BAROMETRE DE LA

CYBERSECURITE EN FRANCE

Semaine de la sécurité de l’information

Novembre 2016

AGENDA

PRÉSENTATION DU CESIN

BAROMETRE CESIN 2016

ECHANGES AVEC LA SALLE

2/38

LE CESINAssociation créée en juillet 2012

CONNAÎTRE, EXPÉRIMENTER,

TRAVAILLER ENSEMBLE

DÉVELOPPER, SE FORMER

COLLABORER

PROMOUVOIR

INFLUENCER

3/38

POURQUOI LE CESIN ? (1/2)

Accompagner la

transformation numérique

des entreprises

Le RSSI couvre des responsabilités

fortes nécessitant de nouvelles

compétences :managériales

juridiques

techniques

… et demande des qualités

LE RSSI DOIT S’ADAPTER,

NOTRE MÉTIER T NÉCESSITE

UNE VEILLE PERMANENTE ET

UNE VISION 360 °

d’écoute

d’analyse

de communication

4/38

soutenir

promouvoir

professionnaliser

mutualiser

l’expérience

de ses membres

… pour le métier

de RSSI.

POURQUOI LE CESIN ? (2/2)

Le CESIN est NÉCESSAIRE, car c’est

la SEULE association consacrée exclusivement

aux RSSI et à l’évolution de ce métier

Le CESIN a pour but de :

5/38

LA VISION STRATÉGIQUE (1/3)Répondre aux enjeux numériques

L’entreprise numérique

ne peut pas se développer

sans sécurité

L’information numérique

doit être protégée

pour le développement

de l’entreprise : technologie,

process, humain

La sécurité doit être

appréhendée dans

la mondialisation du SI

LE RSSI EST AU CŒUR

DE LA PROTECTION ET DE

L’INFORMATION DE L’ENTREPRISE

6/38

LA VISION STRATÉGIQUE (2/3)Le RSSI doit porter la culture sécurité à tous les niveaux de l’entreprise

L’ACCULTURATION AUX RISQUES SI

EST PRIMORDIALE. LE CESIN

CONTRIBUE À LA PROMOTION DE

LA CULTURE SSI POUR PROTÉGER

L’ENTREPRISE ET LES PERSONNES

Le RSSI, facilitateur

des évolutions de l’entreprise

et créateur de valeur :

Le rôle du RSSI

évolue en permanence

Le RSSI

propose des solutions

efficientes et pragmatiques

accompagne l’innovation

assure la confiance

maîtrise les risques

7/38

PAR LA RICHESSE ET LA

DIVERSITÉ DE SES MEMBRES,

LE CESIN ACCOMPAGNE LE RSSI

DANS LA MUTATION DE

L’ENTREPRISE NUMÉRIQUE.

LA VISION STRATÉGIQUE (3/3)

8/38

LE FONCTIONNEMENT

Un groupe de travail mensuel

Un congrès annuel6 & 7 Décembre 2016 à Reims

« RSSI : Osez le futur ! »

TRANSPARENCE

ET DISCRÉTION :

► Pas de journaliste

Une charte éthique pour

les membres et les sponsors

Un groupe d’échanges

Un site web www.cesin.fr

9/38

LE CONSEIL D’ADMINISTRATION

Alain BouilléPrésident, Caisse des Dépôts

Jean-François LouâpreVice-président, CNP Assurances

Éric Doyen Trésorier, Humanis

Mylène Jarossay Secrétaire générale, LVMH

Éric Caprioli Vice-président, Cabinet Caprioli Avocats

Bernard CardebatAdministrateur, Areva

Patrick Chambet Administrateur, Métropole Nice Côte d’Azur

Mahmoud DENFER Administrateur, Vallourec

Didier GRAS Administrateur, BNP Paribas

Stéphane Joguet Administrateur, Daher

Jamal DahmaneAdministrateur, Essilor

10/38

LE SPONSORING

Le programme est établi par

le conseil d’administration

NOS SPONSORS

Un nombre de sponsors maîtrisé

Un représentant de chaque sponsor

participe aux réunions mensuelles et

au groupe LinkedIn.

11/38

Baromètre de la cyber-

sécurité des entreprises

françaises (extraits)Janvier 2016

Méthodologie

Étude quantitative réalisée auprès de

125 membres du CESIN, à partir du

fichier membre du CESIN

(235 contacts)

Méthodologie

L’échantillon a été

interrogé par Internet

sous système CAWI

(Computer Assisted

Web Interview)

Mode d’interrogation

Du 8 au 22

décembre 2015

Dates de terrain

OpinionWay a réalisé

cette enquête en

appliquant les

procédures et règles

de la norme ISO 20252

Certification

13/38

2. RÉALITÉ DES CYBER-ATTAQUESAUXQUELLES SONT EXPOSÉES LES ENTREPRISES

14/38

Q5. Combien de cyber-attaques ont été constatées dans votre entreprise au cours des 12 derniers mois ?

Nombre moyen

d’attaques : 13

e n t r e p r i s e s125

Nombre d’ordinateurs Base Nb moyen

Moins de 999 ordinateurs 22* 2,2

Entre 1 000 et 9 999 ordinateurs 51* 7,3

Entre 10 000 et 49 999 ordinateurs 26* 14,3

50 000 ordinateurs ou plus 26* 32,1

La majorité des entreprises a fait l’objet de cyber-

attaques au cours de l’année

ont constaté

au moins une cyber-attaque81%

15/38

Les attaques qui préoccupent le plus grand nombre

d’entreprises

Q4. Quel est le niveau d’exposition de votre entreprise aux cyber-risques suivants ?

Vol ou fuite d'informations

Vol de données personnelles

Attaque virale générale

Attaque ciblée

Fraude externe

Défiguration de site web

Cyber-espionnage économique ou

Attaque par déni de service

Demande de rançon (ransomware)

e n t r e p r i s e s125

16/38

Demande de rançon (ransomware)

Attaque virale générale

Attaque par déni de service

Attaque ciblée

Vol ou fuite d'informations

Fraude externe

Défiguration de site web

Vol de données personnelles

Cyber-espionnage économique ou industriel

Autre type de cyber-attaque

Q6. Quel(s) type(s) de cyber-attaque votre entreprise a-t-elle constaté(s) au cours des 12 derniers mois ?

e n t r e p r i s e s ayant constaté au moins une cyber-attaque au cours des 12 derniers mois

102

Nombre moyen de

types : 3

Dans les faits, les cyber attaques constatées sont surtout le ransomware, les attaques virales,

de déni de service et les attaques ciblées.

17/38

Les risques qui préoccupent le plus grand nombre d’entreprises sont la

dépendance humaine et les vulnérabilités résiduelles permanentes

Q4bis. Quel est le niveau d’exposition de votre entreprise aux autres risques suivants ?

Dépendance humaine

Vulnérabilités résiduelles permanentes

Non suppression des données

Malveillance d'un employé

Fraude interne

Corruption de base de données interne

Solutions industrielles ne pouvant être

Piégeage d'application externe

Non restitution des données

Disparition éditeur

Corruption de base

de données externe

Piégeage d'application interne

e n t r e p r i s e s125

18/38

Vulnérabilités résiduelles permanentes

Dépendance humaine

Fraude interne

Malveillance d'un employé

Solutions industrielles ne pouvant être sécurisées

Non suppression des données

Piégeage d'application externe

Non restitution des données

Corruption de base de données interne

Disparition éditeur

Corruption de base de données externe

Piégeage d'application interne

Q6bis. Parmi les éléments suivants liés à la cyber-sécurité, quels sont ceux auxquels votre entreprise a été concrètement confrontée au cours des 12 derniers mois ?

e n t r e p r i s e s125

Les risques auxquels font réellement face le plus d’entreprises sont les vulnérabilités résiduelles et la dépendance humaine

19/38

3. RISQUES LIÉS AUX NOUVEAUX USAGES DU NUMÉRIQUE

20/38

Q20. Certaines données de votre entreprise sont-elles stockées dans un Cloud ?

15% ne stockent aucune donnée

dans un Cloud

85%stockent des données

dans un Cloud

37%Clouds

publics26%

Clouds

hybrides

22%Clouds

privés

e n t r e p r i s e s125

Un recours généralisé au Cloud,

en particulier à des Clouds publics ou hybrides

Secteur Industrie : 97%

21/38

Q23. D’après vous, la sécurisation des données stockées dans le Cloud requiert-elle des outils ou dispositifs spécifiques ?

93%pensent que le Cloud

requiert des outils ou dispositifs spécifiques

e n t r e p r i s e s125

Un recours au Cloud qui entraîne des conséquences

en termes d’outils de sécurisation

22/38

Q22. Selon vous, les facteurs suivants représentent-ils un risque faible, modéré ou fort en ce qui concerne l’utilisation du Cloud ?

e n t r e p r i s e s125

Stockage des données dans des datacenters à l'étranger, hors

droit français

Confidentialité des données vis-à-vis de l'hébergeur

Traitement Big Data à notre insu

Non-maîtrise des paramètres de sécurité / chiffrement faible de

part de l'hébergeur

Non effacement des données

Contrôle des accès et audit

Non restitution des données

Non-maîtrise de l'utilisation qui en est faite par les salariés de

entreprise

Les principaux risques perçus comme associés au Cloud sont

l’hébergement hors droit français, la confidentialité vis-à-vis de l’éditeur et

la réutilisation des données

23/38

L'utilisation de devices personnels au travail (BYOD)

Les objets connectés

L'utilisation de multiples devices (smartphone, tablette…)

L'usage personnel de devices fournis par l'entreprise

Le télétravail, l'accès au réseau en mobilité

Q24. À vos yeux, les nouveaux usages suivants du numérique au travail représentent-ils un risque pour la cyber-sécurité des entreprises ?

Oui, plutôtOui, tout à fait Non, pas du toutNon, plutôt pas

Oui

e n t r e p r i s e s125

BYOD et objets connectés, des nouveaux usages qui présentent des risques

85%

85%

72%

56%

45%

24/38

Q25. Pensez-vous que les solutions de protection actuelles de votre entreprise sont adaptées à l’évolution des nouveaux usages du numérique au travail ?

58%

considèrent que les solutions de protection

actuelles ne sont PAS adaptées à

l’évolution des nouveaux usages du

numérique au travail

e n t r e p r i s e s125

Oui, plutôtOui, tout à fait Non, pas du toutNon, plutôt pas

Des entreprises qui estiment leur protection peu

adaptée aux nouveaux usages du numérique

25/38

4. MOYENS MIS EN PLACE POUR LUTTERCONTRE LES CYBER-RISQUES

26/38

Antivirus

Pare-feu

VPN

AntiSPAM

Proxy URL

Accès internet centralisé

MDM

SSO

Vulnerability Management

Log management

Authentification forte

Sonde de sécurité

Q8. Parmi les solutions de protection suivantes, quelles sont celles qui ont été mises en place dans votre entreprise ? e n t r e p r i s e s

125

Des solutions de sécurité plus ou moins répandues selon les types

WAF

Supervision de sécurité (SIEM/SOC)

Double authentification

Chiffrement de surface

Chiffrement + signature de messages

Bastion d'autorisations

Chiffrement de base de données

Sandboxing

Anti-APT

Honey pot

Sonde souveraine

Cloud Access Security Broker (CASB)

27/38

Q10. Avez-vous mis en place différents niveaux de sécurité selon le degré de sensibilité des données de votre entreprise ?

71%

ont mis en place des niveaux de

sécurité différent selon la sensibilité

des données

e n t r e p r i s e s125

Des niveaux de sécurité qui diffèrent souvent selon

une typologie de sensibilité des données

28/38

Sont sensibilisés auxcyber-risques 59%

Respectent les recommandations 52%

Prennent des précautions au-delà des recommandations données 15%

Q15. En ce qui concerne la cyber-sécurité, pensez-vous que les salariés de votre entreprise… ?

Oui

Oui, plutôtOui, tout à fait Non, pas du toutNon, plutôt pas

e n t r e p r i s e s125

Beaucoup de salariés ne sont pas encore sensibilisés ou ne respectent pas les recommandations

29/38

Des moyens techniques, financiers et humains jugés

insuffisants pour faire face aux cyber-risques

Q11. Les moyens humains alloués par votre entreprise à la protection contre les cyber-risques vous semblent-ils suffisants ?

Oui, plutôtOui, tout à fait Non, pas du toutNon, plutôt pas

Q12. Les moyens techniques alloués par votre entreprise à la protection contre les cyber-risques vous semblent-ils suffisants ?

Q13. Et les budgets d’investissements alloués par votre entreprise à la protection contre les cyber-risques vous semblent-ils suffisants ?

Oui

31%

42%

36%

30/38

Q14. Au cours des 12 prochains mois, votre entreprise envisage-t-elle de… ?

e n t r e p r i s e s125

Des prévisions d’augmentation des ressources à

allouer à la protection contre le cyber-risque

31/38

Q9. Votre entreprise a-t-elle souscrit une cyber-assurance ?

40%des entreprises envisagent de souscrire

une cyber-assurance

Non, mais c’est envisagé

d’ici un an

Oui Non, et ce n’est pas envisagéNon, mais c’est envisagéà plus long terme

e n t r e p r i s e s125

Nombre d’entreprises envisagent de se doter dune

cyber-assurance

32/38

5. PERSPECTIVES SUR LE FUTUR DE LA CYBER-SÉCURITÉ

33/38

Q7. Selon vous, dans les 12 mois à venir, le nombre d’attaques constatées dans votre entreprise va-t-il… ?

≈

e n t r e p r i s e s125

Des entreprises qui s’attendent à une augmentation

des attaques cette année

34/38

Aux types et à la fréquence actuelle des cyber-attaques 59%

Aux nouveaux usages du numérique au travail 42%

Q29. Pensez-vous que les solutions de protection disponibles sur le marché sont tout à fait, plutôt, plutôt pas ou pas du tout adaptées… ?

Plutôt adaptéesTout à fait adaptées Pas du tout adaptéesPlutôt pas adaptées

Adaptées

e n t r e p r i s e s125

Les solutions proposées par le marchéconvainquent globalement peu les entreprises

35/38

La prise en compte des enjeux de la cyber-sécurité au sein de votre entreprise

65%

La capacité de votre entreprise à faire face aux cyber-risques

47%

Q26. Pour l’avenir, diriez-vous que vous êtes très confiant, assez confiant, assez inquiet ou très inquiet en ce qui concerne… ?

Assez confiantTrès confiant Très inquietAssez inquiet

Confiant

e n t r e p r i s e s125

Une confiance dans la volonté de leur entreprise à prendre le cyber-risque au sérieux à l’avenir, mais moins dans sa capacité à y faire face concrètement

36/38

Placer la gouvernance de la cyber-sécurité au bon niveau

Mieux former et sensibiliser les usagers aux questions de cyber-sécurité

Adapter les solutions aux nouveaux usages du numérique

Allouer davantage de budget ,de ressources à la cyber-sécurité

Déployer des modèles de sécurité collaborative

Spécifier la cyber-sécurité des objets connectés

Impliquer davantage les différents acteurs (État, fournisseurs, etc.)

Faire évoluer les réglementations françaises et internationales

Améliorer la performance des solutions techniques

Q28. Parmi les enjeux suivants, quels sont selon vous les trois enjeux de demain pour l’avenir de la cyber-sécurité des entreprises ?

e n t r e p r i s e s125

Des enjeux d’avenir plus humains que techniques

37/38

Jean-François LouâpreRSSI CNP Assurances

Co-fondateur du CESIN

jf.cesin@gmail.com

AVEZ-VOUS DES QUESTIONS ?

contact@cesin.fr

Télécharger l’ensemble du baromètre 2016 du CESIN :

https://www.cesin.fr/publications/document/display/121