Concernant les dveloppements, peu de socits (20%) dclarent mettre en uvre des cycles de dveloppements scuriss. Parmi les entreprises ayant mis en place un cycle scuris, la majorit ne colle pas une mthode formelle (INCAS, OWASP CLASP, Cigital DSL, SDLC, etc.), mais applique plutt des bonnes pratiques pragmatiques.
CLUSIF 2010
39/102
2010
20%
32%
Non; 46%
2%
2008
13%
26%
59%
2%
0%
10%
20%
30%
40%
50%
60%
70% Non
90%
100%
Sans surprise, les incidents lis linformatique sont en quasi-totalit collects (94%) tandis que ceux lis aux autres types dinformations ou aux processus sont majoritairement moins associs aux incidents de scurit du SI (respectivement 39% et 45%).
2010
5%
Non; 90%
5%
2008
3%
100%
CLUSIF 2010
40/102
Les entreprises de plus de 200 salaris Par rapport 2006 et 2008, il n'y a pas de grosse volution dans les types d'incidents rapports. Les infections par des virus augmentent (+9% vs 2008), alors que les erreurs de conception diminuent fortement (24% vs 34% en 2008 et 58% en 2006). Au cours de lanne passe, quel type dincidents de scurit votre entreprise a-t-elle t soumise ?
46% 38%
46%
45% 43%
47%
44%
37%
40% 40%
31%
36%
37% 35%
44%
34%
58%
Evnements naturels Intrusions sur les systmes d'information Attaques logiques cibles
8%
2%
2%
4%
6%
6%
Accidents physiques
4%
6%
Divulgations
4%
4%
Sabotages physiques Actes de dnigrement ou d'atteinte l'image Fraudes informatiques ou tlcom Actes de chantage, extorsion informatique
4% 2%
3%
3%
3%
3%
3% 2%
2%
0% 1%
1%
0%
10%
20%
30%
40%
50%
60%
70%
CLUSIF 2010
41/102
2010
Oui ; 40%
27%
Non; 33%
2008
28%
33%
39%
0%
10%
20%
30%
40%
50%
60%
70%
80% Non
90%
100%
Oui, globalement
Malgr cela, on constate toujours des ingalits. En effet, un tiers des entreprises interroges na toujours pas pris en compte cette problmatique au sein de leurs organisations. Ceci tant dit, nous attirons lattention sur le fait que dans cette tude la gestion de la continuit dactivit couvre essentiellement les enjeux lis aux systmes informatiques. Or, faut-il rappeler que la continuit dactivit doit dabord dfinir les exigences de continuit mtier pour ensuite, et seulement ensuite, identifier les moyens techniques permettant dy rpondre. Si prs dune entreprise sur 2 nidentifie pas en amont les besoins mtiers en termes de continuit dactivit, alors les moyens informatiques mis en places peuvent-ils convenablement rpondre aux besoins mtiers des entreprises ? La gestion de la continuit d'activit dans votre entreprise concerne-t-elle ?
Les systmes informatiques Les quipements techniques Les locaux Les processus mtier Les archives Autres 0% 2% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 32% 62% 57% 54% 94%
CLUSIF 2010
42/102
2010
30%
34% 38%
47%
2008
10%
7%
8%
Figure 34 - Frquence des tests et des mises jour des plans de continuit
Cela reste peu probable et apporte un doute supplmentaire sur la comprhension de la notion de test dans le cadre dun plan de continuit dactivit. Enfin, il reste prs de 20% des entreprises qui affirment faire des tests seulement lors de changements importants, ne pas en faire du tout ou ne pas savoir. Gageons que cet inquitant et peu rassurant ratio continue de baisser dans les prochaines annes pour le bien des entreprises concernes.
CLUSIF 2010
43/102
2010
70%
79%
Secours cha ud (redma rra ge i mmdi a t s ur des ma chi nes redonda ntes a ctives )
50%
53%
Secours froi d (redma rra ge di ffr s ur des moyens redonda nts non a ctifs )
Autres s ol utions
Enfin, les cots en matire de solutions de sauvegardes ont eu tendance beaucoup baisser ces dernires annes. De fait, les acteurs en matires de stockage comme de sauvegardes distantes deviennent accessibles et de plus en plus nombreux.
CLUSIF 2010
44/102
Thme 15 : Conformit
Ce thme aborde les lments lis la conformit sous 3 aspects : la conformit avec la loi Informatique et Liberts , laudit des Systmes dInformation, lutilisation de tableau de bord.
1000 et +
53%
6% 4%
32%
6%
500-999
41%
7%
14%
34%
4%
200-499
25%
12%
11%
47%
6%
0%
10%
20%
30%
40%
50%
60%
70%
80% Non
90%
100%
C'est l'tude
Ne sait pas
CLUSIF 2010
45/102
Les entreprises de plus de 200 salaris On remarquera que seulement un peu plus de la moiti traitent les traces de connexions Internet des employs. Ce rsultat est faible pour une pratique faisant gnralement partie des premires mesures de scurit envisages ; les rglementations en vigueur poussent en effet la collecte de ce type dinformation. On pourra par ailleurs se rjouir que la grande majorit des rponses affirmatives indiquant traiter un type de donnes ont mis en uvre des mesures de scurit quils estiment adaptes , mme sil est impossible dvaluer objectivement la qualit des mesures en place. Traitez-vous les types de donnes suivantes, et si oui estimez-vous avoir mis en place des mesures de scurit adaptes ?
Donnes sensibles (mdicales, appartenance syndicale, croyances philosophiques ou religieuses...) Traces de connexion Internet et tlphonie par vos clients
21% 20% 22% 22% 39% 38% 59% 57% 75% 70% 0% 10% 20% 30% 40% 50% 60% 70% 80%
Figure 37 - Types de donnes traites par les entreprises et mesures de scurits mises en uvre
CLUSIF 2010
46/102
2/ Les audits
Le nombre des audits mens et leur nature stables sur 4 ans
Plus des deux-tiers (71%) des entreprises mnent au moins un audit une fois par an, alors que 25% nen mnent pas du tout (-10% vs 2008) ! Combien d'audits de scurit du SI sont-ils mens en moyenne par an ?
2010
8%
Aucun; 25%
4%
2008
5%
54%
35%
6%
0%
10%
20%
30%
40%
50%
60% Aucun
70%
80%
90%
100%
Plus de 5 par an
De 1 5 par an
Ne sait pas
Le chiffre de 71% est en progression par rapport 2008 (+12%) et retrouve le niveau de 2006 o lon avait not un bond spectaculaire. Quels types d'audits ou contrles de scurit sont mens au sein de votre entreprise ?
2010
60%
59%
43% 4%
5%
2008
48%
53%
46%
13%
22%
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
CLUSIF 2010
47/102
54%
A noter que la part daudits mens par un prestataire externe sest galement stabilise par rapport lenqute prcdente (24%, -1% vs 2008)
CLUSIF 2010
48/102
2010
Oui; 34%
Non; 65%
1%
2008 0%
2%
100%
noter, la continuit de la forte augmentation des entreprises qui le diffusent leur Direction Gnrale (72% contre 52% en 2008 et 28% en 2006). Si tableau de bord, quels en sont les destinataires ?
Le Directeur des Systmes d'Information La Direction gnrale Le RSSI Les Directions mtier La Direction des risques La Direction Juridique Autres 0% 8% 10% 20% 30% 40% 50% 60% 70% 80% 21% 19% 17% 61% 72%
85%
90%
CLUSIF 2010
49/102
70% 66% 63% 56% 50% 45% 44% 39% 37% 36% 35% 16% 0% 10% 20% 30% 40% 50% 60% 70% 80%
Conformi t a vec l es normes (comme l 'ISO 27001) Conformi t a vec l a Pol i tique de Scuri t de l 'Informa tion Vul nra bi l i ts dtectes Nombre d'a tta ques a rrtes pa r l es di s pos i tifs de s curi t Impa cts di rects et i ndi rects des i nci dents de s curi t
Ta ux de mi s e jour des s i gna tures a ntivi ra l es Eva l ua tion des ri s ques mtier ("Ba l a nced ScoreCa rd") Sui vi du budget cons a cr l a s curi t de l 'i nforma tion Ta ux de mi s e jour des pa tches de s curi t Ava ncement des projets de s curi s a tion
CLUSIF 2010
50/102
Hpitaux
Prsentation de lchantillon Dpendance linformatique des hpitaux Moyens consacrs la scurit linformation par les hpitaux Thme 5 : Politique de scurit Thme 6 : Organisation de la scurit et moyens Thme 7 : La gestion des risques lis la scurit des SI Thme 8 : Scurit lie aux Ressources Humaines Thme 9 : Scurit physique Thme 10 : Gestion des oprations et des communications Thme 11 : Contrle des accs logiques Thme 12 : Acquisition, dveloppement et maintenance Thme 13 : Gestion des incidents Sinistralit de
CLUSIF 2010
51/102
Les Hpitaux
Prsentation de lchantillon
Lenqute a t ralise par tlphone en janvier et fvrier 2010 auprs des hpitaux publics franais de plus de 200 lits : 151 hpitaux y ont rpondu, la personne cible tait le Responsable de la Scurit des Systmes dInformation, ou dfaut, le responsable informatique ou toute autre personne ayant cette question en charge.
Les rsultats de lenqute ralise en 2006 se rfraient une cible lgrement diffrente car les hpitaux de moins de 200 lits taient aussi inclus : 66% des hpitaux ayant rpondu lenqute en 2006 avaient moins de 200 lits, contre 34% de plus de 200 lits (soit environ 63 hpitaux). Parmi ces 151 hpitaux de plus de 200 lits, les tablissements de 200 500 lits sont en majorit (presque les deux-tiers). Un quart dentre eux comporte de 500 1 000 lits. Dix dentre eux (soit 7%) comportent plus de 1 000 lits. Quel est le nombre de lits de votre hpital ?
Le Directeur (ou responsable) Informatique a le plus souvent rpondu lenqute, dans un tiers des cas, le DSI reprsentant 17% des cas. Cependant, la cible prioritaire tait le Responsable de la Scurit des Systmes dInformation (RSSI), qui a pu tre joint dans 28% des cas seulement (42 hpitaux). En effet, dans la majorit des cas, il ny a pas de RSSI identifi, ni en tant quindividu ni en tant que fonction.
CLUSIF 2010
52/102
0%
10%
20%
30%
40%
50%
60% RSSI
70% DSI
80% Autres
90%
100%
Budget Informatique
Le budget informatique serait-il une information confidentielle ?
Le taux de rponse cette question est faible. Il est probable que ce budget SSI ne soit pas toujours connu ou diffusable, surtout sil est faible. Le taux de rponse est cohrent avec celui de lenqute sur les entreprises. Il doit tre not que, dans le domaine hospitalier, une partie non ngligeable des investissements informatiques est ralise directement dans les services. combien s'lve votre budget informatique annuel (investissement et fonctionnement) ?
7% <30k
30 100k; 15%
0%
20%
30%
40%
60%
30 100k
100 400k
100%
Les budgets informatiques sont trs disparates. Ils sont globalement infrieurs ceux constats pour les entreprises.
On peut cependant signaler la difficult identifier et isoler ce qui, dans un budget SI, relve de la scurit. Pour un antivirus cest vident, mais pour une infrastructure de sauvegarde, est-ce du domaine de la scurit ou de linfrastructure ? De plus, lorsque lon fait lacquisition de systmes tout en un (comme par exemple les PACS) qui sont livrs nativement en cluster redonds, etc., comment identifier la part scurit ?
Quel pourcentage reprsente le budget scurit par rapport au budget informatique total ?
2010
<1%; 18%
1 3%; 15%
3 6%; 16%
+ de 6%; 22%
2006
<1%; 16%
1 3%; 20%
3 6%; 24%
+ de 6%; 26%
14%
0%
10%
20%
30% <1%
40%
50%
60% + de 6%
80%
90%
100%
1 3%
3 6%
Ce constat est inquitant, car il doit tre corrl linterconnexion de linformatique mdicale avec linformatique de gestion dans beaucoup dtablissements de sant et donc une augmentation des risques. contrario, lchantillon nest pas constant et limportance des petits tablissements dans le panel peut expliquer une volution ngative.
CLUSIF 2010
54/102
Non ISO 2700x PSSI du GMSIH Guide PSSI ANSSI ISO 27799 MEHARI EBIOS Autre Ne sait pas 0% 5% 1% 14% 15% 15% 20% 25% 6% 11% 16% 14%
30%
34%
2006
2010
8%
8%
30%
22%
11%
10%
30%
35%
40%
Les tablissements hospitaliers sappuient sur des normes (2700x, 27799, etc.) pour laborer leur Politique de Scurit. En revanche, lutilisation de modles se dveloppe. Le GMSIH (Groupement pour la Modernisation du Systme dInformation Hospitalier) a produit un modle de Politique, et les hpitaux sont aujourdhui 14% sen inspirer pour llaboration de leur propre Politique de scurit. Par ailleurs, 8% au moins sappuient sur une mthode de gestion des risques pour llaboration de leur Politique.
En revanche, limplication des RSSI indique manifestement que, dans la majorit des cas, le rle du RSSI au niveau Gouvernance du Systme dInformation nest pas avr. Limplication de la Direction Gnrale recouvre-t-elle une implication plus large des diffrentes composantes mtiers des hpitaux (les mdecins, les laboratoires, les soignants, etc.) ? Cela semble souhaitable En effet des organismes tels que lAFAI ou lISACA recommandent que les projets IT soient corrls aux projets mtier auxquels ils contribuent, et grs en tant que composantes de ces projets mtier. Quelles sont les entits ayant contribu llaboration de la Politique de scurit ?
La Direction des Systmes d'Information La Direction Gnrale Le Responsable de la Scurit des Systmes d'Information (RSSI) Le Responsable de la Production informatique La Direction des Ressources Humaines Le Responsable de lAudit ou du contrle interne La Direction Juridique Autres 0%
12% 9% 21% 20% 35% 43% 66%
74%
Il est essentiel que les arbitrages concernant les projets IT majeurs soient rendus au niveau de la Gouvernance dune Organisation. Ainsi lon peut esprer que les projets IT et les objectifs du SI soient aligns sur les objectifs stratgiques de lOrganisation. Cest ce que recommande lAFAI, travers les onze vecteurs de valeur du SI (cf. sites de lAFAI, du CIGREF, etc.). Dans ce contexte, la Scurit, facteur cl de la performance, de la fiabilit, de la prennit dun SI, est ncessairement prise en compte au niveau de la Gouvernance du Systme dInformation. Les projets SI, dont les projets Scurit, par leur contribution aux projets mtier, sont vecteurs de cration de valeur dans les hpitaux, comme dans toute organisation.
CLUSIF 2010
56/102
2010
Fonctionnels; 25%
Techniques; 30%
Oprationnels; 28%
7%
10%
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Fonctionnels
Techniques
Oprationnels
Juridiques
Communication
Les fonctions oprationnelles et techniques reprsentent lactivit principale du Responsable Scurit (58%). Les aspects fonctionnels, davantage orients vers le management de la scurit (Politique scurit, analyse de risques, etc.), reprsentent seulement 25% de la charge du RSSI. Combien de personnes travaillent exclusivement la scurit de linformation au sein de votre hpital ? Nous nous sommes interrogs quant la pertinence de comparer brutalement certains chiffres : par exemple, la rponse Pas dquipe scurit permanente passe de 24% en 2006 38% en 2010. Cela peut paratre trs ngatif au premier abord. Certes, cela corrobore la baisse de fonction scurit porte par une personne ddie (41% en 2006 vs 23% en 2010), mais cela est-il reprsentatif dans lensemble du monde hospitalier ?
CLUSIF 2010
57/102
Non; 43%
9%
33%
Oui; 15%
0% Non
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Oui, en partie, sur les activits de l'hpital et ce qui ne dpend pas seulement de l'informatique Oui, en partie, sur les systmes informatiques Oui, en totalit
Figure 51 Ralisation de linventaire des informations
Le classement des informations, lui, est ralis par la moiti des hpitaux (48%), selon les critres de confidentialit (dans 82% des cas), de Disponibilit (62%, ce qui est rapprocher de lexistence de plans de continuit) et dIntgrit (48%) ou Autres (traabilit, Preuve, etc..), ceci avec, en moyenne, deux ou trois niveaux de sensibilit par critre.
Avez-vous ralis une analyse formelle, base sur une mthode, des risques lis la SSI ?
Non; 60%
3%
20%
Oui; 15%
2%
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Non Oui, en partie, sur les activits de l 'hpital et ce qui ne dpend pas seulement de l 'informatique Oui, en partie, sur les systmes informatiques Oui, en totalit Ne sait pas
Figure 52 Ralisation dune analyse des risques
CLUSIF 2010
58/102
Globalement, les analyses de risque menes en 2010 se sont traduites par des plans dactions de manire plus systmatique. Le Responsable Scurit est clairement reconnu comme le porteur de cette activit : 43% en 2010 contre 35% en 2006. La tendance dj amorce en 2006 se confirme. Cependant, il est difficile de comparer 60% de Non en 2010 40% seulement en 2006, car le libell en 2010 comporte le mot analyse formelle . Pour ce qui est de la mthode danalyse des risques utilise, la rfrence mthodologique privilgie est celle propose par le GMSIH.
CLUSIF 2010
59/102
2010
63%
15%
21%
1%
2006
42%
14%
42%
2%
0%
10%
20%
30% Oui
40%
50% Non
60%
70%
80%
90%
100%
En cours
Ne sait pas
Cette situation se mesure galement avec un autre indicateur : lexistence dun programme de sensibilisation la scurit. Dans les deux-tiers des tablissements, il nexiste aucun programme de ce type, proportion qui na pas valu entre nos deux enqutes. Et lorsque de tels programmes existent, les impacts ne sont pas mesurs dans huit cas sur dix. En quatre ans, la hirarchie des outils utiliss a volu : les sessions de sensibilisation systmatiques pour les nouveaux arrivants sont dsormais privilgies (dans 50 % des tablissements, contre 30 % en 2006) alors que dans lenqute prcdente, les tablissements mentionnaient davantage les publications (Intranet, mailing, affiches, articles, etc.) et la formation priodique comme outils principaux de sensibilisation.
CLUSIF 2010
60/102
Si charte de scurit, quels sont les moyens utiliss pour assurer la sensibilisation ?
Publications (Intranet, affiches, articles, mailing) Session de sensibilisation des nouveaux arrivants Formation priodique de tout le personnel Formation ddie des populations spcifiques Dpliants et goodies Quiz ou questionnaire ludique sur Intranet Autres 8% 5% 3% 0% 10% 20% 30% 40% 26% 18% 23% 12%
2006
2010
50%
60%
CLUSIF 2010
61/102
CLUSIF 2010
62/102
Thme 10. Gestion des communications et des oprations Scurit lie aux nouvelles technologies
Comme lors de la prcdente tude, les hpitaux se montrent globalement moins permissifs que les entreprises dans lutilisation des nouvelles technologies. Dun autre ct, on observe une diminution de leur interdiction pure et simple. Pourriez-vous positionner votre politique de scurit sur les aspects suivants ?
Accs au SI depuis un poste non Accs au SI depuis contrl un poste contrl
2010
61%
38%
1%
2006 2%
27%
70%
1%
2010
25%
75%
2006
8%
91%
1%
PDA et smartphones
2010 1%
29%
68%
2%
2006 4%
16%
76%
4%
2010 1%
62%
35%
2%
2006 2%
36%
59%
3%
VoIP / ToIP
2010 3%
28%
64%
5%
2006 3%
11%
81%
5%
2010 3%
15%
80%
2%
2006
0%
10%
20%
30%
40%
50%
60%
70%
80%
100%
Interdit
Lutilisation des postes nomades fournis par ltablissement est de plus en plus rpandue et accepte. En revanche, plus daccs sans condition. Le domaine hospitalier est en retrait par rapport aux entreprises (+ de 75% des entreprises autorisent les accs sous condition par des postes nomades et prs de 10% les Menaces informatiques et pratiques de scurit en France CLUSIF 2010 63/102
Les hpitaux publics franais de plus de 200 lits autorisent sans condition). Mais on peut sinterroger sur le bien-fond de cette tendance : autoriser laccs son SI sans conditions depuis lextrieur relve du suicide informatique Laccs partir de postes de travail non matriss est en augmentation mais reste largement interdit. Au vu des budgets informatiques et de la proportion de ces budgets ddie la scurit des Systmes dInformation, il est peu probable que ces consignes sappuient sur des dispositifs techniques limitant, voire interdisant la connexion dun quipement nappartenant pas ltablissement. Les rseaux sans fil prennent de plus en plus dampleur. Les hpitaux sont ici en avance par rapport aux autres entreprises. Ceci est logique car les technologies sans fil permettent de grer les dplacements du personnel mdical. Il est en revanche tonnant que lextension des rseaux sans fil ne soit pas corrle avec la mise en uvre de priphrique de type PDA, domaine o mme si la proportion quasiment double, le monde hospitalier reste en retrait par rapport au monde de lentreprise. Les rsultats seraient ventuellement diffrents si la question avait port uniquement sur les PDA et pas sur le couple PDA/Smartphone. On peut donc sinterroger sur lusage de ces rseaux sans fil dans les plus de 30% dtablissement qui nutilisent pas de terminaux mobiles. On peut ventuellement y voir une facilit pour viter un cblage ou une extension de cblage. En fait, la raison est simple : la question nest pas laccs depuis les PDA, mais laccs depuis les applications tournant sur les PDA. A ce jour elles sont trs peu nombreuses. Il doit tre rappel que les technologies wifi, outre les risques lis la confidentialit qui peuvent tre rgls, prsentent des risques intrinsques de perturbation et de dysfonctionnement, antinomiques de rseaux critiques tels que ceux prsents dans les hpitaux. Lusage de la tlphonie sur IP stend au sein des tablissements o elle a presque triple en trois ans. Lusage de la messagerie instantane reste faible. Globalement, la proportion dtablissement qui autorise lune ou lautre des technologies sans condition reste faible, voire diminue.
Lutte antivirale
Les niveaux dquipement des hpitaux sont du mme ordre que ceux constats pour les entreprises, hormis en ce qui concerne la technologie du chiffrement des donnes. Ceci amne penser que la dmarche de scurisation est la mme pour les entreprises et les hpitaux, les technologies tant aujourdhui globalement communes. Lutilisation du chiffrement des donnes utilisateur est globalement infrieure de 10% ce quon trouve en entreprise, mais le plus intressant est de voir que, dans le cas des hpitaux, la majorit des machines chiffres sont des ordinateurs fixes, ce qui explique une dmarche plus axe sur la confidentialit des donnes que sur le vol dquipements portables. Ceci est en effet comprhensible tant donn le niveau de confidentialit des donnes mdicales. On voit ici que si les technologies sont communes avec les entreprises, les risques adresser peuvent tre parfois diffrents. Menaces informatiques et pratiques de scurit en France CLUSIF 2010 64/102
Infogrance
Moins dinfogrance dans les hpitaux
Il apparat que de moins en moins dhpitaux ont recours linfogrance (26%, soit une diminution de 11% depuis la prcdente tude), ce qui constitue une diffrence notoire avec les entreprises pour lesquelles la proportion reste stable (autour de 35% externalisent la fonction SI en partie ou en totalit). Cette baisse peut tre impute plusieurs raisons non exclusives : fort besoin de confidentialit, manque de confiance dans linfogrance, r-internalisation suite des expriences dinfogrance nayant pas atteint les objectifs de qualit ou de scurit escompts Avez-vous plac tout ou partie de votre systme d'information sous contrat d'infogrance ?
2010
Non; 74%
25% 1%
2006
62%
10%
1%
0%
10%
20% Non
30%
40%
50%
60%
70%
80%
90%
100%
Oui, en partie
Oui, en totalit
Ne sait pas
2010
Oui; 34%
Non; 58%
8%
2006
45%
54%
1%
0%
10%
20%
30%
40% Oui
50% Non
70%
80%
90%
100%
CLUSIF 2010
65/102
Nanmoins, ce chiffre (31%) reste relativement faible et dnote globalement un contrle de la scurit limit dans les contrats dinfogrance. Si infogrance, effectuez-vous des audits sur cette infogrance ?
2010
13%
18%
64%
5%
2006
6%
12%
83%
0%
10%
20%
30%
40%
50%
60%
70% Non
80%
90%
100%
Oui ponctuellement
Ne sait pas
CLUSIF 2010
66/102
2010
24%
21%
55%
0%
10%
20%
70% Non
80%
90%
100%
Des rgles de constitution et de premption des mots de passe existent-elles pour tous les accs ?
2010
40%
32%
28%
0%
10%
20%
80%
90%
100%
De mme, il ny a aucun contrle des mots de passe (pour leur constitution et leur premption) dans un tiers des tablissements.
CLUSIF 2010
67/102
2010
19%
40%
40%
1%
2006
26%
35%
38%
1%
0%
10%
20%
30%
40%
50%
60%
70% Non
90%
100%
Oui, systmatiquement
Oui, en partie
La diminution constate defficacit visible sur les tableaux correspond plus llargissement du primtre qu une diminution de lefficacit des tablissements interrogs en 2006. En effet, il est assez peu probable que les tablissements de moins de 200 lits mettent en place des traitements ayant besoin dune masse critique importante comme la veille ou le traitement des correctifs. Une forme de mutualisation sur ces sujets est peut tre inventer En revanche, nous constatons avec satisfaction un progrs, mme modr en matire de mise en place des procdures formalisant la gestion des correctifs. Ceci est dautant plus important que la sinistralit due aux erreurs de conception des logiciels est en nette progression autant du point de vue du nombre que, surtout, de leur gravit. Il doit tre not que ce progrs na pas permis une amlioration des performances mais au contraire une dgradation. Doit-on y voir une meilleure maitrise et donc des rponses plus exactes ? Ceci est probable. Il est galement intressant de constater la mme tendance dans les rponses des entreprises.
CLUSIF 2010
68/102
Dans l'heure Dans la journe dans les 3 jours Lors de sessions planifies de mise jour Ne sait pas
4%
2010; 17%
2006; 30%
51%
50%
18%
13%
3%
7%
2006
2010
7%
0%
10%
20%
30%
40%
50%
60%
Les rsultats sur le dploiement des correctifs sont tonnants. En effet, la meilleure dfinition des processus de dploiement na pas permis une amlioration des performances mais au contraire une dgradation. Doit-on y voir une meilleure maitrise et donc des rponses plus exactes ? Ceci est probable. Il est galement intressant de constater la mme drive dans les rponses des entreprises. In fine, il en reste nanmoins que plus de 80% des tablissements sonds semblent capable de dployer des correctifs en moins de 3 jours en cas durgence alors que seuls 19% sont srs dtre alerts par leur dispositif de veille
CLUSIF 2010
69/102
Pannes d'origine interne Perte de services essentiels Vol / disparition de matriel Erreurs d'utilisation Infections par virus Erreurs de conception Evnements naturels Intrusions sur les systmes d'information Sabotages physiques Attaques logiques cibles Actes de dnigrement ou d'atteinte l'image Accidents physiques Divulgations Fraudes informatiques ou tlcom Actes de chantage, extorsion informatique
0%
46% 46%
47%
35% 38%
8% 7% 7% 7%
13%
2% 2% 5% 1%
5% 5%
6%
2006
2010
3%
3%
2%
3%
1%
0%
5%
10%
15%
20%
25%
30%
35%
40%
45%
50%
CLUSIF 2010
70/102
faible
Perte de services essentiels Pannes d'origine interne Vol / disparition de matriel Erreurs d'utilisation Erreurs de conception Infections par virus
65%
34%
1%
4,5 5,4
7% 0% 49% 64%
67% 7% 8% 24%
Lanne 2010 marque, notamment, par linfection massive du vers Confiker laisse penser quune relation pourrait tre faite entre laugmentation des infections virales et la perte de services essentiels. En effet, ce malware a infect prs de la moiti des CHU de France avec parfois des interruptions de service quasi-totales pendant des dures pouvant aller jusqu' 3 semaines. Les dernires infections massives du mme ordre taient dues "I Love You" et autres malwares similaires. Louverture de ces systmes du personnel externe pouvant utiliser des moyens vhiculant des codes malveillants, tels que les cls USB ou autres supports amovibles, est un facteur de risque ncessitant une prise en considration. On peut aussi se demander si, tout simplement, ce nombre de pertes de services en forte augmentation nest pas d au fait que le panel 2010 comporte de plus gros hpitaux quen 2006, et quils ont une meilleure connaissance (grce de meilleurs circuits de remonte) de leurs incidents. Et ce dautant plus que la taille des hpitaux augmentant, il est normal que le nombre de pertes de services augmente aussi. Une autre piste explorer se situe du ct de la qualit de service des fournisseurs de service essentiels (FAI, lectricit, etc.), soumis une concurrence violente, et des mises en place de nouvelles infrastructures encore en cours de stabilisation. Une volution parat de prime abord notable depuis l'tude prcdente : elle concerne le ressenti en matire d'intrusions sur les systmes d'information qui atteint un taux remarquable de 7% d'hpitaux dclarant avoir rencontr de tels incidents (l'tude ne distinguant pas les tentatives des intrusions effectivement russies). Ce chiffre est cohrent avec le dploiement de plus en plus courant d'outils de dtection ou de prvention des intrusions et ne peut tre interprt comme une volution de ce type de risques.
CLUSIF 2010
71/102
Pas de rsorption
37%
Budget-trsorerie courante Assurance Ne sait pas Action juridique Financement bancaire (emprunt)
21%
38%
9%
2006
2010
1%
1%
0%
5%
10%
15%
20%
25%
30%
35%
40%
45%
50%
Ainsi, la diminution du dpt des plaintes nest pas significative par rapport la modification du panel, les grands tablissements ont des structures spcifiques pouvant prendre plus aisment cette problmatique en charge. De mme en ce qui concerne l augmentation apparente du nombre dincidents. Tout ceci est mettre en rapport avec la dpendance croissante des tablissements par rapport leur Systme dInformation. Menaces informatiques et pratiques de scurit en France CLUSIF 2010 72/102
Concernant la question relative aux impacts financiers, les chiffres doivent tre lus avec prudence. Si le risque financier est important, il ne faut pas oublier que la notion de risque vital a une signification trs concrte dans le milieu hospitalier, qui ne correspond pas la notion de faillite des entreprises prives. Il est probable que certaines rponses ont pris en compte lide de lanalyse du risque au del du risque financier.
CLUSIF 2010
73/102
2010
22%
32%
46%
2006
12%
24%
64%
0%
10%
20%
30%
40%
50%
60%
70%
80% Non
90%
100%
Oui, globalement
Malgr une forte progression (+18%) par rapport 2006, il reste toujours prs dun hpital sur deux qui na toujours pas trait la gestion de la continuit d'activit. Il est parier que cela est corrler avec la forte augmentation de la dpendance des hpitaux leur SIH dans des secteurs particulirement critiques (imagerie, laboratoire, mais aussi prescription connecte, etc.). La gestion de la continuit dactivit concerne-t-elle ?
Les systmes informatiques Les processus mtier Les quipements techniques Les locaux Les appareils mdicaux Les archives Autres
1% 37% 46% 56%
86%
53%
35%
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
CLUSIF 2010
74/102
Une fois par an Plusieurs fois par an Lors de changement(s) important(s) Jamais Moins d'une fois par an Ne sait pas 0% 5%
2010
14%
2008
27%
11%
11%
10%
11%
2006
2010
Figure 68 Frquence des tests et mises jour des plans de continuit dactivit
Globalement, les PCA sont tests et mis jours au moins une fois par an ou loccasion de changements importants. Ce qui est surprenant cest que lon constate (comme pour les entreprises), une diminution par rapport 2006 du nombre de tests raliss plusieurs fois par an (-10%). A linverse, on remarque une forte augmentation du nombre de tests raliss une fois par an (+14%). L encore, on peut sinterroger sur le bien fond dun seul test men dans lanne. En effet, ce seul test peut-il savrer concluant pour sassurer du bon dispositif de continuit dactivit de lhpital concern ? Les rsultats dans leurs globalits sont certainement du aux mmes raisons de dpendance croissante des hpitaux vis--vis de leurs SIH. Encore faudrait-il comprendre et dcrypter ce qui est couvert par ces tests.
CLUSIF 2010
75/102
En effet, sil ne sagit que de tests de bascule technique, cest bien mais cela reste insuffisant. L aussi, il faudrait que les responsables des PCA au sein des hpitaux parviennent davantage inclure les contributions mtier. Existe-t-il un processus formalis de gestion de crise ?
2010
31%
27%
42%
0%
10%
20% 30% 40% 50% 60% 70% Oui, globalement Oui, pour certaines activits
80% Non
90%
100%
Prs dun tiers des hpitaux disposent dun processus formalis de gestion de crise
Cest est un bon score mais modrer face aux 42% des hpitaux qui nen disposent pas ! Ce qui est surprenant, cest que le rsultat des hpitaux en matire de gestion de crise est suprieur celui des entreprises, alors que ces dernires sont pourtant plus nombreuses avoir mis en place des PCA. La gestion de crise semble donc mieux maitrise par les hpitaux, sans doute au regard de la criticit de leur obligations en cas dincident grave. Toutefois, tous ces rsultats doivent tre pris avec grande prcaution en termes de comprhension. Est-il utile de rappeler que tout processus de continuit dactivit englobe obligatoirement une gestion de crise ? Plus de 80% des mmes personnes interroges qui dclarent avoir mis en place des processus de continuit, rpondent pourtant quelles nont pas identifi leurs RTO et RPO ! Il sagit certainement dune question dlicate poser une direction mtier et celle pour laquelle il est le plus facile dobtenir une rponse. Combien de temps pouvez-vous supporter que votre systme informatique sarrte dclenche souvent un regard tonn de la part de linterlocuteur. Ce dernier rpond le plus souvent que tout doit tre mis en uvre pour quil ny ait jamais darrt . Ajoutons enfin cela quil ny a pas ou trs peu de culture de risque lhpital, et pas seulement dans le domaine des Systmes dInformation. Quels types de solution de secours informatique utilisez-vous pour rpondre des sinistres majeurs ?
84% 54%
Sauvegardes classiques Secours chaud Secours froid Autres solutions Ne sait pas Aucune 10% 1%
7% 35% 30%
88%
42%
2006
2010
1%
2010; 0%
1%
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
CLUSIF 2010
76/102
Une progression globale de solution de secours informatiques saffiche au regard de lensemble de ces rsultats. Ces derniers montrent de fortes corrlations avec ceux constats auprs des entreprises. linverse, le secours froid comme le secours chaud augmentent considrablement. L aussi, les nouvelles technologies comme les nouveaux moyens de sauvegardes tl distants sont sans doute lorigine de toutes ces augmentations lexception des moyens de sauvegardes classiques qui baissent denviron 6%. Ces dernires annes, la baisse des cots des solutions de sauvegardes et/ou de redmarrage chaud comme froid permettent sans aucun doute aux RSSI des hpitaux de mieux apprhender leurs solutions de secours informatiques.
CLUSIF 2010
77/102
Thme 15 - Conformit
Une conformit aux lois et rglements en lgre augmentation
Une progression de quatre points sest opre en 2010, par rapport 2006, sur la conformit aux obligations de la CNIL : 94% des hpitaux interrogs estiment tre en conformit totale ou sur les traitements les plus sensibles. De mme, la mise en place dun Correspondant Informatique et Libert (tel que dfini par la CNIL) progresse nettement : cette mise en place est faite ou dcide dans 43% des hpitaux (contre 37% en 2006). En revanche, 38% des hpitaux ne la encore ni fait ni prvu, cette fonction entrant probablement dans le primtre dun autre poste. A la question Votre hpital est-il soumis des lois et/ou rglementations spcifiques en matire de scurit des informations , 31% des rpondants rpondent non ou ne savent pas. Or, la confidentialit des donnes personnelles mdicales sur informatique obit aux textes relatifs au secret de la vie prive (art. 9 du Code civil), au secret mdical (art. R 4127-4 du Code de la sant publique et, pour le secret professionnel, art. 226-13 du Code pnal), la loi garantissant la confidentialit des correspondances prives par voie de tlcommunications, notamment celles qui concernent la sant, et la loi Informatique et Liberts qui exige, elle aussi, la confidentialit et la scurit des donnes (art. 29). En effet, selon la loi n78-17 du 6 janvier 1978 relative linformatique, aux fichiers et aux liberts, les droits du patient et les devoirs du mdecin concernant les dossiers mdicaux informatiss sont les suivants : le droit l'information (article 28) et le droit l'opposition et l'oubli (article 26), le droit de contestation et de rectification (article 36), et le droit la scurit (article 29). Par ailleurs, la loi relative lassurance maladie crant le dossier mdical personnel (DMP) pour chaque assur social a t adopte le 13 aot 2004. Actuellement, le DMP a pu tre expriment par 17 sites pilotes dsigns dans la circulaire DHOS/E3 n2006-281 du 28 juin 2006 relative la mise en uvre du dossier mdical personnel par les tablissements de sant. Nous pouvons citer notamment les CHU de Lille, Strasbourg, Toulouse ou encore Amiens mais galement des tablissements de soins privs. Le dcret confidentialit du 15 mai 2008 a concrtis les recommandations de la CNIL, dans la mesure o il impose lutilisation de la Carte Professionnel de Sant (CPS) comme procd didentification et dauthentification pour toute transmission ou accs aux donnes de sant, et plus particulirement au DMP, y compris au sein dune mme structure. Cette mconnaissance des lois peut donc surprendre : le profil du rpondant est-il en cause, ou sa sensibilisation aux aspects juridiques de la scurit ?
CLUSIF 2010
78/102
+ de 2; 12%
1 ou 2; 38%
Aucun; 49%
1%
0%
10%
20%
30% + de 2
40% 1 ou 2
50% Aucun
60%
70%
80%
90%
100%
Ne sait pas
On peut penser que linterprtation du terme audit est en jeu : dans le monde mdical, laudit est une procdure diffrente des contrles de routine. Il est habituellement effectu par un auditeur interne ddi, ou un cabinet extrieur. Si audit(s), de quels types ?
Vrification des configurations techniques Vrification des droits d'accs des utilisateurs Vrification de l'organisation et des procdures Tests d'intrusion rseaux Autres Ne sait pas 3% 3% 23%
81%
100%
67%
58%
2006
4%
2010
0%
20%
40%
60%
80%
100%
Dans la question suivante, on voit que les diffrentes natures des audits et leur primtre expliquent la variabilit de cette frquence. Ainsi, pour les hpitaux pratiquant des audits , seuls 37% procdent une vrification totale du primtre Scurit (organisation et procdures), ce qui est en nette rgression par rapport 2006 et compte tenu de la taille des tablissements interrogs. Le reste des audits est technique : tests dintrusion (23%), configurations techniques (44%), droits daccs (42%). Il est trs tonnant de voir quen 2006 tous les hpitaux interrogs contrlaient leurs droits daccs, y compris les hpitaux de petite taille, contre 42% en 2010 : quelque soit la taille de lhpital, et a fortiori pour les grands tablissements, ceci devrait faire partie des incontournables. Menaces informatiques et pratiques de scurit en France CLUSIF 2010 79/102
Les hpitaux publics franais de plus de 200 lits Les motivations qui dclenchent ces audits sont de diverses natures : politique de scurit ( 46%), en raison de projets sensibles (46%), contractuelle ou rglementaire (38%), demands par les tutelles ou les assureurs (10%). Par ailleurs, 38% des audits sont dclenchs suite un incident. Malheureusement comme souvent, cest la suite dun sinistre que lon prend conscience de la ncessit de prendre des mesures de protection. Cest aussi vrai dans le domaine de la scurit civile (par exemple un carrefour dangereux) que dans celui des Systme dInformation. Lhpital nchappe pas la rgle. noter que 30% des rpondants ne savent pas pourquoi ces contrles sont pratiqus : on peut supposer quils ne sont pas responsables de les pratiquer eux-mmes.
CLUSIF 2010
80/102
Internautes
Prsentation de lchantillon Partie I Identification et Inventaire Partie II Perception de la menace rsultant de la connexion Internet et sensibilit de lutilisateur Partie III Les usages de linternaute Partie IV Moyens et comportements de scurit
CLUSIF 2010
81/102
Les Internautes
Prsentation de lchantillon
Deux ans aprs la premire enqute lance par le CLUSIF sur les pratiques et les comportements des particuliers autour dInternet partir de leurs quipements personnels, cette nouvelle tude a t ralise fin 2010 partir dun chantillon de 1000 personnes. Comme pour la premire tude, les oprations et les traitements statistiques des donnes ont t effectus par le cabinet spcialis GMV Conseil qui sest appuy sur un panel dinternautes gr par Harris Interactive. Lchantillon a t constitu de faon reprsenter le plus prcisment possible la ralit des internautes franais partir des donnes socioprofessionnelles dont dispose le cabinet. Lchantillon final a fait lobjet dun redressement sur les donnes de signaltique et par rapport aux donnes connues sur le plan national : sexe, ge, rgion, type dagglomration, catgorie socioprofessionnelle. Il peut tre utile de rapprocher les rsultats obtenus par lenqute et ceux dune tude ralise par lARCEP (Autorit de Rgulation des Communications lectroniques et des Postes), la mme poque (fin 2009), tude qui indiquait 19,7 millions dabonnements Internet1, dont 3,6% par modem, 95% par ADSL et 1,5% trs haut dbit (par fibre optique). Par ailleurs, lARCEP a not une croissance des abonnements proche de 10% pendant lanne 2009.
Par ailleurs, lINSEE comptabilise 31 millions de logements en France et environ 24 millions de mnages fin 2009. Menaces informatiques et pratiques de scurit en France CLUSIF 2010 82/102
Les internautes
CLUSIF 2010
83/102
Les internautes
66%
23%
11%
0%
20%
40%
60%
80%
En revanche, le sentiment de danger concernant la protection de la vie prive augmente (mise en danger de la vie prive fortement ou un peu 60% en 2008 vs 73% en 2010). Pensez-vous que l'utilisation d'Internet peut mettre en danger la protection de votre vie prive ?
73%
25%
2%
0%
10%
20%
30%
40% Oui
50% Non
70%
80%
90%
100%
Il ny a pas forcment un rapport entre le sentiment dinscurit vis--vis dInternet et le risque concernant leurs donnes personnelles. Une explication possible est que ces donnes ne sont plus uniquement sur lordinateur personnel.
CLUSIF 2010
84/102
Les internautes
Lvolution ressentie de lexposition aux risques de linformatique personnelle est relativement stable par rapport 2008. Selon vous, quelle est lvolution ressentie de lexposition aux risques ?
20%
55%
15%
10%
0%
10%
20%
30%
40%
50%
60%
80%
90%
100%
En hausse
Stables
En baisse
La perception des menaces lies aux escroqueries la carte bancaire (phishing) est relativement stable. La perception de la menace lie au spam augmente trs lgrement. Selon vous, en labsence de protection adapte de votre informatique personnelle, le spam et le phishing reprsentent-t-ils un risque ?
Le phishing
2010
37%
31%
24%
5% 3%
2008
44%
23%
24%
7%
2%
Le spam
2010
42%
29%
22%
4%3%
2008
37%
30%
26%
4% 3%
0%
10%
20%
30%
40% Important
50%
60%
70% Nul
80%
90%
100%
Trs important
Peu important
Ne sait pas
La perception du risque dIntrusion est lgrement en baisse. Malheureusement, les intrusions ne sont gnralement pas dtectes ce qui peut expliquer cette confiance. On observe les mmes volutions vis-vis des virus, et des logiciels espions.
CLUSIF 2010
85/102
Les internautes
Selon vous, en labsence de protection adapte de votre informatique personnelle, les intrusions, les virus et les logiciels espions reprsentent-t-ils un risque ?
2010
42%
34%
18%
2% 4%
2008
45%
35%
16%
3%
1%
2010
51%
30%
15%
2%
2%
2008
56%
30%
10%
3%1%
2010
29%
31%
33%
5% 2%
2008 0% 10%
21% 80%
4% 4%
90%
100%
Trs important
Peu important
Ne sait pas
Figure 77 volution de la perception des menaces lies aux intrusions, aux virus et aux logiciels espions
Il ny a pas dvolution importante du ressenti du risque de vol didentit, malgr lexplosion de lusage des rseaux sociaux. Selon vous, en labsence de protection adapte de votre informatique personnelle, le vol didentit reprsente-t-il un risque ?
Le vol d'identit
2010
35%
33%
25%
2%
5%
2008
37%
28%
25%
6%
4%
0%
10%
20%
30%
40% Important
50%
60%
70% Nul
80%
90%
100%
Trs important
Peu important
Ne sait pas
La perception du risque de panne lectrique nvolue pas, malgr laugmentation de lusage des portables. On note peu de diffrence entre grandes villes et zones rurales. La perception de la menace de piratage de laccs wifi nvolue pas depuis le dernier rapport. En revanche, une nouvelle question portant sur le risque de connexion un faux accs wifi montre le manque de sensibilisation des Internautes cette menace. Il sagit du risque que son PC se connecte un faux hotspot ou un accs pirate se faisant passer pour un accs dj paramtr dans le PC. Une fois connect, le propritaire du faux accs wifi est en mesure dcouter le trafic chang entre le PC et les sites web visits, y compris ceux qui sont scuriss par certificats. Menaces informatiques et pratiques de scurit en France CLUSIF 2010 86/102
Les internautes
Selon vous, en labsence de protection adapte de votre informatique personnelle, le wifi reprsentet-il un risque ?
2010
28%
27%
23%
11%
11%
2008
27%
27%
31%
11%
3%
2010
17%
19%
26%
28%
10%
2008
0%
10%
20%
30%
40% Important
50%
60%
70% Nul
80%
90%
100%
Trs important
Peu important
Ne sait pas
Les Internautes diminuent trs lgrement lusage des protections telles les firewalls, anti-virus et dune faon encore plus marque en ce qui concerne les anti-spam. Selon vous, ces situations peuvent-elles tre vues comme facteurs aggravants quant aux menaces dInternet ?
Ne pas avoir de parefeu
2010
78%
14%
3% 5%
2008
86%
12% 1%
1%
2010
91%
4% 3%
2%
2008
95%
3% 1% 1%
2010
56%
32%
8%
4%
9% 1% 100%
Augmente faiblement
N'augmente pas
Ne sait pas
CLUSIF 2010
87/102
Les internautes Nous constatons une augmentation assez faible de la prise de conscience du danger de divulguer ses coordonnes sur Internet (75% en moyenne en 2008 81% en 2010). Ceci malgr larrive des sites de rseaux sociaux et les incitations aux changes de ce type de donnes quils gnrent.
CLUSIF 2010
88/102
Les internautes
En ce qui concerne le paiement dachats en ligne, les blocages semblent fortement diminuer, ainsi 90% des internautes dclarent accepter de le faire (sous conditions pour 68% et mme sans condition pour 22% dentre eux). Parmi les conditions qui facilitent cette acceptation conditionnelle, il apparat que le chiffrement de la liaison vers le vendeur (https) est de loin un lment facilitateur (99% y font confiance), ensuite lon trouve la notorit de lenseigne accde (72% de confiance) ou lutilisation dune e-card (68%).
Travail la maison ?
Lenqute confirme bien que lordinateur familial est utilis uniquement pour un usage priv par 70% des personnes, 23% faisant un usage mixte et 2% un usage strictement professionnel. Les jeunes (15-24 ans) tant deux fois plus nombreux (46%) dclarer panacher un usage priv et professionnel . Utilisez-vous votre ordinateur familial pour un usage personnel et/ou professionnel ?
15-24 ans
53% 1%
46%
25-34 ans
74% 1%
25%
35-49 ans
67% 2%
31%
50 ans et +
88% 2%
10%
Usage mixte
Les Internautes voluent peu dans leur comportement vis--vis de la connexion distance au rseau de leur entreprise. Utiliser lordinateur familial pour raliser des travaux professionnels apparat comme une solution de secours.
CLUSIF 2010
89/102
Les internautes
A quelle frquence utilisez-vous Internet pour vos connecter distance au rseau de votre entreprise
2010
11%
16%
64%
9%
2008
10%
10%
52%
28%
0%
10%
20%
30%
40%
50% Parfois
60% Jamais
70%
80%
90%
100%
Non concern
2010
15%
28%
56%
1%
2008
33%
67%
0%
10%
20%
30%
40%
50% Parfois
60% Jamais
70%
80%
90%
100%
Ne sait pas
CLUSIF 2010
90/102
Les internautes
Quelles donnes ?
Les internautes stockent sur leurs machines tout type de donnes personnelles (courriers, comptabilit, images, vido, musique, etc.). La moiti des personnes interroges dclarent ne pas conserver de donnes professionnelles sur leur ordinateur personnel, aprs traitement. Cela tendrait prouver quils ont conscience des risques de responsabilit lis la dtention de donnes caractre professionnel dans la sphre prive. Utilisez-vous votre ordinateur familial pour stocker et manipuler des documents professionnels ou de travail ?
2010
Oui; 42%
Non; 58%
2008
17%
100%
Non concern
Figure 84 Usage de lordinateur familial pour stocker ou manipuler des documents de travail
On pourrait aussi en conclure que lusage de lordinateur personnel pour des actions professionnelles nest quoccasionnel.
Villes de moins de 10,000 hab Villes entre 10,000 et 50,000 hab Villes de plus de 50,000 hab 0%
31%
24%
45%
32%
25%
43%
Parfois
Jamais
Lutilisation des outils technologiques crot en fonction de limportance de population, ce qui sexplique par le fait que les zones forte concentration dhabitants bnficient historiquement dune meilleure infrastructure de communication. Cependant, les zones rurales semblent rattraper les autres environnements, ce qui laisse supposer que le retard se comble. Menaces informatiques et pratiques de scurit en France CLUSIF 2010 91/102
Les internautes
De manire logique, ce sont les catgories socioprofessionnelles les plus leves qui manipulent le plus souvent des donnes professionnelles dans leur sphre prive, avec les outils informatiques domestiques.
Si le site est clairement scuris : chiffrement des donnes Si le site est rput, appartient une marque ou une enseigne connues Si le site propose des moyens de paiement scuriss, spcifiques internet : e-carte
29%
2010
95%
20%
71%
19% 39%
68%
12%
9% 17% 5%
35%
Si le site est agr par des organismes indpendants Si le site est recommand par un comparateur de prix sur internet
17% 4% 6% 2%
0% 10% 20% 30% 40% 50% 60%
2008
2010
70%
80%
90% 100%
Donnes personnelles
Daprs lenqute, les internautes semblent confier assez facilement les donnes personnelles les concernant aux formulaires de demande de renseignement des sites visits. Ils ne peroivent peut-tre pas clairement les dangers qui consistent alimenter des fichiers de donnes personnelles et font confiance, tant que leurs valeurs financires ne sont pas sollicites.
CLUSIF 2010
92/102
Les internautes
15-24 ans
10%
76%
14%
25-34 ans
6%
74%
20%
35-49 ans
5%
68%
27%
50 ans et +
5%
70%
25%
Ensemble
CLUSIF 2010
93/102
Les internautes
Mise jour
Nous constatons une baisse de la mise jour automatise des systmes ou logiciels. Est-ce d une volont de mieux contrler ou un rel problme de comportement ? Dans tous les cas, la perception du risque est trs importante (64%). La frquence de mise jour manuelle reste insuffisante pour un quart des sonds (25% moins souvent qu'une fois par mois). Votre ordinateur est-il rgulirement mis jour automatiquement (OS, antivirus, etc.) ?
50 ans et +
97%
2% 1%
35-49 ans
93%
2%
2%
3%
25-34 ans
92%
2%
3%
3%
94%
2%
2%
2%
100%
Protection lectrique
Les dispositifs de protection lectrique sont lgrement plus utiliss (24% en 2008 27% en 2010). Ces dispositifs concernent plutt les internautes gs (35% des +50 ans) et moins les jeunes internautes (14% de 15-24). On note une disparit par tranche dge (35% des +50 ans, 14% de 15-24) et par rgion.
CLUSIF 2010
94/102
Villes de moins de 10,000 hab Villes entre 10,000 et 100,000 hab Villes de plus de 100,000 hab 0%
38%
62%
32%
68%
23%
77%
10%
20%
30%
40%
50% Oui
60% Non
70%
80%
90% 100%
Biomtrie
Lusage de la biomtrie est en augmentation (de 4% en 2008 11% en 2010). Cette volution pourrait tre due l'quipement par dfaut des PC portables. Les internautes ayant une perception globale des risques encourus sont plutt plus quips (18%), alors que les internautes gs le sont moins (8%).
Chiffrement
Les outils de chiffrement sont toujours aussi peu utiliss (8%).
Mot de passe
On note une diminution importante de lusage des mots de passe douverture de session. Cette volution est probablement lie laugmentation du nombre dordinateur par foyer (ceux ci tant moins partags entre plusieurs personnes). Utilisez-vous un mot de passe d'ouverture de session au dmarrage de l'ordinateur ?
2010
5%
90%
5%
2008
47%
51%
2%
0%
10%
20%
30%
40% Oui
50% Non
70%
80%
90%
100%
Toutefois, ce point peut paratre inquitant dans la mesure o lordinateur personnel est de plus en plus portable et utilis en dehors du domicile.
CLUSIF 2010
95/102
Les internautes
Anti-virus
Une lgre baisse (95% en 2008 91% en 2010) de lusage des anti-virus est constate. Linstallation danti-virus par dfaut est peut-tre une explication de ce fort taux dusage.
Antivirus
91%
7% 2%
Firewall
86%
9%
6%
Antispam
80%
13%
6%
Sauvegarde
La sauvegarde est une pratique en forte augmentation. Sauvegarder-vous rgulirement le contenu de votre ordinateur ?
15-24 ans 25-34 ans 35-49 ans 50 ans et + Ensemble 0% 10% 20%
64% 78% 80% 78% 75% 30% 40% Oui 50% Non 60% Ne sait pas 70%
6% 3% 4% 5% 5% 100%
CLUSIF 2010
96/102
Les internautes La sensibilisation des utilisateurs, loffre de logiciel de sauvegarde, la baisse des cots des supports de sauvegarde sont des explications cette augmentation.
Wifi
La scurit du wifi ne montre pas de changement depuis 2008. On note une diffrence notable entre les +50 ans (66%) et les 25-34 (86%).
Sentiment scurit
Le sentiment de scurit est en lgre baisse, sans volution majeure ; cette volution est cohrente avec lvolution de la perception des risques et des menaces par les internautes. La grande majorit (91%) se sent plutt ou totalement en scurit. Finalement, quand vous utilisez votre ordinateur familial et Internet, vous sentez-vous ?
2010
9%
82%
6% 1%
1%
2008
12%
82%
5% 1%
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Le sentiment de scurit est accru chez les jeunes : ils sont 17% se sentir totalement en scurit contre une moyenne de 9% sur le reste de la population. On pourra expliquer ce chiffre par un sentiment de meilleure matrise de loutil et une conscience plus faible des risques.
CLUSIF 2010
97/102
Annexe
Glossaire
CLUSIF 2010
99/102
Glossaire2
Terme AFAI ANSSI ARCEP ASIP CIGREF CLUSIF CNIL CPS Dfinition Association Franaise de lAudit et du Conseil Informatiques. http://www.afai.asso.fr/. Agence nationale de la scurit des systmes dinformation. http://www.ssi.gouv.fr/index.html. Autorit de Rgulation des Communications lectroniques et des Postes. http://www.arcep.fr/. Agence des Systmes dInformation Partags de sant. http://www.asipsante.fr/. Club Informatique des GRandes Entreprises Franaises. http://www.cigref.fr/. CLub de la Scurit de lInformation Franais. http://www.clusif.asso.fr/. Commission nationale de l'informatique et des liberts. http://www.cnil.fr/. Carte Professionnel de Sant Catgorie socioprofessionnelle. Caractrisation de la population active franaise en classes et professions, tablie par lINSEE. http://www.insee.fr/fr/nom_def_met/nomenclatures/prof_cat_soc/pages/pcs.htm. Direction de lhospitalisation et de lorganisation des soins. http://www.travail-solidarite.gouv.fr/le-ministere,149/presentation-etorganigramme,294/le-ministre-du-travail-de-la,747/direction-de-l-hospitalisationet,5620.html. Dossier Mdical Personnel Directeur des Systmes dInformation. Expression des Besoins et Identification des Objectifs de Scurit, dveloppe par lANSSI. http://www.ssi.gouv.fr/site_article45.html. Groupement dIntrt Public - Carte de Professionnel de Sant. http://www.gip-cps.fr/. Norme internationale constituant un guide de bonnes pratiques en matire de scurit de linformation (anciennement ISO 17799). Mthode danalyse des risques, dveloppe par le CLUSIF. http://www.clusif.asso.fr/fr/production/mehari/. Picture Archiving and Communication Systems ou Systme d'archivage lectronique d'archives radiologiques.
CSP
DHOS
En complment de ces quelques dfinitions, le lecteur est invit se rfrer au Glossaire des menaces , en ligne sur le site du CLUSIF sur http://www.clusif.asso.fr/fr/production/glossaire/. Menaces informatiques et pratiques de scurit en France CLUSIF 2010 100/102
Terme
Dfinition Plan de Continuit dActivit. On parle parfois de PSI, Plan de Secours Informatique. Outre que cette appellation ne prend pas en compte les mtiers de lentreprise, nous nutilisons pas cet acronyme pour viter toute confusion avec la Politique de Scurit de lInformation. Les anglosaxons utilisent lacronyme BCP pour Business Continuity Plan. Plan de Reprise dActivit. Politique de Scurit de lInformation. Ensemble des critres permettant de fournir des services de scurit (ISO 7498-2) Guide d'laboration de politiques de scurit des systmes d'information de la DCSSI. http://www.ssi.gouv.fr/site_article46.html. Responsable Scurit des Systmes dInformation. Security Information Management. Outil de collecte, de reporting et danalyse des diffrentes sources dinformation lie aux vnements de scurit du Systme dInformation. Systme de Management de la Scurit de lInformation. En anglais, ISMS (Information Security Management System). Scurit des Systmes dInformation. Single SignOn. Systme permettant un utilisateur du Systme dInformation de ne sauthentifier quune seule et unique fois pour accder diffrentes applications. Tlphonie sur IP. Voix sur IP (acronyme de Voice over Internet Protocol).
PCA
CLUSIF 2010
101/102
LESPRIT DE LCHANGE
www.clusif.asso.fr