Quantcast

Sondage exclusif : 1 agent public sur 2 juge son administration incapable de détecter une cyberattaque

6 mars 2018, PAR Acteurs Publics
  • 07
    MIN
  • 0

Fotolia

Parmi les principaux obstacles au développement de programmes de cybersécurité, les agents invoquent un manque de moyens et de personnels qualifiés, indique un sondage Acteurs publics/EY pour l’Observatoire des Politiques Publiques réalisé par l’Ifop. L'étude révèle une large fracture entre l’État et les collectivités, les agents territoriaux s’estimant les moins armés face aux cybermenaces.


Quelle protection face aux cybermenaces dans la sphère publique ? Acteurs publics et EY ont voulu connaître, pour l’Observatoire des Politiques Publiques, la perception des agents publics face à ces enjeux [voir l'émission L'Obervatoire des politiques publiques]. L’Ifop a donc interrogé un panel de fonctionnaires majoritairement de catégorie A, évoluant dans les trois fonctions publiques (État, territoriale, hospitalière). Six personnes interrogées sur 10 affirment que l’organisation dans laquelle elles travaillent possède un programme de cybersécurité formel (60 %). Lorsque l’on regarde plus en détail, il apparaît toutefois que les agents contractuels (41 %) et les interviewés travaillant en collectivités territoriales (34 %) font moins état d’un tel programme que les autres.

En conséquence, ils tendent également moins à considérer que leur organisation a correctement évalué l’impact de sa stratégie sur la sécurité de l’information et qu’elle tient suffisamment en compte les cybermenaces et les vulnérabilités critiques : deux tiers des personnes interrogées partagent ce sentiment au global (66 %), contre 49 % des interviewés issus de collectivités et 58 % des agents contractuels. On notera également que les femmes semblent plus optimistes que les hommes sur ce sujet en ce que 65 % d’entre elles (vs 57 % des hommes) témoignent d’un programme de cybersécurité formel dans leur organisation et que 71 % (vs 63 % des hommes) pensent que l’organisation a justement évalué l’impact de sa stratégie sur la sécurité de l’information.

Le principal obstacle au développement de programmes de cybersécurité est très clairement le défaut de moyens, qu’il s’agisse d’un manque de ressources budgétaires (40 % des interviewés pointent du doigt le budget restreint, et notamment ceux des collectivités) ou humaines (38 % citent le manque de ressources qualifiées). Viennent ensuite, mais dans une mesure moindre, les problèmes de gouvernance ou de management (23 %), l’absence de relais ou de soutien du management (18 %), la mauvaise qualité des outils de gestion relatifs à la sécurité du système d’information (16 %) et enfin la fragmentation de la conformité et de la régulation (11 %). On notera néanmoins que 9 % des interviewés n’identifient aucun obstacle au développement des programmes de cybersécurité.

Si des dispositifs de cybersécurité sont déployés pour 6 interviewés sur 10, il n’en demeure pas moins que seuls 4 d’entre eux sur 10 (43 %) jugent performante la politique de protection des données – c’est-à-dire l’identification des données les plus sensibles, la mise en place et le maintien de mesures de sécurité appropriées, la capacité à détecter des violations de données. Assez logiquement, les personnes qui faisaient déjà moins état d’un programme de cybersécurité formel affichent un scepticisme plus fort : 27 % des personnes travaillant en collectivités estiment que la politique de protection des données est performante et 30 % des agents contractuels. Peu d’interviewés, toutefois, estiment que cette politique est complètement inexistante (9 %).

Au final, à peine la moitié des personnes interrogées partagent le sentiment que leur organisation est capable de détecter une cyberattaque sophistiquée (53 % jugent cette hypothèse probable), quand 11 % n’en sont absolument pas convaincus. Encore une fois, les interviewés travaillant au sein de collectivités ainsi que les agents contractuels font montre de doutes plus constitués (respectivement 34 % et 37 %).

Marion Chasles-Parot, cheffe de groupe Opinion et stratégies d’entreprise, Ifop

L’enquête a été menée du 9 au 19 février 2018 auprès d’un échantillon de 706 personnes (466 fonctionnaires de catégorie A, 111 de catégorie B, 32 de catégorie C et 97 contractuels) évoluant au sein de l’État (529), des hôpitaux (32) et des collectivités territoriales (145). Les interviews ont été réalisées par questionnaire auto-administré en ligne (CAWI – Computer Assisted Web Interviewing).

 

L’expertise d’EY

Cybersécurité : le secteur public est-il prêt à se défendre ?

L’étude réalisée pour l’Observatoire des politiques publiques témoigne de la prise de conscience des acteurs publics sur les enjeux de cybersécurité, même si des efforts peuvent encore être fournis pour que leur protection soit plus efficace contre les attaques informatiques. 

Fulgurant, le développement des nouvelles technologies s’accompagne de nouveaux risques, de nouvelles menaces. Au gré de l’imagination des pirates, les attaques se multiplient, ainsi que leurs noms de code : malware, phishing, rançongiciel, cryptojacling, etc., désorganisant les structures touchées, pillant leur propriété intellectuelle, provoquant des dommages financiers potentiellement irréparables. Selon le Ponemon Institute, le coût moyen d’une attaque a été estimé à plus de 3 millions d’euros en 2017.

Ce nouveau sondage réalisé par l’Ifop pour EY et Acteurs publics fait un point sur le niveau de sécurité des systèmes informatiques dans toutes les administrations. Premier constat, 6 personnes interrogées sur 10 affirment que l’organisation dans laquelle elles travaillent dispose d’un programme de cybersécurité formalisé. Les efforts menés par l’État et son bras armé, l’Anssi, pour sensibiliser les acteurs publics semblent donc porter leurs fruits. Les exigences imposées par la politique de sécurité des systèmes d’information (PSSI) de l’État et par le Référentiel général de sécurité (RGS) pour les téléprocédures sont respectées dans la majorité des administrations. Néanmoins, des écarts apparaissent selon les acteurs publics : ainsi, le pourcentage recule à 34 % parmi les dirigeants des collectivités territoriales.

Les organisations ont-elles correctement évalué l’impact de leur stratégie sur la sécurité de l’information et prennent-elles suffisamment en compte les cybermenaces et les vulnérabilités critiques ? Là encore, des différences se font jour. Si 66 % des personnes interrogées en sont globalement convaincues, cette proportion tombe à 49 % dans les collectivités.

Certes, ces statistiques témoignent d’une certaine prise de conscience des enjeux. Mais de nombreux obstacles à une protection efficace persistent. Le principal reste le manque de moyens financiers et humains, sans surprise. Ainsi, 40 % des personnes interrogées pointent du doigt les budgets limités. Elles sont 38 % à citer le manque de ressources qualifiées. Viennent ensuite les problèmes de gouvernance ou de management (23 %), l’absence de relais ou de soutien du management (18 %), la mauvaise qualité des outils de gestion relatifs à la sécurité du système d’information (16 %) et enfin la fragmentation de la conformité et de la régulation (11 %). Seules 9 % n’identifient aucun obstacle au développement à ce type de programmes.

Si 66 % des personnes consultées constatent que ces dispositifs sont déployés, seules 43 % d’entre elles, dont 27 % dans les collectivités, jugent performante la politique de protection des données consistant à identifier les données les plus sensibles, à mettre en place et à maintenir des mesures de sécurité appropriées, à être capable de détecter des violations de données. Moins de 10 % considèrent que cette politique n’existe pas.

Conclusion du sondage, 53 % des personnes interrogées estiment que leur organisation est en mesure de détecter une cyberattaque sophistiquée, 11 % n’en étant absolument pas convaincues. Une fois de plus, les répondants travaillant au sein des collectivités sont encore moins confiants : ils ne sont que 37 % à estimer qu’une attaque techniquement pointue peut être parée.

À titre de comparaison, le secteur privé a-t-il davantage pris la mesure des enjeux ? La 20e enquête EY sur la cybersécurité, réalisée auprès d’un échantillon de 1 200 entreprises à travers le monde et dévoilée en janvier, témoigne également du chemin à parcourir, 57 % d’entre elles n’ayant pas de programme de cybersécurité formel. Ainsi, si l’on croit ces deux enquêtes, le secteur public serait mieux armé que les entreprises.

Certes, 59 % des directeurs des systèmes d’information (DSI) et des responsables de la sécurité des systèmes d’information (RSSI) interrogés déclarent que leur budget a augmenté sur un an. Mais les efforts doivent se prolonger. Alors que 87 % des répondants souhaitent que le budget attribué à la cybersécurité soit augmenté de 50 % ou plus cette année, 12 % d’entre eux anticipent une hausse limitée à 25 %. Résultat, 4 % d’entre eux considèrent qu’ils ont correctement évalué l’impact de leur stratégie et 75 % estiment que la maturité de leur système d’identification des vulnérabilités est de très faible à modérée. Seuls 12 % des répondants pensent qu’ils détecteraient une cyberattaque sophistiquée.

Le secteur public montrerait-il l’exemple ?

Laurent Peliks, Associé EY, Fabien Piliu, responsable du Content Lab, EY