Sécurité numérique et médias sociaux dans les entreprises en 2015

Elvire Demoly, Thomas Vacher, division Enquêtes thématiques et études transversales, Insee

En 2015, parmi les sociétés de 10 personnes ou plus implantées en France, 27 % déclarent avoir une politique de sécurité des technologies de l’information et de la communication (TIC) formellement définie ; elles sont 32 % au niveau européen. En France comme dans l’Union européenne (UE à 28), les trois quarts des sociétés de 250 personnes ou plus sont dans ce cas.

En France, 13 % des sociétés de 10 personnes ou plus ont subi au moins un incident de sécurité au cours de l’année précédente, portant atteinte à l’intégrité, à la disponibilité ou à la confidentialité des systèmes et données informatiques. Les sociétés de 250 personnes ou plus sont deux fois plus touchées. Pour sécuriser leur réseau informatique, les trois quarts des sociétés de 10 personnes ou plus utilisent un pare-feu ou un logiciel de protection de l’accès à distance. Par ailleurs, un quart déclare avoir une politique d’accès, de rectification et d’effacement des données personnelles.

En 2015, 16 % des sociétés de 10 personnes ou plus implantées en France emploient du personnel spécialisé dans le domaine des TIC ; elles sont 20 % au niveau européen. Les plus grandes sociétés le font beaucoup plus fréquemment, tandis que les plus petites font souvent appel à des prestataires externes.

Entre 2013 et 2015, l’usage des médias sociaux a progressé de 11 points dans les sociétés de 10 personnes ou plus implantées en France, mais reste inférieur à celui de l’UE à 28 (31 % contre 39 %). Par ailleurs, en 2015 comme en 2013, les deux tiers des sociétés disposent d’un site web. En 2015, une société sur trois de 10 à 49 personnes n’a ni site web, ni compte sur un média social, contre seulement une sur dix pour celles de 50 personnes ou plus.

La sécurité numérique, un enjeu pour les entreprises

La sécurité dans le domaine des technologies de l’information et de la communication (TIC) implique des mesures, contrôles et procédures pour garantir l’intégrité, la confidentialité ainsi que la disponibilité des données et des systèmes d’information. Elle constitue un enjeu majeur pour les entreprises, du fait de la diffusion du numérique. Un incident, une défaillance ou une attaque peuvent avoir de lourdes conséquences, pour l’entreprise ou pour ses clients notamment.

Trois quarts des « grandes » sociétés ont une politique de sécurité des TIC

En 2015, en France, 27 % des sociétés de 10 personnes ou plus déclarent avoir une politique de sécurité des TIC formellement définie. Ce niveau est proche de celui de l’Allemagne (29 %), mais inférieur à celui de l’Union européenne (UE à 28, 32 %). En Lituanie et en Suède, c’est le cas pour plus de la moitié des sociétés. En France, comme dans l’UE à 28, la moitié des sociétés de 50 à 249 personnes et les trois quarts des « grandes » sociétés, celles de 250 personnes ou plus, ont une politique de sécurité des TIC formellement définie.

Les sociétés où les TIC sont au cœur de l’activité sont aussi plus concernées. Ainsi, la moitié des sociétés de l’information- communication et des activités scientifiques et techniques le sont, contre respectivement une sur sept et une sur six dans la construction et l’hébergement-restauration (figure 1).

Trois types de risques pris en compte par la politique de sécurité des TIC sont considérés ici : celui sur l’intégrité des données (destruction ou altération de données due à une attaque ou à un incident inattendu), celui sur la confidentialité des données (divulgation de données confidentielles due à une intrusion, à des attaques par pharming, phishing ou par accident) et celui sur la disponibilité des services (indisponibilité des services TIC due à une attaque extérieure, par déni de service par exemple). Lorsqu’une politique de sécurité des TIC est définie, elle prend en compte neuf fois sur dix l’intégrité des données, huit fois sur dix leur confidentialité et sept fois sur dix la disponibilité des services.

Pour être efficace, une politique de sécurité peut nécessiter une actualisation régulière afin de l’adapter aux évolutions des systèmes, aux incidents passés et aux risques nouveaux. Ainsi, 20 % des sociétés de 10 personnes ou plus ont défini ou actualisé leur politique de sécurité des TIC au cours des deux années précédant l’enquête, soit les trois quarts de celles qui prennent ces mesures de sécurité.

Figure 1 – Sociétés ayant une politique de sécurité des TIC formellement définie

en %
Sociétés ayant une politique de sécurité des TIC formellement définie
2010 2015
Information et communication ; réparation d'ordinateurs 45 50
Activités spécialisées scientifiques et techniques 41 48
Commerce 23 29
Industrie 22 28
Services administratifs et de soutien ; activités immobilières 22 26
Transport 17 24
Hébergement et restauration 10 17
Construction 11 14
Ensemble France 22 27
UE à 28 26 32
  • Champ : sociétés de 10 personnes ou plus, implantées en France ou dans l'UE à 28, des secteurs principalement marchands hors secteurs agricole, financier et d'assurance.
  • Sources : Insee, Eurostat, enquêtes TIC 2010 et 2015.

Figure 1 – Sociétés ayant une politique de sécurité des TIC formellement définie

Un quart des « grandes » sociétés ont subi un incident de sécurité informatique

En 2015, en France, 13 % des sociétés de 10 personnes ou plus déclarent avoir subi, au cours de l’année précédente, au moins un incident de sécurité portant atteinte à l’intégrité, à la disponibilité ou à la confidentialité des systèmes et données informatiques, soit 4 points de plus qu’en 2010 (figure 2). Cette hausse peut être due à l’expansion des équipements TIC.

Ces incidents concernent plus souvent les sociétés les plus grandes et celles des secteurs d’activité en lien fort avec les TIC, en raison de leur taux plus élevé d’équipement et d’usage des TIC. Ainsi, 24 % des sociétés de 250 personnes ou plus déclarent au moins un incident de sécurité au cours de l’année 2014 ; c’est deux fois plus que pour celles de 10 à 49 personnes (12 %).

Les incidents les plus répandus sont les pannes de logiciel ou de matériel informatique, qui entraînent l’indisponibilité des services, la destruction ou l’altération des données (8 % des sociétés de 10 personnes ou plus). Viennent ensuite les attaques de programmes malveillants, comme les virus, ou les accès non autorisés, qui aboutissent à la destruction ou à l’altération de données (7 %). Seules 3 % des sociétés de 10 personnes ou plus déclarent avoir subi des attaques extérieures, par exemple par déni de services, et 2 % des attaques par intrusion, ou ayant abouti à la divulgation de données confidentielles. Ces chiffres sont sans doute sous-estimés, car certaines sociétés sont réticentes à évoquer ce type d’incident.

Figure 2 – Sociétés ayant subi au moins un incident informatique au cours de l'année précédente

en %
Sociétés ayant subi au moins un incident informatique au cours de l'année précédente
2010 2015
Information et communication ; réparation d'ordinateurs 17 20
Activités spécialisées scientifiques et techniques 12 18
Services administratifs et de soutien ; activités immobilières 7 16
Industrie 9 13
Commerce 9 13
Construction 4 11
Transport 10 11
Hébergement et restauration 7 8
Ensemble France 9 13
  • Champ : sociétés de 10 personnes ou plus, implantées en France, des secteurs principalement marchands hors secteurs agricole, financier et d'assurance.
  • Source : Insee, enquêtes TIC 2010 et 2015.

Figure 2 – Sociétés ayant subi au moins un incident informatique au cours de l'année précédente

Le pare-feu très souvent utilisé pour sécuriser le réseau informatique

Divers moyens existent pour sécuriser l’accès aux données importantes présentes sur le système informatique d’une entreprise, qu’il s’agisse de données générées par l’activité de l’entreprise, de données à caractère personnel (fichiers de clients, de salariés, etc.) ou de données couvertes par le secret industriel par exemple. En 2015, sept sociétés sur dix de 10 personnes ou plus, mais la quasi-totalité des grandes sociétés, utilisent le contrôle de l’accès à distance par pare-feu ou logiciel. La moitié des sociétés de 10 personnes ou plus sécurisent les équipements mobiles le contrôle par mot de passe, l’effacement des données stockées sur les appareils en cas de perte ou de vol ; les trois quarts des grandes sociétés le font. Enfin, le quart des sociétés de 10 personnes ou plus contrôle l’accès physique aux serveurs (par badge, biométrie, etc.) ; les trois quarts des grandes, mais seulement le cinquième des petites (10 à 49 personnes) exercent ce contrôle. Toutes les sociétés qui contrôlent l’accès physique aux serveurs utilisent aussi un pare-feu ou logiciel de contrôle à distance.

Une politique d’accès aux données personnelles dans un quart des sociétés

La loi Informatique et libertés de 1978 donne le droit à toute personne d’accéder aux données la concernant et figurant dans un fichier informatique. Celle-ci peut également demander au responsable de ce fichier la rectification ou l’effacement de ces données.

En 2015, en France, 26 % des sociétés de 10 personnes ou plus déclarent avoir une politique d’accès, de rectification et d’effacement des données personnelles. Cette proportion est de 62 % parmi les sociétés de 250 personnes ou plus et de 48 % parmi celles du secteur de l’information et de la communication de 10 personnes ou plus (figure 3).

Quels que soient l’effectif de l’entreprise ou son secteur d’activité, certains usages des TIC impliquent souvent le traitement de données personnelles permettant d’identifier une personne physique, directement ou indirectement. C’est le cas de la vente web, de l’utilisation des médias sociaux ou de la gestion des relations avec les clients. Les sociétés concernées par ces usages déclarent plus souvent avoir une politique d’accès, de rectification et d’effacement des données personnelles.

Figure 3 – Sociétés ayant une politique d'accès, de rectification et d'effacement des données personnelles

Sociétés ayant une politique d'accès, de rectification et d'effacement des données personnelles
Parmi les sociétés : Part (en %)
De 10 à 49 personnes 23
De 50 à 249 personnes 41
De 250 personnes ou plus 62
Industrie 25
Construction 15
Commerce 29
Transport 24
Hébergement et restauration 21
Information et communication ; réparation d'ordinateurs 48
Activités spécialisées scientifiques et techniques 36
Services administratifs et de soutien ; activités immobilières 30
Faisant de la vente web 38
Utilisant les médias sociaux 38
Utilisant un CRM / GRC * 40
Ensemble 26
  • * Outils de gestion des relations avec la clientèle.
  • Champ : sociétés de 10 personnes ou plus, implantées en France, des secteurs principalement marchands hors secteurs agricole, financier et d'assurance.
  • Source : Insee, enquête TIC 2015.

Six sociétés sur dix sensibilisent leur personnel à la sécurité des données

Sans avoir forcément de politique formelle autour de la sécurité des TIC, six sur dix des sociétés implantées en France de 10 personnes ou plus déclarent sensibiliser leur personnel à ses devoirs concernant les problèmes de sécurité sur les données, au travers notamment de clauses contractuelles ou d’engagement ou par des formations. La moitié des sociétés sensibilisent à la fois à la sécurité des données à caractère personnel (notamment sur leurs clients ou salariés) et à celle des données d’entreprise, concernant la propriété intellectuelle par exemple. Les sociétés qui ont une politique de sécurité formellement définie sensibilisent plus souvent (huit sur dix) leur personnel à la sécurité des données.

Les grandes sociétés ont leurs spécialistes en TIC, les petites sous-traitent

En 2015, 16 % des sociétés implantées en France de 10 personnes ou plus emploient du personnel spécialisé dans le domaine des TIC, c’est-à-dire des personnes dont l’activité principale consiste à développer, faire fonctionner ou maintenir des systèmes d’information ou des applications informatiques. Cette part est de 20 % dans l’UE à 28. En France, comme dans l’UE à 28, 77 % des sociétés de 250 personnes ou plus en emploient.

Les écarts selon l’effectif des sociétés sont plus faibles dans les secteurs proches des TIC. Ainsi, dans le secteur de l’information et de la communication, la totalité des grandes sociétés de 250 personnes ou plus emploie des spécialistes, et plus de sept sur dix parmi les petites sociétés de 10 à 49 personnes. En revanche, dans l’hébergement et la restauration, les trois quarts des grandes sociétés, mais très peu de petites (4 % seulement) emploient des spécialistes en TIC.

Qu’elles emploient ou non des spécialistes, les sociétés sous-traitent fréquemment certaines opérations liées aux TIC. Ainsi, en 2014, 62 % des sociétés de 10 personnes ou plus ont principalement fait appel à un prestataire externe pour la maintenance des infrastructures (serveurs, ordinateurs, imprimantes, réseaux) et 53 % pour des opérations relatives à la sécurité et la protection des données. En revanche, les traitements de données et les fonctions support de bureautique sont plus fréquemment assurés principalement par le personnel de la société (figure 4).

Toutefois, les grandes sociétés, majoritairement employeuses de spécialistes en TIC, comptent plus de travaux principalement effectués par leurs propres employés (figure 5).

Figure 4 – Les opérations TIC dans les sociétés de 10 personnes ou plus réalisées principalement par…

en %
Les opérations TIC dans les sociétés de 10 personnes ou plus réalisées principalement par…
le personnel de la société des prestataires externes non concerné
Traitement de données internes (sur le personnel, les données d’entreprise) 53 21 26
Traitement de données externes (sur les clients, les fournisseurs) 53 18 29
Fonctions support pour les logiciels bureautiques (traitements de textes, tableurs, etc.) 45 35 20
Maintenance des infrastructures (serveurs, ordinateurs, imprimantes, réseaux) 25 62 13
Sécurité et protection des données (tests de sécurité, logiciel de sécurité, etc.) 20 53 27
Fonctions support pour les systèmes de gestion d’entreprise (ERP, CRM, RH, bases de données, etc.) 17 45 38
Fonctions support pour les solutions web (sites web, solutions en e-commerce, etc.) 14 41 45
Développement de solutions web (sites web, solutions en e-commerce, etc.) 12 45 43
Développement de systèmes de gestion d’entreprise (ERP, CRM, système de gestion des ressources humaines (RH), bases de données, etc.) 12 46 42
  • Champ : sociétés de 10 personnes ou plus, implantées en France, des secteurs principalement marchands hors secteurs agricole, financier et d'assurance.
  • Source : Insee, enquête TIC 2015.

Figure 4 – Les opérations TIC dans les sociétés de 10 personnes ou plus réalisées principalement par…

Figure 5 – Les opérations TIC dans les sociétés de 250 personnes ou plus réalisées principalement par…

en %
Les opérations TIC dans les sociétés de 250 personnes ou plus réalisées principalement par…
le personnel de la société des prestataires externes non concerné
Traitement de données internes (sur le personnel, les données d’entreprise) 81 14 5
Traitement de données externes (sur les clients, les fournisseurs) 75 15 10
Fonctions support pour les logiciels bureautiques (traitements de textes, tableurs, etc.) 70 26 4
Maintenance des infrastructures (serveurs, ordinateurs, imprimantes, réseaux) 66 32 2
Sécurité et protection des données (tests de sécurité, logiciel de sécurité, etc.) 61 34 5
Fonctions support pour les systèmes de gestion d’entreprise (ERP, CRM, RH, bases de données, etc.) 56 40 4
Fonctions support pour les solutions web (sites web, solutions en e-commerce, etc.) 36 44 20
Développement de solutions web (sites web, solutions en e-commerce, etc.) 27 54 19
Développement de systèmes de gestion d’entreprise (ERP, CRM, système de gestion des ressources humaines (RH), bases de données, etc.) 37 57 6
  • Champ : sociétés de 250 personnes ou plus, implantées en France, des secteurs principalement marchands hors secteurs agricole, financier et d'assurance.
  • Source : Insee, enquête TIC 2015.

Figure 5 – Les opérations TIC dans les sociétés de 250 personnes ou plus réalisées principalement par…

Les médias sociaux de plus en plus utilisés par les sociétés

Les médias sociaux désignent quatre types d’applications internet : les réseaux sociaux (Facebook, LinkedIn, Xing, Viadeo, Yammer, Google+, etc.), les blogs d’entreprise ou les microblogs (Twitter, Present.ly, etc.), les sites web de partage de contenus multimédias (Youtube, Flickr, Picasa, Slideshare, etc.) et les wikis et autres outils de partage des connaissances.

En deux ans, l’usage des médias sociaux a nettement progressé. En 2015, en France, 31 % des sociétés de 10 personnes ou plus disposent d’un profil, d’un compte ou d’une licence d’utilisateur pour accéder à un ou plusieurs médias sociaux contre 20 % en 2013. Dans l’UE à 28, elles sont 39 % contre 30 % en 2013. Les réseaux sociaux demeurent de loin les médias sociaux les plus utilisés : 29 % des sociétés de 10 personnes ou plus y ont recours (18 % en 2013) contre 9 % pour les blogs, 9 % pour les sites web de contenu multimédia et 4 % pour les wikis (figure 6).

Figure 6 – Utilisation des médias sociaux

en %
Utilisation des médias sociaux
2013 2015
Réseau social 18 29
Blog 5 9
Multimédia 5 9
Wiki 4 4
Au moins un média social (France) 20 31
Au moins un média social (UE à 28) 30 39
  • Champ : sociétés de 10 personnes ou plus, implantées en France ou dans l'UE à 28, des secteurs principalement marchands hors secteurs agricole, financier et d'assurance.
  • Sources : Insee, Eurostat, enquêtes TIC 2013 et 2015.

Figure 6 – Utilisation des médias sociaux

L’usage des médias sociaux progresse plus vite dans les sociétés de 50 personnes ou plus (+14 points entre 2013 et 2015) que dans celles de 10 à 49 personnes (+9 points). En 2015, 57 % des sociétés de 250 personnes ou plus s’en servent.

Les secteurs de l’information, de la communication et de la réparation d’ordinateurs restent en tête : 74 % des sociétés y utilisent les médias sociaux en 2015 (figure 7). L’usage est également fréquent dans l’hébergement et la restauration (51 %). Les transports et la construction restent en retrait (moins de 20 %).

Comme en 2013, le principal motif d’utilisation est de développer l’image de l’entreprise ou commercialiser ses produits (9 sociétés sur 10) et le second de recueillir l’avis, les critiques ou les questions des clients ou y répondre.

Figure 7 – Utilisation d'au moins un média social

en %
Utilisation d'au moins un média social
2013 2015
Information et communication ; réparation d'ordinateurs 60 74
Hébergement et restauration 38 51
Activités spécialisées, scientifiques et techniques 24 41
Services administratifs et de soutien ; activités immobilières 23 32
Commerce 20 31
Industrie 13 25
Transports 11 15
Construction 10 17
  • Champ : sociétés de 10 personnes ou plus, implantées en France, des secteurs principalement marchands hors secteurs agricole, financier et d'assurance.
  • Source : Insee, enquêtes TIC 2013 et 2015.

Figure 7 – Utilisation d'au moins un média social

Un tiers des petites sociétés ne s’affichent pas sur la toile

Autre moyen de s’afficher sur Internet, le site web reste beaucoup plus utilisé que les médias sociaux, sans toutefois progresser beaucoup. En 2015, 67 % des sociétés implantées en France de 10 personnes ou plus disposent d’un site web ou d’une page d’accueil. C’est 8 points de moins que la moyenne européenne, mais l’écart n’est dû qu’aux sociétés de 10 à 49 personnes : en France, 63 % d’entre elles ont un site web ou une page d’accueil contre 72 % au niveau européen. En revanche, parmi les sociétés de 50 personnes ou plus, neuf sur dix en ont un, en France comme en Europe.

Parmi les petites sociétés qui n’ont pas de site web, seule une sur dix utilise par ailleurs un média social. Le tiers des sociétés de 10 à 49 personnes n’a ainsi ni site web, ni compte sur un média social, contre seulement 11 % de celles de 50 à 249 personnes et 5 % de celles de 250 personnes ou plus.

Sources

L’enquête sur les technologies de l’information et de la communication et le commerce électronique (TIC) de 2015 a été réalisée début 2015 auprès d’un échantillon de 13 000 unités légales, sociétés ou entreprises individuelles, actives, occupant 10 personnes ou plus (salariés ou non-salariés) et implantées en France. Le terme « sociétés » est utilisé ici pour les désigner de manière générique. Cette étude s’appuie en effet sur la définition juridique de l’entreprise (unité légale), et non sur la définition économique instaurée par la loi de modernisation de l’économie (LME) et son décret d’application n° 2008 1354 du 18 décembre 2008.

L’enquête porte sur les secteurs d’activité suivants : industrie, construction, commerce et réparation d’automobiles et de motocycles, transports et entreposage, hébergement et restauration, information et communication, activités immobilières, activités spécialisées, scientifiques et techniques, activités de services administratifs et de soutien (sections C à J, L, M hors 75, N et groupe 95.1 de la NAF rév.2). L’échantillon est représentatif d’environ 185 000 sociétés.

Parmi les sociétés actives de l’échantillon, 81 % ont répondu à l’enquête. En termes de précision, la proportion de sociétés ayant une politique de sécurité des TIC formellement définie, par exemple, est estimée à 27 % avec un intervalle de confiance à 95 % de 1 point.

L’enquête annuelle sur les TIC vise à mieux connaître l’informatisation et la diffusion des technologies de l’information et de la communication dans les entreprises. Les questions sur les taux d’équipement en TIC portent en général sur la situation au moment de l’enquête, c’est-à-dire au cours du premier trimestre 2015. Celles portant sur certaines pratiques, notamment le commerce électronique, se réfèrent à l’année précédant l’enquête (soit 2014 pour l’enquête 2015). En 2015, le questionnaire comporte un module spécifique de questions sur la sécurité des TIC, dont certaines avaient été posées en 2010. Des enquêtes analogues ont été menées dans tous les pays européens en application du règlement communautaire n° 1006/2009 sur la société de l’information.

Définitions

Une attaque par déni de service service (, abrégé en DoS) est une attaque informatique ayant pour but de rendre indisponible un service, d’empêcher les utilisateurs légitimes d’un service de l’utiliser. Il s’agit la plupart du temps d’attaques à l’encontre des serveurs d’une entreprise.

Le pharming (ou dévoiement en français) est une technique de piratage informatique. Elle consiste à dérouter la circulation d’un site web vers un faux site web, afin d’acquérir des informations.

Le phishing (hameçonnage ou filoutage en français) est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels concernant des internautes dans le but de perpétrer une usurpation d’identité.

Pour en savoir plus

Pépin J.-M., « Enquête sur les technologies de l’information et de la communication et le commerce électronique 2015 », Insee Résultats, série Économie, à paraître.

« ICT security in enterprises », Statistics explained, Eurostat, décembre 2015.

Vacher T., Demoly E., « La timide émergence du "cloud computing" dans les sociétés en 2014 », Insee Première n° 1545, avril 2015.

Vacher T., « L’usage d’Internet par les sociétés en 2013 : un recours minoritaire aux médias sociaux  », Insee Première n° 1495, avril 2014.