Sécurité numérique et médias sociaux dans les entreprises en 2015

La sécurité dans le domaine des technologies de l’information et de la communication (TIC) implique des mesures, contrôles et procédures pour garantir l’intégrité, la confidentialité ainsi que la disponibilité des données et des systèmes d’information. Elle constitue un enjeu majeur pour les entreprises, du fait de la diffusion du numérique. Un incident, une défaillance ou une attaque peuvent avoir de lourdes conséquences, pour l’entreprise ou pour ses clients notamment.

En 2015, en France, 27 % des sociétés de 10 personnes ou plus déclarent avoir une politique de sécurité des TIC formellement définie. Ce niveau est proche de celui de l’Allemagne (29 %), mais inférieur à celui de l’Union européenne (UE à 28, 32 %). En Lituanie et en Suède, c’est le cas pour plus de la moitié des sociétés. En France, comme dans l’UE à 28, la moitié des sociétés de 50 à 249 personnes et les trois quarts des « grandes » sociétés, celles de 250 personnes ou plus, ont une politique de sécurité des TIC formellement définie.

Les sociétés où les TIC sont au cœur de l’activité sont aussi plus concernées. Ainsi, la moitié des sociétés de l’information- communication et des activités scientifiques et techniques le sont, contre respectivement une sur sept et une sur six dans la construction et l’hébergement-restauration (figure 1).

Trois types de risques pris en compte par la politique de sécurité des TIC sont considérés ici : celui sur l’intégrité des données (destruction ou altération de données due à une attaque ou à un incident inattendu), celui sur la confidentialité des données (divulgation de données confidentielles due à une intrusion, à des attaques par pharming, phishing ou par accident) et celui sur la disponibilité des services (indisponibilité des services TIC due à une attaque extérieure, par déni de service par exemple). Lorsqu’une politique de sécurité des TIC est définie, elle prend en compte neuf fois sur dix l’intégrité des données, huit fois sur dix leur confidentialité et sept fois sur dix la disponibilité des services.

Pour être efficace, une politique de sécurité peut nécessiter une actualisation régulière afin de l’adapter aux évolutions des systèmes, aux incidents passés et aux risques nouveaux. Ainsi, 20 % des sociétés de 10 personnes ou plus ont défini ou actualisé leur politique de sécurité des TIC au cours des deux années précédant l’enquête, soit les trois quarts de celles qui prennent ces mesures de sécurité.

En 2015, en France, 13 % des sociétés de 10 personnes ou plus déclarent avoir subi, au cours de l’année précédente, au moins un incident de sécurité portant atteinte à l’intégrité, à la disponibilité ou à la confidentialité des systèmes et données informatiques, soit 4 points de plus qu’en 2010 (figure 2). Cette hausse peut être due à l’expansion des équipements TIC.

Ces incidents concernent plus souvent les sociétés les plus grandes et celles des secteurs d’activité en lien fort avec les TIC, en raison de leur taux plus élevé d’équipement et d’usage des TIC. Ainsi, 24 % des sociétés de 250 personnes ou plus déclarent au moins un incident de sécurité au cours de l’année 2014 ; c’est deux fois plus que pour celles de 10 à 49 personnes (12 %).

Les incidents les plus répandus sont les pannes de logiciel ou de matériel informatique, qui entraînent l’indisponibilité des services, la destruction ou l’altération des données (8 % des sociétés de 10 personnes ou plus). Viennent ensuite les attaques de programmes malveillants, comme les virus, ou les accès non autorisés, qui aboutissent à la destruction ou à l’altération de données (7 %). Seules 3 % des sociétés de 10 personnes ou plus déclarent avoir subi des attaques extérieures, par exemple par déni de services, et 2 % des attaques par intrusion, ou ayant abouti à la divulgation de données confidentielles. Ces chiffres sont sans doute sous-estimés, car certaines sociétés sont réticentes à évoquer ce type d’incident.

Divers moyens existent pour sécuriser l’accès aux données importantes présentes sur le système informatique d’une entreprise, qu’il s’agisse de données générées par l’activité de l’entreprise, de données à caractère personnel (fichiers de clients, de salariés, etc.) ou de données couvertes par le secret industriel par exemple. En 2015, sept sociétés sur dix de 10 personnes ou plus, mais la quasi-totalité des grandes sociétés, utilisent le contrôle de l’accès à distance par pare-feu ou logiciel. La moitié des sociétés de 10 personnes ou plus sécurisent les équipements mobiles le contrôle par mot de passe, l’effacement des données stockées sur les appareils en cas de perte ou de vol ; les trois quarts des grandes sociétés le font. Enfin, le quart des sociétés de 10 personnes ou plus contrôle l’accès physique aux serveurs (par badge, biométrie, etc.) ; les trois quarts des grandes, mais seulement le cinquième des petites (10 à 49 personnes) exercent ce contrôle. Toutes les sociétés qui contrôlent l’accès physique aux serveurs utilisent aussi un pare-feu ou logiciel de contrôle à distance.

La loi Informatique et libertés de 1978 donne le droit à toute personne d’accéder aux données la concernant et figurant dans un fichier informatique. Celle-ci peut également demander au responsable de ce fichier la rectification ou l’effacement de ces données.

En 2015, en France, 26 % des sociétés de 10 personnes ou plus déclarent avoir une politique d’accès, de rectification et d’effacement des données personnelles. Cette proportion est de 62 % parmi les sociétés de 250 personnes ou plus et de 48 % parmi celles du secteur de l’information et de la communication de 10 personnes ou plus (figure 3).

Quels que soient l’effectif de l’entreprise ou son secteur d’activité, certains usages des TIC impliquent souvent le traitement de données personnelles permettant d’identifier une personne physique, directement ou indirectement. C’est le cas de la vente web, de l’utilisation des médias sociaux ou de la gestion des relations avec les clients. Les sociétés concernées par ces usages déclarent plus souvent avoir une politique d’accès, de rectification et d’effacement des données personnelles.

Sans avoir forcément de politique formelle autour de la sécurité des TIC, six sur dix des sociétés implantées en France de 10 personnes ou plus déclarent sensibiliser leur personnel à ses devoirs concernant les problèmes de sécurité sur les données, au travers notamment de clauses contractuelles ou d’engagement ou par des formations. La moitié des sociétés sensibilisent à la fois à la sécurité des données à caractère personnel (notamment sur leurs clients ou salariés) et à celle des données d’entreprise, concernant la propriété intellectuelle par exemple. Les sociétés qui ont une politique de sécurité formellement définie sensibilisent plus souvent (huit sur dix) leur personnel à la sécurité des données.

En 2015, 16 % des sociétés implantées en France de 10 personnes ou plus emploient du personnel spécialisé dans le domaine des TIC, c’est-à-dire des personnes dont l’activité principale consiste à développer, faire fonctionner ou maintenir des systèmes d’information ou des applications informatiques. Cette part est de 20 % dans l’UE à 28. En France, comme dans l’UE à 28, 77 % des sociétés de 250 personnes ou plus en emploient.

Les écarts selon l’effectif des sociétés sont plus faibles dans les secteurs proches des TIC. Ainsi, dans le secteur de l’information et de la communication, la totalité des grandes sociétés de 250 personnes ou plus emploie des spécialistes, et plus de sept sur dix parmi les petites sociétés de 10 à 49 personnes. En revanche, dans l’hébergement et la restauration, les trois quarts des grandes sociétés, mais très peu de petites (4 % seulement) emploient des spécialistes en TIC.

Qu’elles emploient ou non des spécialistes, les sociétés sous-traitent fréquemment certaines opérations liées aux TIC. Ainsi, en 2014, 62 % des sociétés de 10 personnes ou plus ont principalement fait appel à un prestataire externe pour la maintenance des infrastructures (serveurs, ordinateurs, imprimantes, réseaux) et 53 % pour des opérations relatives à la sécurité et la protection des données. En revanche, les traitements de données et les fonctions support de bureautique sont plus fréquemment assurés principalement par le personnel de la société (figure 4).

Toutefois, les grandes sociétés, majoritairement employeuses de spécialistes en TIC, comptent plus de travaux principalement effectués par leurs propres employés (figure 5).

Les médias sociaux désignent quatre types d’applications internet : les réseaux sociaux (Facebook, LinkedIn, Xing, Viadeo, Yammer, Google+, etc.), les blogs d’entreprise ou les microblogs (Twitter, Present.ly, etc.), les sites web de partage de contenus multimédias (Youtube, Flickr, Picasa, Slideshare, etc.) et les wikis et autres outils de partage des connaissances.

En deux ans, l’usage des médias sociaux a nettement progressé. En 2015, en France, 31 % des sociétés de 10 personnes ou plus disposent d’un profil, d’un compte ou d’une licence d’utilisateur pour accéder à un ou plusieurs médias sociaux contre 20 % en 2013. Dans l’UE à 28, elles sont 39 % contre 30 % en 2013. Les réseaux sociaux demeurent de loin les médias sociaux les plus utilisés : 29 % des sociétés de 10 personnes ou plus y ont recours (18 % en 2013) contre 9 % pour les blogs, 9 % pour les sites web de contenu multimédia et 4 % pour les wikis (figure 6).

L’usage des médias sociaux progresse plus vite dans les sociétés de 50 personnes ou plus (+14 points entre 2013 et 2015) que dans celles de 10 à 49 personnes (+9 points). En 2015, 57 % des sociétés de 250 personnes ou plus s’en servent.

Les secteurs de l’information, de la communication et de la réparation d’ordinateurs restent en tête : 74 % des sociétés y utilisent les médias sociaux en 2015 (figure 7). L’usage est également fréquent dans l’hébergement et la restauration (51 %). Les transports et la construction restent en retrait (moins de 20 %).

Comme en 2013, le principal motif d’utilisation est de développer l’image de l’entreprise ou commercialiser ses produits (9 sociétés sur 10) et le second de recueillir l’avis, les critiques ou les questions des clients ou y répondre.

Autre moyen de s’afficher sur Internet, le site web reste beaucoup plus utilisé que les médias sociaux, sans toutefois progresser beaucoup. En 2015, 67 % des sociétés implantées en France de 10 personnes ou plus disposent d’un site web ou d’une page d’accueil. C’est 8 points de moins que la moyenne européenne, mais l’écart n’est dû qu’aux sociétés de 10 à 49 personnes : en France, 63 % d’entre elles ont un site web ou une page d’accueil contre 72 % au niveau européen. En revanche, parmi les sociétés de 50 personnes ou plus, neuf sur dix en ont un, en France comme en Europe.

Parmi les petites sociétés qui n’ont pas de site web, seule une sur dix utilise par ailleurs un média social. Le tiers des sociétés de 10 à 49 personnes n’a ainsi ni site web, ni compte sur un média social, contre seulement 11 % de celles de 50 à 249 personnes et 5 % de celles de 250 personnes ou plus.