CYBER-ATTAQUE: OÙ EN SONT LES ENTREPRISES FRANÇAISES ? Enquête 2015
40
CYBER - ATTAQUES Où en sont les entreprises françaises ?
-
Upload
provadys -
Category
Technology
-
view
1.683 -
download
5
Transcript of CYBER-ATTAQUE: OÙ EN SONT LES ENTREPRISES FRANÇAISES ? Enquête 2015
CYBER-ATTAQUESOù en sont les entreprises françaises ?
CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 3
Sommaire
Quelques mots sur Provadys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6Quelques mots sur le CESIN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Editoriaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Méthodologie / Profil des répondantsPrésentation de l’étude . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Présentation de la méthodologie de l’étude . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Structure et thématique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Synthèse de l’échantillon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Dans quel secteur d’activité votre entreprise se situe-t-elle ? . . . . . . . . . . . . . . . . . . . . . . . 10A l’exception de la loi informatique et libertés, à quels normes / lois / règlements votre entreprise est-elle soumise ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11A l’exception des données à caractère personnel, votre entreprise manipule-t-elle des données sensibles telles que des données classifiées, de cartes de paiement, de santé ou relevant du secret industriel ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Chapitre 1 - PréparationIntroduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13Des entreprises conscientes de leur exposition aux cyber-attaques . . . . . . . . . . . 13Votre entreprise a-t-elle déjà été affectée par une ou plusieurs crises de type cyber-attaque ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13Quel intérêt représentez-vous pour un attaquant ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14Selon vous, quel type de cible votre entreprise est-elle ? . . . . . . . . . . . . . . . . . . . . . . . . . . . 14Comprendre et caractériser la menace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14Votre entreprise dispose-t-elle de moyens spécifiques ou dédiés à la prise en compte des menaces de type attaques informatiques ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15Organisez-vous des tests d’intrusion sur vos sites les plus sensibles ? . . . . . . . . . . . . . . . 15Se préparer à la gestion d’une cyber-crise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16Avez-vous déjà réalisé un exercice de crise comprenant un scénario de cyber-attaque ? . . 16Externalisation et cybercriminalité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17Evaluez-vous le niveau de sécurité de vos prestataires ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 3
Sommaire
Quelques mots sur Provadys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6Quelques mots sur le CESIN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Editoriaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Méthodologie / Profil des répondantsPrésentation de l’étude . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Présentation de la méthodologie de l’étude . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Structure et thématique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Synthèse de l’échantillon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Dans quel secteur d’activité votre entreprise se situe-t-elle ? . . . . . . . . . . . . . . . . . . . . . . . 10A l’exception de la loi informatique et libertés, à quels normes / lois / règlements votre entreprise est-elle soumise ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11A l’exception des données à caractère personnel, votre entreprise manipule-t-elle des données sensibles telles que des données classifiées, de cartes de paiement, de santé ou relevant du secret industriel ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Chapitre 1 - PréparationIntroduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13Des entreprises conscientes de leur exposition aux cyber-attaques . . . . . . . . . . . 13Votre entreprise a-t-elle déjà été affectée par une ou plusieurs crises de type cyber-attaque ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13Quel intérêt représentez-vous pour un attaquant ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14Selon vous, quel type de cible votre entreprise est-elle ? . . . . . . . . . . . . . . . . . . . . . . . . . . . 14Comprendre et caractériser la menace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14Votre entreprise dispose-t-elle de moyens spécifiques ou dédiés à la prise en compte des menaces de type attaques informatiques ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15Organisez-vous des tests d’intrusion sur vos sites les plus sensibles ? . . . . . . . . . . . . . . . 15Se préparer à la gestion d’une cyber-crise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16Avez-vous déjà réalisé un exercice de crise comprenant un scénario de cyber-attaque ? . . 16Externalisation et cybercriminalité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17Evaluez-vous le niveau de sécurité de vos prestataires ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
4 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 5
Cartographier son SI pour mieux le protéger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18Gouvernance en matière de sécurité de l’information et continuité d’activité . . 18Votre entreprise dispose-t-elle d’une Politique de Sécurité de l’Information (PSSI) ? . 18La politique de continuité d’activité de votre entreprise prend-elle en compte le risque de cyber-attaque ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Chapitre 2 - DétectionIntroduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21Votre entreprise a-t-elle mis en place les outils suivants ? . . . . . . . . . . . . . . . . . . . . . . . . . . 21Votre entreprise a-t-elle mis en place une organisation pour détecter les incidents de sécurité ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22Cette organisation repose-t-elle sur une équipe dédiée, une équipe IT ou bien une équipe transverse ? : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22Votre entreprise dispose-t-elle d’un SOC, d’un CERT ou d’un CSIRT ? : . . . . . . . . . . . . . . 23Dans le cadre de la surveillance opérationnelle de la sécurité de vos systèmes d’information, des investigations sont-elles réalisées ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24Est-ce que votre entreprise réévalue ses moyens de détection (organisationnels et humains) ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Chapitre 3 - RéactionIntroduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27Votre entreprise dispose-t-elle d’une organisation lui permettant de réagir efficacement en cas d’incident de sécurité ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27Cette organisation, repose-t-elle une équipe dédiée, une équipe transverse, une équipe IT ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28Votre entreprise dispose-t-elle de critères pour qualifier l’incident de sécurité et déclencher une situation de cyber-crise ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28Votre entreprise a-t-elle défini les acteurs, leurs rôles et responsabilités en cas de survenance d’une cyber-crise ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28Votre dispositif de crise prévoit-il la sollicitation d’experts ? . . . . . . . . . . . . . . . . . . . . . . . . 29
Les collaborateurs participent-ils d’une manière ou d’une autre aux plans de réaction aux cyber-attaques définis ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
Votre entreprise dispose-t-elle d’une ou plusieurs solutions techniques de réaction ? . 30
Votre entreprise a-t-elle définit des processus de notifications et de communication ? 30
Les moyens (techniques et organisationnels) de réaction aux crises de type cyber-attaque sont-ils réévalués ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Chapitre 4 - Récupération
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Votre entreprise est-elle équipée d’outils permettant la traçabilité / l’enregistrement / la collecte des traces et preuves de l’agression détectée ? . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Votre entreprise a-t-elle défini les processus permettant la prise en compte des aspects juridique et assurance (dossier de plainte / dossier de preuve, estimation du préjudice subit, demande d’indemnisation) suite à une Cyber Attaque ? . . . . . . . . . . . . . . . . . . . . . . 34
Votre entreprise dispose-t-elle de moyens d’analyse post-mortem des incidents de sécurité (forensic) ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Chapitre 5 - Sensibilisation
Des campagnes de sensibilisation à la sécurité de l’information auprès des collaborateurs sont-elles planifiées ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Avez-vous prévu une simulation de crise dans l’année ? . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Conclusion générale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
4 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 5
Cartographier son SI pour mieux le protéger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18Gouvernance en matière de sécurité de l’information et continuité d’activité . . 18Votre entreprise dispose-t-elle d’une Politique de Sécurité de l’Information (PSSI) ? . 18La politique de continuité d’activité de votre entreprise prend-elle en compte le risque de cyber-attaque ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Chapitre 2 - DétectionIntroduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21Votre entreprise a-t-elle mis en place les outils suivants ? . . . . . . . . . . . . . . . . . . . . . . . . . . 21Votre entreprise a-t-elle mis en place une organisation pour détecter les incidents de sécurité ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22Cette organisation repose-t-elle sur une équipe dédiée, une équipe IT ou bien une équipe transverse ? : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22Votre entreprise dispose-t-elle d’un SOC, d’un CERT ou d’un CSIRT ? : . . . . . . . . . . . . . . 23Dans le cadre de la surveillance opérationnelle de la sécurité de vos systèmes d’information, des investigations sont-elles réalisées ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24Est-ce que votre entreprise réévalue ses moyens de détection (organisationnels et humains) ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Chapitre 3 - RéactionIntroduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27Votre entreprise dispose-t-elle d’une organisation lui permettant de réagir efficacement en cas d’incident de sécurité ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27Cette organisation, repose-t-elle une équipe dédiée, une équipe transverse, une équipe IT ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28Votre entreprise dispose-t-elle de critères pour qualifier l’incident de sécurité et déclencher une situation de cyber-crise ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28Votre entreprise a-t-elle défini les acteurs, leurs rôles et responsabilités en cas de survenance d’une cyber-crise ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28Votre dispositif de crise prévoit-il la sollicitation d’experts ? . . . . . . . . . . . . . . . . . . . . . . . . 29
Les collaborateurs participent-ils d’une manière ou d’une autre aux plans de réaction aux cyber-attaques définis ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
Votre entreprise dispose-t-elle d’une ou plusieurs solutions techniques de réaction ? . 30
Votre entreprise a-t-elle définit des processus de notifications et de communication ? 30
Les moyens (techniques et organisationnels) de réaction aux crises de type cyber-attaque sont-ils réévalués ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Chapitre 4 - Récupération
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Votre entreprise est-elle équipée d’outils permettant la traçabilité / l’enregistrement / la collecte des traces et preuves de l’agression détectée ? . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Votre entreprise a-t-elle défini les processus permettant la prise en compte des aspects juridique et assurance (dossier de plainte / dossier de preuve, estimation du préjudice subit, demande d’indemnisation) suite à une Cyber Attaque ? . . . . . . . . . . . . . . . . . . . . . . 34
Votre entreprise dispose-t-elle de moyens d’analyse post-mortem des incidents de sécurité (forensic) ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Chapitre 5 - Sensibilisation
Des campagnes de sensibilisation à la sécurité de l’information auprès des collaborateurs sont-elles planifiées ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Avez-vous prévu une simulation de crise dans l’année ? . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Conclusion générale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
6 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 7
Quelques mots sur le CESINLe CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) est une association loi 1901, créée en juillet 2012, avec des objectifs de professionnalisation, de promotion et de partage autour de la sécurité de l’information et du numérique. C’est un lieu d’échange de connaissances et d’expériences qui permet la coopération entre experts de la sécurité de l’information et du numérique et les pouvoirs publics. Le Club conduit des ateliers et groupes de travail, mène des actions de sensibilisation et de conseil, organise des congrès, colloques, ou conférences. Il participe à des démarches nationales dont l’objet est la promotion de la sécurité de l’information et du numérique. Il est force de proposition sur des textes règlementaires, guides et autres référentiels.
Gestion des risques & Sécurité de l’information
Spécialiste des technologies de l’information, Provadys accompagne les organisations dans leurs grands projets de transformation. Pour appréhender au mieux les défis de la gestion des risques liés aux SI, Provadys tire profit de son ancrage multisectoriel. L’approche globale que nous mettons en place combine notre expertise en matière de gouvernance et transformation des SI de gestion globale des risques au bénéfice d’une approche spécifique des risques IT. Ainsi, l’expertise Provadys Information Security, se déploie en trois axes, la sécurité des SI, la conformité mais aussi la résilience et la continuité d’activité.
EditoLuc Delpha Partner & Lead Provadys Information Security
Dans nos systèmes d’information de plus en plus complexes, les pannes, défaillances matérielles ou logicielles sont devenues tellement incontournables que toutes les entreprises se sont préparées à y faire face. Elles ont donc admis qu’elles devaient être capables de continuer à fonctionner en dépit de l’occurrence de ces évènements. Elles ont également mis en œuvre des moyens permettant d’atteindre, au moins partiellement, cet objectif.
De la même manière, les entreprises sont confrontées au caractère quasi-inévitable des attaques contre leurs systèmes d’information. Cette seconde étude menée par Provadys dans le cadre du CESIN permet de mesurer le chemin parcouru depuis 2013. Si les entreprises ont aujourd’hui globalement pris la mesure du phénomène, notre étude démontre qu’elles sont encore insuffisamment préparées et outillées pour faire face à des cyber-attaques de plus en plus sophistiquées.
Alain Bouillé Président du CESIN
Cette seconde édition de l’enquête montre un certain progrès dans la majorité des entreprises. Ces progrès se traduisent par un renforcement des capacités de détection avec des process, des outils sans oublier les hommes qui commencent à faire leur preuve dans la capacité de l’entreprise à savoir qu’elle est attaquée.Si les entreprises ont, au fil des ans, appréhendé les différents risques systémiques qui peuvent s’abattre sur elles au travers de leurs plans de continuité d’entreprise ; il reste encore beaucoup de chemin à parcourir pour intégrer le risque cyber dans les process de gestion de crise de l’entreprise.Nos démarches de sensibilisation doivent être repensées ; malgré tous les efforts déjà déployés. Car de toute évidence, l’utilisateur connaîtra de plus en plus de difficultés à distinguer une sollicitation légitime d’une malveillante, tant certaines attaques sont minutieusement planifiées et ciblées.Egalement, les outils de protection vont nécessiter de gagner encore en efficacité pour protéger les entrées au SI de l’entreprise, qui vont par ailleurs se démultiplier avec l’ultra-mobilité en marche.
InformationSecurityPour une sécurité optimale
Une étude réalisée dans le cadre d’un partenariat entre Provadys et le CESIN
6 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 7
Quelques mots sur le CESINLe CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) est une association loi 1901, créée en juillet 2012, avec des objectifs de professionnalisation, de promotion et de partage autour de la sécurité de l’information et du numérique. C’est un lieu d’échange de connaissances et d’expériences qui permet la coopération entre experts de la sécurité de l’information et du numérique et les pouvoirs publics. Le Club conduit des ateliers et groupes de travail, mène des actions de sensibilisation et de conseil, organise des congrès, colloques, ou conférences. Il participe à des démarches nationales dont l’objet est la promotion de la sécurité de l’information et du numérique. Il est force de proposition sur des textes règlementaires, guides et autres référentiels.
Gestion des risques & Sécurité de l’information
Spécialiste des technologies de l’information, Provadys accompagne les organisations dans leurs grands projets de transformation. Pour appréhender au mieux les défis de la gestion des risques liés aux SI, Provadys tire profit de son ancrage multisectoriel. L’approche globale que nous mettons en place combine notre expertise en matière de gouvernance et transformation des SI de gestion globale des risques au bénéfice d’une approche spécifique des risques IT. Ainsi, l’expertise Provadys Information Security, se déploie en trois axes, la sécurité des SI, la conformité mais aussi la résilience et la continuité d’activité.
EditoLuc Delpha Partner & Lead Provadys Information Security
Dans nos systèmes d’information de plus en plus complexes, les pannes, défaillances matérielles ou logicielles sont devenues tellement incontournables que toutes les entreprises se sont préparées à y faire face. Elles ont donc admis qu’elles devaient être capables de continuer à fonctionner en dépit de l’occurrence de ces évènements. Elles ont également mis en œuvre des moyens permettant d’atteindre, au moins partiellement, cet objectif.
De la même manière, les entreprises sont confrontées au caractère quasi-inévitable des attaques contre leurs systèmes d’information. Cette seconde étude menée par Provadys dans le cadre du CESIN permet de mesurer le chemin parcouru depuis 2013. Si les entreprises ont aujourd’hui globalement pris la mesure du phénomène, notre étude démontre qu’elles sont encore insuffisamment préparées et outillées pour faire face à des cyber-attaques de plus en plus sophistiquées.
Alain Bouillé Président du CESIN
Cette seconde édition de l’enquête montre un certain progrès dans la majorité des entreprises. Ces progrès se traduisent par un renforcement des capacités de détection avec des process, des outils sans oublier les hommes qui commencent à faire leur preuve dans la capacité de l’entreprise à savoir qu’elle est attaquée.Si les entreprises ont, au fil des ans, appréhendé les différents risques systémiques qui peuvent s’abattre sur elles au travers de leurs plans de continuité d’entreprise ; il reste encore beaucoup de chemin à parcourir pour intégrer le risque cyber dans les process de gestion de crise de l’entreprise.Nos démarches de sensibilisation doivent être repensées ; malgré tous les efforts déjà déployés. Car de toute évidence, l’utilisateur connaîtra de plus en plus de difficultés à distinguer une sollicitation légitime d’une malveillante, tant certaines attaques sont minutieusement planifiées et ciblées.Egalement, les outils de protection vont nécessiter de gagner encore en efficacité pour protéger les entrées au SI de l’entreprise, qui vont par ailleurs se démultiplier avec l’ultra-mobilité en marche.
InformationSecurityPour une sécurité optimale
Une étude réalisée dans le cadre d’un partenariat entre Provadys et le CESIN
8 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 9
MéthodologieProfil des répondants
Structure et thématique
Provadys, en partenariat avec le Cesin, a réalisé une enquête auprès de Responsables de la Sécurité des Systèmes d’Information, mais aussi de Directeurs Techniques et de Directeurs Généraux d’organisation françaises et internationales. Un questionnaire en ligne a ainsi été mis à disposition. Comme en 2013, celui-ci comportait cinquante questions abordant cinq thématiques : la préparation, la détection, la réaction, la récupération ainsi que la sensibilisation en matière de cybercriminalité.
Synthèse de l’échantillon
119 RSSI et managers ont participé à l’étude, soit deux fois plus qu’en 2013. Parmi les organisations représentées, 27% comptent moins de 250 salariés et 62% sont des entreprises de très grande taille (plus de 1000 salariés). Par conséquent, même si 11% des répondants sont issus d’organisations de moins de 50 collaborateurs, notre enquête reflète majoritairement la situation des grandes entreprises.
Présentation de la méthodologie de l’étude
Présentation de l’étudeL’objectif de cette seconde étude réalisée conjointement par le Cesin et Provadys est de mettre en lumière les actions mises en œuvre par les entreprises françaises pour se préparer, détecter et faire face à une cyber-attaque. Il s’agit ainsi de mieux comprendre la situation des organisations en matière de résilience aux cyber-attaques. Cet enjeu est d’autant plus fondamental que la cybercriminalité vise aujourd’hui autant les États, les grands groupes, que les PME.
8 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 9
MéthodologieProfil des répondants
Structure et thématique
Provadys, en partenariat avec le Cesin, a réalisé une enquête auprès de Responsables de la Sécurité des Systèmes d’Information, mais aussi de Directeurs Techniques et de Directeurs Généraux d’organisation françaises et internationales. Un questionnaire en ligne a ainsi été mis à disposition. Comme en 2013, celui-ci comportait cinquante questions abordant cinq thématiques : la préparation, la détection, la réaction, la récupération ainsi que la sensibilisation en matière de cybercriminalité.
Synthèse de l’échantillon
119 RSSI et managers ont participé à l’étude, soit deux fois plus qu’en 2013. Parmi les organisations représentées, 27% comptent moins de 250 salariés et 62% sont des entreprises de très grande taille (plus de 1000 salariés). Par conséquent, même si 11% des répondants sont issus d’organisations de moins de 50 collaborateurs, notre enquête reflète majoritairement la situation des grandes entreprises.
Présentation de la méthodologie de l’étude
Présentation de l’étudeL’objectif de cette seconde étude réalisée conjointement par le Cesin et Provadys est de mettre en lumière les actions mises en œuvre par les entreprises françaises pour se préparer, détecter et faire face à une cyber-attaque. Il s’agit ainsi de mieux comprendre la situation des organisations en matière de résilience aux cyber-attaques. Cet enjeu est d’autant plus fondamental que la cybercriminalité vise aujourd’hui autant les États, les grands groupes, que les PME.
10 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 11
Dans quel secteur d’activité votre entreprise se situe-t-elle ?
Le panel d’organisations ayant participé à notre enquête est équilibré avec 13% de réponses émanant du secteur public, 17% de l’industrie, 20% du secteur Banque/Assurance et 13% de celui des services aux entreprises.
1 Administration (public) : 13%
2 Association : 5%
3 Assurance : 12%
4 Autres : 6%
5 Banque : 8%
6 Energie : 5%
7 Industrie : 17%
8 Transport : 3%
9 Santé, média, télécoms : 16%
10 Services aux entreprises : 13%
11 Grande distribution : 3%
1
2
3
4
5
67
8
9
10
11
À l’exception de la loi informatique et libertés, à quels normes / lois / règlements votre entreprise est-elle soumise ?
La moitié (50%) des organisations interrogées ont déclaré être soumises au secret professionnel ou médical. Pour 19%, contre 22% dans notre enquête de 2013, la Loi informatique et libertés constitue la seule réglementation applicable dans leur contexte.
À l’exception des données à caractère personnel, votre entreprise manipule- t-elle des données sensibles telles que des données classifiées, de cartes de paiement, de santé ou relevant du secret industriel ?
39% des répondants indiquent que leur organisation manipule des données de santé alors que 15% ont déclaré relever du secret médical. De même, 28% manipulent des données de carte de paiement quand 15% se disent soumises aux normes PCI DSS. Ces écarts montrent que les entreprises n’ont pas toujours conscience des conséquences réglementaires de leurs activités.
DO
NN
ÉES
CLAS
SIFI
ÉES
(DÉF
ENSE
)
DO
NN
ÉES
DE
CART
ES
DE
PAIE
MEN
T
SECR
ETS
IND
UST
RIEL
S
DO
NN
ÉES
DE
SAN
TÉ
ARJE
L
BALE
2 /
BALE
3
SOX
AUTR
ES
LSF
SOLV
ENCY
ACP
SECR
ET D
EFEN
SE
PCI D
SS
SECR
ET M
EDIC
AL
RGS
SECR
ET P
ROFE
SSIO
NN
EL
AUCU
N
2% 4% 11% 15%8% 13% 34%8% 12% 21%11% 15% 19% 16% 28% 39%29%
10 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 11
Dans quel secteur d’activité votre entreprise se situe-t-elle ?
Le panel d’organisations ayant participé à notre enquête est équilibré avec 13% de réponses émanant du secteur public, 17% de l’industrie, 20% du secteur Banque/Assurance et 13% de celui des services aux entreprises.
1 Administration (public) : 13%
2 Association : 5%
3 Assurance : 12%
4 Autres : 6%
5 Banque : 8%
6 Energie : 5%
7 Industrie : 17%
8 Transport : 3%
9 Santé, média, télécoms : 16%
10 Services aux entreprises : 13%
11 Grande distribution : 3%
1
2
3
4
5
67
8
9
10
11
À l’exception de la loi informatique et libertés, à quels normes / lois / règlements votre entreprise est-elle soumise ?
La moitié (50%) des organisations interrogées ont déclaré être soumises au secret professionnel ou médical. Pour 19%, contre 22% dans notre enquête de 2013, la Loi informatique et libertés constitue la seule réglementation applicable dans leur contexte.
À l’exception des données à caractère personnel, votre entreprise manipule- t-elle des données sensibles telles que des données classifiées, de cartes de paiement, de santé ou relevant du secret industriel ?
39% des répondants indiquent que leur organisation manipule des données de santé alors que 15% ont déclaré relever du secret médical. De même, 28% manipulent des données de carte de paiement quand 15% se disent soumises aux normes PCI DSS. Ces écarts montrent que les entreprises n’ont pas toujours conscience des conséquences réglementaires de leurs activités.
DO
NN
ÉES
CLAS
SIFI
ÉES
(DÉF
ENSE
)
DO
NN
ÉES
DE
CART
ES
DE
PAIE
MEN
T
SECR
ETS
IND
UST
RIEL
S
DO
NN
ÉES
DE
SAN
TÉ
ARJE
L
BALE
2 /
BALE
3
SOX
AUTR
ES
LSF
SOLV
ENCY
ACP
SECR
ET D
EFEN
SE
PCI D
SS
SECR
ET M
EDIC
AL
RGS
SECR
ET P
ROFE
SSIO
NN
EL
AUCU
N
2% 4% 11% 15%8% 13% 34%8% 12% 21%11% 15% 19% 16% 28% 39%29%
CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 1312 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Chapitre 1Préparation
IntroductionLes entreprises sondées dans le cadre de notre étude ont globalement conscience de leur niveau d’exposition aux cyber-attaques. La majorité d’entre elles en ont d’ailleurs déjà été victimes. Depuis 2013, les entreprises se préparent davantage à faire face à cette menace et sont plus nombreuses à investir dans leur cybersécurité. Cela passe par l’intégration de ces scénarios spécifiques dans leur dispositif de gestion de crise ou par la réalisation de tests de pénétration et d’intrusion sur leurs sites les plus sensibles. Les entreprises peuvent néanmoins gagner en maturité en prenant mieux en compte les risques liés à leurs activités externalisées et en se préparant à une interruption d’activité consécutive à une cyber-attaque.
Votre entreprise a-t-elle déjà été affectée par une ou plusieurs crises de type cyber-attaque ?
En 2013, 52% des organisations interrogées avaient déjà été touchées par au moins une cyber-attaque. Elles sont aujourd’hui 57%, dans un contexte de multiplication et d’industrialisation des attaques. Cette réalité est probablement encore sous-estimée.
Des entreprises conscientes de leur exposition aux cyber-attaques
12
3
4
1 Ne sait pas : 11%
2 Oui, antérieures aux douze derniers mois : 18%
3 Oui, dans les douze derniers mois : 39%
4 Non : 32%
CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 1312 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Chapitre 1Préparation
IntroductionLes entreprises sondées dans le cadre de notre étude ont globalement conscience de leur niveau d’exposition aux cyber-attaques. La majorité d’entre elles en ont d’ailleurs déjà été victimes. Depuis 2013, les entreprises se préparent davantage à faire face à cette menace et sont plus nombreuses à investir dans leur cybersécurité. Cela passe par l’intégration de ces scénarios spécifiques dans leur dispositif de gestion de crise ou par la réalisation de tests de pénétration et d’intrusion sur leurs sites les plus sensibles. Les entreprises peuvent néanmoins gagner en maturité en prenant mieux en compte les risques liés à leurs activités externalisées et en se préparant à une interruption d’activité consécutive à une cyber-attaque.
Votre entreprise a-t-elle déjà été affectée par une ou plusieurs crises de type cyber-attaque ?
En 2013, 52% des organisations interrogées avaient déjà été touchées par au moins une cyber-attaque. Elles sont aujourd’hui 57%, dans un contexte de multiplication et d’industrialisation des attaques. Cette réalité est probablement encore sous-estimée.
Des entreprises conscientes de leur exposition aux cyber-attaques
12
3
4
1 Ne sait pas : 11%
2 Oui, antérieures aux douze derniers mois : 18%
3 Oui, dans les douze derniers mois : 39%
4 Non : 32%
14 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 15
Selon vous, quel type de cible votre entreprise est-elle ?
La moitié (50%) des organisations interrogées ont déclaré être soumises au secret professionnel ou médical. Pour 19%, contre 22% dans notre enquête de 2013, la Loi informatique et libertés constitue la seule réglementation applicable dans leur contexte.
Votre entreprise dispose-t-elle de moyens spécifiques ou dédiés à la prise en compte des menaces de type attaques informatiques ?
Conscientes des enjeux liés à la sécurité de l’information, 74% des organisations interrogées disposent de moyens de prise en compte des cyber-attaques, contre 63% en 2013, ce qui démontre une plus grande sensibilisation à ce sujet.
78% des organisations interrogées conduisent des analyses de risques sur leurs systèmes d’information, mais seules 33% y intègrent le risque de cyber-attaque.
Plus globalement, 61% d’entre elles ont identifié les scénarios de type cyber-attaque susceptibles de les toucher.
Organisez-vous des tests d’intrusion sur vos sites les plus sensibles ?
Se préparer à faire face à une cyber-attaque passe entre autres par l’identification des faiblesses de son SI ; les sites internet sont des cibles qui exposent les entreprises et qui peuvent se révéler être des portes d’entrée dans leur SI. 76% des organisations déclarent ainsi procéder à des tests d’intrusion sur leurs sites les plus sensibles, contre 96% en 2013. Cet écart s’explique notamment par une plus forte représentation des PME dans cette étude puisque 59% des entreprises de moins de 250 salariés n’ont jamais pratiqué de test d’intrusion. A l’inverse, 95% des groupes de plus de 5000 collaborateurs en réalisent régulièrement.
Quel intérêt représentez-vous pour un attaquant ?
Parmi les organisations s’estimant ciblées, le vol de données serait la principale motivation des cyber-assaillants. Cette menace fait peser un risque d’autant plus lourd sur les entreprises que la règlementation européenne s’oriente vers de nouvelles obligations en matière de protection des données à caractère personnel. Des obligations de notification des autorités et d’information des clients concernés seront en particulier introduites pour toutes les entreprises.
1 Oui, chaque mois : 9%
2 Oui, chaque trimestre : 8%
3 Non : 24%
4 Oui, tous les ans : 42%
5 Oui, tous les deux ans : 16%
1 Ciblée : 39%
2 Ni l’un, ni l’autre : 18%
3 Opportuniste : 43%
3
1
2
1
2
34
5
1 Oui, dans des procédures : 12%
2 Non : 41%
3 Ne sait pas : 7%
4 Oui, mais sans documentation : 7%
5 Oui, dans une analyse de risques : 33%Comprendre
et caractériser la menace
1
2
3
4
5
VOL
DE
DO
NN
ÉES
FRAU
DE
CHAN
TAGE
ESPI
ON
NAG
E
REVE
ND
ICAT
ION
AUTR
E
72% 61% 11%36%52% 31%
14 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 15
Selon vous, quel type de cible votre entreprise est-elle ?
La moitié (50%) des organisations interrogées ont déclaré être soumises au secret professionnel ou médical. Pour 19%, contre 22% dans notre enquête de 2013, la Loi informatique et libertés constitue la seule réglementation applicable dans leur contexte.
Votre entreprise dispose-t-elle de moyens spécifiques ou dédiés à la prise en compte des menaces de type attaques informatiques ?
Conscientes des enjeux liés à la sécurité de l’information, 74% des organisations interrogées disposent de moyens de prise en compte des cyber-attaques, contre 63% en 2013, ce qui démontre une plus grande sensibilisation à ce sujet.
78% des organisations interrogées conduisent des analyses de risques sur leurs systèmes d’information, mais seules 33% y intègrent le risque de cyber-attaque.
Plus globalement, 61% d’entre elles ont identifié les scénarios de type cyber-attaque susceptibles de les toucher.
Organisez-vous des tests d’intrusion sur vos sites les plus sensibles ?
Se préparer à faire face à une cyber-attaque passe entre autres par l’identification des faiblesses de son SI ; les sites internet sont des cibles qui exposent les entreprises et qui peuvent se révéler être des portes d’entrée dans leur SI. 76% des organisations déclarent ainsi procéder à des tests d’intrusion sur leurs sites les plus sensibles, contre 96% en 2013. Cet écart s’explique notamment par une plus forte représentation des PME dans cette étude puisque 59% des entreprises de moins de 250 salariés n’ont jamais pratiqué de test d’intrusion. A l’inverse, 95% des groupes de plus de 5000 collaborateurs en réalisent régulièrement.
Quel intérêt représentez-vous pour un attaquant ?
Parmi les organisations s’estimant ciblées, le vol de données serait la principale motivation des cyber-assaillants. Cette menace fait peser un risque d’autant plus lourd sur les entreprises que la règlementation européenne s’oriente vers de nouvelles obligations en matière de protection des données à caractère personnel. Des obligations de notification des autorités et d’information des clients concernés seront en particulier introduites pour toutes les entreprises.
1 Oui, chaque mois : 9%
2 Oui, chaque trimestre : 8%
3 Non : 24%
4 Oui, tous les ans : 42%
5 Oui, tous les deux ans : 16%
1 Ciblée : 39%
2 Ni l’un, ni l’autre : 18%
3 Opportuniste : 43%
3
1
2
1
2
34
5
1 Oui, dans des procédures : 12%
2 Non : 41%
3 Ne sait pas : 7%
4 Oui, mais sans documentation : 7%
5 Oui, dans une analyse de risques : 33%Comprendre
et caractériser la menace
1
2
3
4
5
VOL
DE
DO
NN
ÉES
FRAU
DE
CHAN
TAGE
ESPI
ON
NAG
E
REVE
ND
ICAT
ION
AUTR
E
72% 61% 11%36%52% 31%
16 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 17
Evaluez-vous le niveau de sécurité de vos prestataires ?
L’externalisation de tout ou partie du système d’information est devenue incontournable. Qu’il s’agisse de Tierce Maintenance Applicative, de recours au cloud en SaaS, IaaS, PaaS ou encore d’infogérance, 82% des entreprises font aujourd’hui appel à des fournisseurs de service. Cette externalisation n’implique pas nécessairement de transférer les risques vers le sous-traitant.
Notre Livre Blanc sur l’externalisation1 montre ainsi que seules 41% des entreprises disposent de clauses de transfert de responsabilité en matière de sécurité et 39% transfèrent les responsabilités réglementaires et de conformité à leurs fournisseurs. Si la plupart– 89% - des contrats contiennent des exigences de sécurité, le risque d’attaque informatique n’est pris en compte que dans 57% des cas. Les entreprises sont cependant plus nombreuses à évaluer le niveau de sécurité de leurs prestataires– 55% contre 49% en 2013.
1 Externalisation et sécurité, où en sont les entreprises
françaises ? Provadys en collaboration avec le CESIN (2014)
Avez-vous déjà réalisé un exercice de crise comprenant un scénario de cyber-attaque ?
Toutefois, si les entreprises sont globalement conscientes du niveau de la menace, 71% ne se sont jamais préparées à se confronter à une crise de type cyber-attaque dans le cadre d’un exercice de crise. 21% ont déclaré avoir réalisé un exercice de crise comprenant un scénario de cyber-attaque. Pour rappel, 39% des répondants ont indiqué avoir subi une cyber-attaque dans les douze derniers mois.Les entreprises qui n’ont jamais été en position de s’exercer à réagir aux cyber-attaques risquent de se trouver démunies lorsqu’elle seront confrontées de manière réelle à cette situation.
Externalisation et cybercriminalité
1 Oui, l’année dernière : 21%
2 Oui, il y a deux ans : 6%
3 Oui, il y a trois ans : 3%
4 Non : 71%
1
2
3
4
1 Non : 36%
2 Ne sait pas : 8%
3 Oui : 54%
1
2
3
Se préparer à la gestion d’une cyber-crise
16 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 17
Evaluez-vous le niveau de sécurité de vos prestataires ?
L’externalisation de tout ou partie du système d’information est devenue incontournable. Qu’il s’agisse de Tierce Maintenance Applicative, de recours au cloud en SaaS, IaaS, PaaS ou encore d’infogérance, 82% des entreprises font aujourd’hui appel à des fournisseurs de service. Cette externalisation n’implique pas nécessairement de transférer les risques vers le sous-traitant.
Notre Livre Blanc sur l’externalisation1 montre ainsi que seules 41% des entreprises disposent de clauses de transfert de responsabilité en matière de sécurité et 39% transfèrent les responsabilités réglementaires et de conformité à leurs fournisseurs. Si la plupart– 89% - des contrats contiennent des exigences de sécurité, le risque d’attaque informatique n’est pris en compte que dans 57% des cas. Les entreprises sont cependant plus nombreuses à évaluer le niveau de sécurité de leurs prestataires– 55% contre 49% en 2013.
1 Externalisation et sécurité, où en sont les entreprises
françaises ? Provadys en collaboration avec le CESIN (2014)
Avez-vous déjà réalisé un exercice de crise comprenant un scénario de cyber-attaque ?
Toutefois, si les entreprises sont globalement conscientes du niveau de la menace, 71% ne se sont jamais préparées à se confronter à une crise de type cyber-attaque dans le cadre d’un exercice de crise. 21% ont déclaré avoir réalisé un exercice de crise comprenant un scénario de cyber-attaque. Pour rappel, 39% des répondants ont indiqué avoir subi une cyber-attaque dans les douze derniers mois.Les entreprises qui n’ont jamais été en position de s’exercer à réagir aux cyber-attaques risquent de se trouver démunies lorsqu’elle seront confrontées de manière réelle à cette situation.
Externalisation et cybercriminalité
1 Oui, l’année dernière : 21%
2 Oui, il y a deux ans : 6%
3 Oui, il y a trois ans : 3%
4 Non : 71%
1
2
3
4
1 Non : 36%
2 Ne sait pas : 8%
3 Oui : 54%
1
2
3
Se préparer à la gestion d’une cyber-crise
18 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 19
La politique de continuité d’activité de votre entreprise prend-elle en compte le risque de cyber-attaque ?
Les cyber-crises récentes ont démontré que l’une des conséquences majeures d’une cyber-attaque était l’indisponibilité du système d’information. La cybercriminalité est d’ailleurs aujourd’hui la première menace affectant la continuité des opérations des entreprises. Cependant, seules 76% des organisations de notre panel disposent d’une politique ou de procédures de continuité d’activité garantissant le maintien de leurs activités vitales en cas de choc extrême. 41% d’entre elles intègrent des mesures visant à préserver leurs activités critiques en cas de cyber-attaque.
Cartographier son SI pour mieux le protégerLutter contre les attaques visant son système d’information implique de bien maîtriser son architecture. Cela ne concerne que les 68% d’entreprises qui indiquent disposer d’une cartographie de leur système d’information. Parmi celles-ci, 80% sont également en mesure d’identifier ses composants internes les plus sensibles et 54% leurs fournisseurs de services sensibles de façon à pouvoir les protéger efficacement.
1 Non : 48%
2 Ne sait pas : 11%
3 Oui : 41%
1 Non : 18%
2 Oui : 82%
1
2
1
2
3
ConclusionLes entreprises ont aujourd’hui bien conscience des risques induits par les cyber-attaques. Pour la plupart d’entre elles, le phénomène n’est pas seulement appréhendé à travers les nombreux cas relatés dans les journaux, elles y sont directement confrontées. Elles déploient ainsi davantage de moyens consacrés à la prise en compte de cette menace. Elles réalisent des tests d’intrusion et intègrent le scénario cyber-attaque à leurs dispositifs de gestion de crise, mais cette préparation reste trop souvent théorique et par conséquent, insuffisante. Pour gagner en maturité, il s’agirait désormais de réévaluer régulièrement la préparation théorique, passer à la pratique en réalisant des exercices impliquant l’ensemble des entités et acteurs concernés. En plus de constituer une menace pour la sécurité de leurs patrimoines technique et informationnel, les entreprises devraient également considérer les cyber-attaques comme un risque majeur pesant sur la continuité de leurs activités.
Gouvernance en matière de sécurité de l’information et continuité d’activité
Votre entreprise dispose-t-elle d’une Politique de Sécurité de l’Information (PSSI) ?
Si dans l’ensemble, 82% des organisations disposent d’une Politique de Sécurité des Systèmes d’Information (PSSI), seules 59% des PME de moins de 250 salariés en ont mis une en place. Il reste donc au niveau de ces PME un travail important à faire pour définir le cadre de référence dans lequel la Sécurité du Système d’Information doit être envisagée.La PSSI est la garantie d’un engagement de la Direction en faveur de la sécurité de l’information et de l’existence de moyens humains et financiers permettant de parer au risque d’incident en général, et de cyber-attaques en particulier. Ce document démontre un niveau de maturité de l’entreprise en matière de sécurité de l’information et d’une véritable prise de conscience par l’ensemble des enjeux par la Direction.
18 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 19
La politique de continuité d’activité de votre entreprise prend-elle en compte le risque de cyber-attaque ?
Les cyber-crises récentes ont démontré que l’une des conséquences majeures d’une cyber-attaque était l’indisponibilité du système d’information. La cybercriminalité est d’ailleurs aujourd’hui la première menace affectant la continuité des opérations des entreprises. Cependant, seules 76% des organisations de notre panel disposent d’une politique ou de procédures de continuité d’activité garantissant le maintien de leurs activités vitales en cas de choc extrême. 41% d’entre elles intègrent des mesures visant à préserver leurs activités critiques en cas de cyber-attaque.
Cartographier son SI pour mieux le protégerLutter contre les attaques visant son système d’information implique de bien maîtriser son architecture. Cela ne concerne que les 68% d’entreprises qui indiquent disposer d’une cartographie de leur système d’information. Parmi celles-ci, 80% sont également en mesure d’identifier ses composants internes les plus sensibles et 54% leurs fournisseurs de services sensibles de façon à pouvoir les protéger efficacement.
1 Non : 48%
2 Ne sait pas : 11%
3 Oui : 41%
1 Non : 18%
2 Oui : 82%
1
2
1
2
3
ConclusionLes entreprises ont aujourd’hui bien conscience des risques induits par les cyber-attaques. Pour la plupart d’entre elles, le phénomène n’est pas seulement appréhendé à travers les nombreux cas relatés dans les journaux, elles y sont directement confrontées. Elles déploient ainsi davantage de moyens consacrés à la prise en compte de cette menace. Elles réalisent des tests d’intrusion et intègrent le scénario cyber-attaque à leurs dispositifs de gestion de crise, mais cette préparation reste trop souvent théorique et par conséquent, insuffisante. Pour gagner en maturité, il s’agirait désormais de réévaluer régulièrement la préparation théorique, passer à la pratique en réalisant des exercices impliquant l’ensemble des entités et acteurs concernés. En plus de constituer une menace pour la sécurité de leurs patrimoines technique et informationnel, les entreprises devraient également considérer les cyber-attaques comme un risque majeur pesant sur la continuité de leurs activités.
Gouvernance en matière de sécurité de l’information et continuité d’activité
Votre entreprise dispose-t-elle d’une Politique de Sécurité de l’Information (PSSI) ?
Si dans l’ensemble, 82% des organisations disposent d’une Politique de Sécurité des Systèmes d’Information (PSSI), seules 59% des PME de moins de 250 salariés en ont mis une en place. Il reste donc au niveau de ces PME un travail important à faire pour définir le cadre de référence dans lequel la Sécurité du Système d’Information doit être envisagée.La PSSI est la garantie d’un engagement de la Direction en faveur de la sécurité de l’information et de l’existence de moyens humains et financiers permettant de parer au risque d’incident en général, et de cyber-attaques en particulier. Ce document démontre un niveau de maturité de l’entreprise en matière de sécurité de l’information et d’une véritable prise de conscience par l’ensemble des enjeux par la Direction.
20 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 21
Chapitre 2Détection
Intro- ductionLutter efficacement contre une cyber-attaque nécessite d’être capable de la détecter avant qu’il ne soit trop tard. Les entreprises peuvent pour cela compter sur des outils techniques de détection des menaces. Cependant, les exploitent-elles de façon optimale ? Notre étude démontre qu’elles gagneraient à les réévaluer régulièrement, à mieux structurer leurs dispositifs organisationnels de détection et à davantage s’appuyer sur les utilisateurs.
Votre entreprise a-t-elle mis en place les outils suivants ?
Les organisations interrogées ont globalement mis en place des outils techniques de détection des cyber-attaques : 77% d’entre elles ont recours à au moins un outil et 58% en disposent d’au moins deux. En revanche, 23% des entreprises n’ont déployé aucun outil de détection. Les petites entreprises sont ainsi davantage exposées puisque cette proportion s’élève à 31% pour les organisations comptant moins de 250 salariés.
Quels sont les moyens déployés par les entreprises pour détecter une cyber-attaque ?
AUTR
ES
SYST
ÈME
DE
DÉT
ECTI
ON
DES
APT
AUCU
N
SYST
ÈME
DE
CORR
ÉLAT
ION
ET
D
’AU
TOM
ATIS
ATIO
N D
E L’A
NAL
YSE
DES
LO
GS
SYST
ÈME
DE
GEST
ION
D
ES É
VÈN
EMEN
TS D
E SÉ
CURI
TÉ
SYST
ÈME
DE
DÉT
ECTI
ON
D’IN
TRU
SIO
N
SYST
ÈME
DE
PRÉV
ENTI
ON
D’IN
TRU
SIO
N
5% 17% 24%23% 30% 57% 59%
20 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 21
Chapitre 2Détection
Intro- ductionLutter efficacement contre une cyber-attaque nécessite d’être capable de la détecter avant qu’il ne soit trop tard. Les entreprises peuvent pour cela compter sur des outils techniques de détection des menaces. Cependant, les exploitent-elles de façon optimale ? Notre étude démontre qu’elles gagneraient à les réévaluer régulièrement, à mieux structurer leurs dispositifs organisationnels de détection et à davantage s’appuyer sur les utilisateurs.
Votre entreprise a-t-elle mis en place les outils suivants ?
Les organisations interrogées ont globalement mis en place des outils techniques de détection des cyber-attaques : 77% d’entre elles ont recours à au moins un outil et 58% en disposent d’au moins deux. En revanche, 23% des entreprises n’ont déployé aucun outil de détection. Les petites entreprises sont ainsi davantage exposées puisque cette proportion s’élève à 31% pour les organisations comptant moins de 250 salariés.
Quels sont les moyens déployés par les entreprises pour détecter une cyber-attaque ?
AUTR
ES
SYST
ÈME
DE
DÉT
ECTI
ON
DES
APT
AUCU
N
SYST
ÈME
DE
CORR
ÉLAT
ION
ET
D
’AU
TOM
ATIS
ATIO
N D
E L’A
NAL
YSE
DES
LO
GS
SYST
ÈME
DE
GEST
ION
D
ES É
VÈN
EMEN
TS D
E SÉ
CURI
TÉ
SYST
ÈME
DE
DÉT
ECTI
ON
D’IN
TRU
SIO
N
SYST
ÈME
DE
PRÉV
ENTI
ON
D’IN
TRU
SIO
N
5% 17% 24%23% 30% 57% 59%
22 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 23
Les utilisateurs sont impliqués dans ce dispositif de détection dans 74% des entreprises, contre 47% en 2013. Avec la multiplication des attaques s’appuyant sur le phishing (hameçonnage), les ransomwares (rançongiciels), l’ingénierie sociale, ou encore l’usurpation d’identité, l’utilisateur est en effet un maillon fort de la sécurité de l’information et les entreprises l’ont bien compris.
Votre entreprise a-t-elle mis en place une organisation pour détecter les incidents de sécurité ?
Cette organisation fait défaut chez 42% des organisations de notre panel. Les grandes entreprises sont mieux armées puisqu’elles sont 66% à avoir mis en place une organisation consacrée à la détection des incidents de sécurité.
Cette organisation repose-t-elle sur une équipe dédiée, une équipe IT ou bien une équipe transverse ?
Dans 55% des cas, une telle fonction est exercée par une équipe du département informatique. L’accent peut également être mis sur la transversalité dans 41% des organisations ou bien sur la spécialisation (38%).
En matière de détection, disposer d’outils techniques est inutile si les entreprises ne déploient pas une organisation capable de diffuser et traiter l’information relative aux incidents de sécurité.
Votre entreprise dispose-t-elle d’un SOC, d’un CERT ou d’un CSIRT ?
D’un point de vue organisationnel, 36% des entreprises ont mis en place un SOC (Information Security Operation Center), un CERT (Computer Emergency Response Team) ou un CSIRT (Computer Security Incident Response Team).
Les grandes entreprises (5000 salariés et plus) sont plus nombreuses à s’être dotées de tels dispositifs puisque 40% d’entre elles disposent d’un SOC, 21% d’un CERT et 20% d’un CSIRT.
AUCU
N D
ES T
ROIS
SOC
CERT
CSIR
T1 Oui : 58%
2 Non : 42%
1 Une équipe dédiée : 38%
2 Une équipe IT : 55%
1
2
1
2
3
4
1
2
64% 24% 13%14%
3 Une équipe transverse : 41%
4 Autre : 3%
1 Oui : 74%
2 Non : 26%
22 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 23
Les utilisateurs sont impliqués dans ce dispositif de détection dans 74% des entreprises, contre 47% en 2013. Avec la multiplication des attaques s’appuyant sur le phishing (hameçonnage), les ransomwares (rançongiciels), l’ingénierie sociale, ou encore l’usurpation d’identité, l’utilisateur est en effet un maillon fort de la sécurité de l’information et les entreprises l’ont bien compris.
Votre entreprise a-t-elle mis en place une organisation pour détecter les incidents de sécurité ?
Cette organisation fait défaut chez 42% des organisations de notre panel. Les grandes entreprises sont mieux armées puisqu’elles sont 66% à avoir mis en place une organisation consacrée à la détection des incidents de sécurité.
Cette organisation repose-t-elle sur une équipe dédiée, une équipe IT ou bien une équipe transverse ?
Dans 55% des cas, une telle fonction est exercée par une équipe du département informatique. L’accent peut également être mis sur la transversalité dans 41% des organisations ou bien sur la spécialisation (38%).
En matière de détection, disposer d’outils techniques est inutile si les entreprises ne déploient pas une organisation capable de diffuser et traiter l’information relative aux incidents de sécurité.
Votre entreprise dispose-t-elle d’un SOC, d’un CERT ou d’un CSIRT ?
D’un point de vue organisationnel, 36% des entreprises ont mis en place un SOC (Information Security Operation Center), un CERT (Computer Emergency Response Team) ou un CSIRT (Computer Security Incident Response Team).
Les grandes entreprises (5000 salariés et plus) sont plus nombreuses à s’être dotées de tels dispositifs puisque 40% d’entre elles disposent d’un SOC, 21% d’un CERT et 20% d’un CSIRT.
AUCU
N D
ES T
ROIS
SOC
CERT
CSIR
T1 Oui : 58%
2 Non : 42%
1 Une équipe dédiée : 38%
2 Une équipe IT : 55%
1
2
1
2
3
4
1
2
64% 24% 13%14%
3 Une équipe transverse : 41%
4 Autre : 3%
1 Oui : 74%
2 Non : 26%
24 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 25
Dans le cadre de la surveillance opérationnelle de la sécurité de vos systèmes d’information, des investigations sont-elles réalisées ?
82% des entreprises interrogées indiquent mener des investigations dans le cadre de la surveillance opérationnelle de leurs systèmes d’information. Un clivage existe cependant entre les groupes de plus de 5000 salariés, où cette proportion atteint 95% et les PME de moins de 250 collaborateurs, qui ne sont que 63% à réaliser de telles investigations.
ConclusionLes entreprises ont bien compris qu’elles devaient se protéger face aux cyber-attaques et être dotées de moyens de détection. La majorité des entreprises de notre panel utilise en effet un ou plusieurs moyens de détection. Ces moyens ne sont cependant pas mis à niveau assez fréquemment. Cela passe notamment par une réévaluation régulière des moyens déployés ainsi que par la réalisation d’investigations après chaque incident pour comprendre et corriger ses faiblesses. Pour cela, il faudrait notamment comprendre pourquoi les PME mènent trop rarement de telles investigations.
Est-ce que votre entreprise réévalue ses moyens de détection (organisationnels et humains) ?
D’un point de vue organisationnel, 36% des entreprises ont mis en place un SOC (Information Security Operation Center), un CERT (Computer Emergency Response Team) ou un CSIRT (Computer Security Incident Response Team).
Les grandes entreprises (5000 salariés et plus) sont plus nombreuses à s’être dotées de tels dispositifs puisque 40% d’entre elles disposent d’un SOC, 21% d’un CERT et 20% d’un CSIRT.
TRIM
ESTR
IELL
E
SEM
ESTR
IELL
E
MEN
SUEL
LE
APRÈ
S U
N IN
CID
ENT
RARE
MEN
T
NE
SAIT
PAS
ANN
UEL
LE
JAM
AIS
1 Oui, pour toutes les anomalies détectées : 41%
2 Oui, uniquement sur les anomalies affectant la confidentialité des informations : 6%
3 Non : 37%
4 Oui, pour toutes les anomalies touchant les systèmes les plus sensibles : 3%
5 Oui, uniquement sur les anoma-lies affectant la disponibilité des systèmes : 13%
1
2
3
4
5
2% 4% 11%8% 13%8% 12%11%
24 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 25
Dans le cadre de la surveillance opérationnelle de la sécurité de vos systèmes d’information, des investigations sont-elles réalisées ?
82% des entreprises interrogées indiquent mener des investigations dans le cadre de la surveillance opérationnelle de leurs systèmes d’information. Un clivage existe cependant entre les groupes de plus de 5000 salariés, où cette proportion atteint 95% et les PME de moins de 250 collaborateurs, qui ne sont que 63% à réaliser de telles investigations.
ConclusionLes entreprises ont bien compris qu’elles devaient se protéger face aux cyber-attaques et être dotées de moyens de détection. La majorité des entreprises de notre panel utilise en effet un ou plusieurs moyens de détection. Ces moyens ne sont cependant pas mis à niveau assez fréquemment. Cela passe notamment par une réévaluation régulière des moyens déployés ainsi que par la réalisation d’investigations après chaque incident pour comprendre et corriger ses faiblesses. Pour cela, il faudrait notamment comprendre pourquoi les PME mènent trop rarement de telles investigations.
Est-ce que votre entreprise réévalue ses moyens de détection (organisationnels et humains) ?
D’un point de vue organisationnel, 36% des entreprises ont mis en place un SOC (Information Security Operation Center), un CERT (Computer Emergency Response Team) ou un CSIRT (Computer Security Incident Response Team).
Les grandes entreprises (5000 salariés et plus) sont plus nombreuses à s’être dotées de tels dispositifs puisque 40% d’entre elles disposent d’un SOC, 21% d’un CERT et 20% d’un CSIRT.
TRIM
ESTR
IELL
E
SEM
ESTR
IELL
E
MEN
SUEL
LE
APRÈ
S U
N IN
CID
ENT
RARE
MEN
T
NE
SAIT
PAS
ANN
UEL
LE
JAM
AIS
1 Oui, pour toutes les anomalies détectées : 41%
2 Oui, uniquement sur les anomalies affectant la confidentialité des informations : 6%
3 Non : 37%
4 Oui, pour toutes les anomalies touchant les systèmes les plus sensibles : 3%
5 Oui, uniquement sur les anoma-lies affectant la disponibilité des systèmes : 13%
1
2
3
4
5
2% 4% 11%8% 13%8% 12%11%
CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 2726 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Chapitre 3Réaction
IntroductionComment les entreprises réagissent-elles en cas d’attaque ?
Une fois l’attaque détectée, les entreprises doivent être en capacité de mobiliser rapidement des moyens humains et techniques visant à limiter ses conséquences néfastes. Elles doivent pour cela avoir, au préalable, mis en place une organisation et des procédures leur permettant de prendre les mesures qui s’imposent : solliciter les bons experts, communiquer auprès des utilisateurs, mettre en œuvre les moyens techniques de réaction. Avant la cyber-crise, ces derniers doivent par ailleurs être réévalués régulièrement pour conserver leur pertinence.
Votre entreprise dispose-t-elle d’une organisation lui permettant de réagir efficacement en cas d’incident de sécurité ?
61% des entreprises déclarent disposer d’une organisation leur permettant de réagir en cas de cyber-attaque avérée. Les grandes entreprises sont mieux armées puisque 72% des groupes de plus de 5000 salariés en sont dotés, contre 41% des PME de moins de 250 salariés.
1 Oui : 61%
2 Non : 39%
2
1
CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 2726 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Chapitre 3Réaction
IntroductionComment les entreprises réagissent-elles en cas d’attaque ?
Une fois l’attaque détectée, les entreprises doivent être en capacité de mobiliser rapidement des moyens humains et techniques visant à limiter ses conséquences néfastes. Elles doivent pour cela avoir, au préalable, mis en place une organisation et des procédures leur permettant de prendre les mesures qui s’imposent : solliciter les bons experts, communiquer auprès des utilisateurs, mettre en œuvre les moyens techniques de réaction. Avant la cyber-crise, ces derniers doivent par ailleurs être réévalués régulièrement pour conserver leur pertinence.
Votre entreprise dispose-t-elle d’une organisation lui permettant de réagir efficacement en cas d’incident de sécurité ?
61% des entreprises déclarent disposer d’une organisation leur permettant de réagir en cas de cyber-attaque avérée. Les grandes entreprises sont mieux armées puisque 72% des groupes de plus de 5000 salariés en sont dotés, contre 41% des PME de moins de 250 salariés.
1 Oui : 61%
2 Non : 39%
2
1
28 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 29
Cette organisation, repose-t-elle sur une équipe dédiée, une équipe transverse, une équipe IT ?
Par réagir en cas de cyber-attaque, 31% des entreprises peuvent compter sur une équipe spécialisée dans le traitement des incidents de sécurité. Elles n’étaient que 19% en 2013, ce qui démontre une plus grande mobilisation des entreprises sur les questions de cybersécurité.
Votre entreprise dispose-t-elle de critères pour qualifier l’incident de sécurité et déclencher une situation de cyber-crise ?
En cas d’attaque, il est crucial de réagir de réagir vite pour limiter l’importance d’éventuels vols de données ou de la contamination des systèmes d’information. Pour ce faire, il peut être recommandé de disposer une grille d’évaluation permettant de mesurer la gravité d’une attaque et de convoquer la cellule de crise rapidement si nécessaire.
Votre entreprise a-t-elle défini les acteurs, leurs rôles et responsabilités en cas de survenance d’une cyber-crise ?
En matière de gestion de cyber-crise, les entreprises ne sont globalement pas assez outillées. Seules 42% d’entre elles sont à même de mobiliser une cellule de crise. Cette proportion atteint 56% au sein des entreprises de plus de 1000 salariés. 21% des organisations peuvent s’appuyer sur des fiches “réflexe” rappelant les premières actions à mener en cas de crise et 20% disposent d’un annuaire de crise.
Votre dispositif de crise prévoit-il la sollicitation d’experts ?
La majorité des entreprises (59%) déclare avoir prévu de s’appuyer sur les compétences d’experts techniques en cas de cyber-crise. Moins d’un tiers d’entre elles prévoient cependant de solliciter des experts en communication ou des juristes.
AUTR
E
EQU
IPE
DÉD
IÉE
EQU
IPE
TRAN
SVER
SE
EQU
IPE
IT
OU
I - A
UTR
E
OU
I - A
UTR
ES
NE
SAIT
PAS
OU
I, U
NE
CELL
ULE
DE
CRIS
E
NO
N
OU
I, D
ES F
ICH
ES R
EFLE
XE O
U
CHEC
K-LI
STS
DÉC
RIVA
NT
LES
PR
EMIÈ
RES
ACTI
ON
S À
CON
DU
IRE
OU
I, U
N A
NN
UAI
RE D
E CR
ISE
OU
I, U
NE
GRIL
LE
D’É
VALU
ATIO
N D
’IMPA
CT
NO
N
OU
I - A
UTR
E
OU
I - R
H
OU
I - S
PÉCI
ALIS
TE
DE
LA G
ESTI
ON
DE
CRIS
E
OU
I - JU
RID
IQU
E
OU
I - C
OM
MU
NIC
ATIO
N
NO
N
OU
I - T
ECH
NIQ
UE
Les collaborateurs participent-ils d’une manière ou d’une autre aux plans de réaction aux cyber-attaques définis ?
Si 74% des entreprises déclarent impliquer les utilisateurs dans leur processus de détection des attaques, seules 38% d’entre elles les intègrent à leurs plans de réaction aux cyber-attaques. Il est cependant reconnu que dans certains cas, la mobilisation des utilisateurs peut permettre de limiter la propagation ou l’ampleur des dégâts causés par une attaque.
1 Oui : 38%
2 Non : 62%
1
2
21%8% 42%3% 32%20%
31%13% 33% 59%8% 32%18%
31% 51%42%4% 39% 55%6%
28 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 29
Cette organisation, repose-t-elle sur une équipe dédiée, une équipe transverse, une équipe IT ?
Par réagir en cas de cyber-attaque, 31% des entreprises peuvent compter sur une équipe spécialisée dans le traitement des incidents de sécurité. Elles n’étaient que 19% en 2013, ce qui démontre une plus grande mobilisation des entreprises sur les questions de cybersécurité.
Votre entreprise dispose-t-elle de critères pour qualifier l’incident de sécurité et déclencher une situation de cyber-crise ?
En cas d’attaque, il est crucial de réagir de réagir vite pour limiter l’importance d’éventuels vols de données ou de la contamination des systèmes d’information. Pour ce faire, il peut être recommandé de disposer une grille d’évaluation permettant de mesurer la gravité d’une attaque et de convoquer la cellule de crise rapidement si nécessaire.
Votre entreprise a-t-elle défini les acteurs, leurs rôles et responsabilités en cas de survenance d’une cyber-crise ?
En matière de gestion de cyber-crise, les entreprises ne sont globalement pas assez outillées. Seules 42% d’entre elles sont à même de mobiliser une cellule de crise. Cette proportion atteint 56% au sein des entreprises de plus de 1000 salariés. 21% des organisations peuvent s’appuyer sur des fiches “réflexe” rappelant les premières actions à mener en cas de crise et 20% disposent d’un annuaire de crise.
Votre dispositif de crise prévoit-il la sollicitation d’experts ?
La majorité des entreprises (59%) déclare avoir prévu de s’appuyer sur les compétences d’experts techniques en cas de cyber-crise. Moins d’un tiers d’entre elles prévoient cependant de solliciter des experts en communication ou des juristes.
AUTR
E
EQU
IPE
DÉD
IÉE
EQU
IPE
TRAN
SVER
SE
EQU
IPE
IT
OU
I - A
UTR
E
OU
I - A
UTR
ES
NE
SAIT
PAS
OU
I, U
NE
CELL
ULE
DE
CRIS
E
NO
N
OU
I, D
ES F
ICH
ES R
EFLE
XE O
U
CHEC
K-LI
STS
DÉC
RIVA
NT
LES
PR
EMIÈ
RES
ACTI
ON
S À
CON
DU
IRE
OU
I, U
N A
NN
UAI
RE D
E CR
ISE
OU
I, U
NE
GRIL
LE
D’É
VALU
ATIO
N D
’IMPA
CT
NO
N
OU
I - A
UTR
E
OU
I - R
H
OU
I - S
PÉCI
ALIS
TE
DE
LA G
ESTI
ON
DE
CRIS
E
OU
I - JU
RID
IQU
E
OU
I - C
OM
MU
NIC
ATIO
N
NO
N
OU
I - T
ECH
NIQ
UE
Les collaborateurs participent-ils d’une manière ou d’une autre aux plans de réaction aux cyber-attaques définis ?
Si 74% des entreprises déclarent impliquer les utilisateurs dans leur processus de détection des attaques, seules 38% d’entre elles les intègrent à leurs plans de réaction aux cyber-attaques. Il est cependant reconnu que dans certains cas, la mobilisation des utilisateurs peut permettre de limiter la propagation ou l’ampleur des dégâts causés par une attaque.
1 Oui : 38%
2 Non : 62%
1
2
21%8% 42%3% 32%20%
31%13% 33% 59%8% 32%18%
31% 51%42%4% 39% 55%6%
30 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 31
Votre entreprise a-t-elle défini des processus de notifications et de communication ?
Si la moitié des organisations interrogées indiquent avoir défini des processus de notifications et de communication à l’égard de leurs salariés, seules 24% en ont prévu pour leurs clients et 20% pour les autorités. Le projet de règlement sur la protection des données destiné à remplacer la Directive 95/46/CE va obliger les entreprises à progresser en la matière puisque celui-ci comprend l’obligation pour les organisations de notifier l’autorité en charge de la protection des données (la CNIL en France) dans les 72h suivant un vol de données. Les clients ou usagers concernés par le vol de leurs données personnelles devront également être informés rapidement.
Les moyens (techniques et organisationnels) de réaction aux crises de type cyber-attaque sont-ils réévalués ?
Par rapport à 2013, les entreprises ont progressé suivant le modèle d’amélioration continue de leurs dispositifs de réponse aux cyber-attaques. Elles sont aujourd’hui 21% à les réévaluer chaque année et 11% après chaque test, contre 17% et 7% dans la précédente édition de cette étude. Notons que seules 18% d’entre elles réévaluent leurs moyens de réaction après une cyber-attaque, ce qui ralentit leur montée en maturité.
Votre entreprise dispose-t-elle d’une ou plusieurs solutions techniques de réaction ?
Alors que 82% des entreprises estiment constituer une cible, 34% d’entre elles n’ont déployé aucune solution technique leur permettant de faire face à une cyber-attaque. Lorsqu’ils existent, ces outils sont dédiés à la prévention ou à la détection des attaques. 70% des entreprises seraient par ailleurs démunies face à une attaque de type DDoS.
ConclusionLes entreprises disposent de moyens de réaction, mais restent trop peu structurées d’un point de vue organisationnel pour faire face efficacement aux attaques. Trop peu d’entre elles mobilisent une équipe dédiée à la réponse aux incidents. Les activités de cette équipe doivent également s’inscrire dans un processus de gestion de crise prévoyant la sollicitation d’experts– en communication et juridiques notamment– et la notification des autorités compétentes. La réglementation obligera en effet bientôt les entreprises à notifier rapidement l’autorité en charge de la protection des données personnelles ainsi que leurs clients dont les données auraient pu être dérobées. Les utilisateurs doivent en outre également être impliqués dans la stratégie de réponse à une cyber-attaque dans la mesure où leur comportement peut contribuer à contenir l’ampleur et la gravité de l’attaque. L’ensemble des moyens de réaction doit enfin être régulièrement réévalué pour les adapter aux évolutions techniques et organisationnelles.
OU
I, AU
TRES
OU
I, AN
T-AP
T
OU
I, AN
TI-D
DO
S
NO
N, A
UCU
NE
OU
I, O
UTI
LS D
E PR
ÉVEN
TIO
N
OU
DE
DÉT
ECTI
ON
OU
I - A
UTR
ES
OU
I - M
ÉDIA
S
OU
I - S
ALAR
IÉS
OU
I, U
NE
CELL
ULE
DE
CRIS
E
NO
N
OU
I - A
CTIO
NN
AIRE
S
OU
I - A
UTO
RITÉ
S
(BEF
TI, O
CLCT
IC…)
OU
I - A
UTR
ES
OU
I - M
ÉDIA
S
OU
I - S
ALAR
IÉS
NO
N
OU
I - A
CTIO
NN
AIRE
S
OU
I - C
LIEN
TS
32%18% 50% 42%8% 33%20%
34%17%2% 54%30%
32%18% 50%8% 33%24%
30 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 31
Votre entreprise a-t-elle défini des processus de notifications et de communication ?
Si la moitié des organisations interrogées indiquent avoir défini des processus de notifications et de communication à l’égard de leurs salariés, seules 24% en ont prévu pour leurs clients et 20% pour les autorités. Le projet de règlement sur la protection des données destiné à remplacer la Directive 95/46/CE va obliger les entreprises à progresser en la matière puisque celui-ci comprend l’obligation pour les organisations de notifier l’autorité en charge de la protection des données (la CNIL en France) dans les 72h suivant un vol de données. Les clients ou usagers concernés par le vol de leurs données personnelles devront également être informés rapidement.
Les moyens (techniques et organisationnels) de réaction aux crises de type cyber-attaque sont-ils réévalués ?
Par rapport à 2013, les entreprises ont progressé suivant le modèle d’amélioration continue de leurs dispositifs de réponse aux cyber-attaques. Elles sont aujourd’hui 21% à les réévaluer chaque année et 11% après chaque test, contre 17% et 7% dans la précédente édition de cette étude. Notons que seules 18% d’entre elles réévaluent leurs moyens de réaction après une cyber-attaque, ce qui ralentit leur montée en maturité.
Votre entreprise dispose-t-elle d’une ou plusieurs solutions techniques de réaction ?
Alors que 82% des entreprises estiment constituer une cible, 34% d’entre elles n’ont déployé aucune solution technique leur permettant de faire face à une cyber-attaque. Lorsqu’ils existent, ces outils sont dédiés à la prévention ou à la détection des attaques. 70% des entreprises seraient par ailleurs démunies face à une attaque de type DDoS.
ConclusionLes entreprises disposent de moyens de réaction, mais restent trop peu structurées d’un point de vue organisationnel pour faire face efficacement aux attaques. Trop peu d’entre elles mobilisent une équipe dédiée à la réponse aux incidents. Les activités de cette équipe doivent également s’inscrire dans un processus de gestion de crise prévoyant la sollicitation d’experts– en communication et juridiques notamment– et la notification des autorités compétentes. La réglementation obligera en effet bientôt les entreprises à notifier rapidement l’autorité en charge de la protection des données personnelles ainsi que leurs clients dont les données auraient pu être dérobées. Les utilisateurs doivent en outre également être impliqués dans la stratégie de réponse à une cyber-attaque dans la mesure où leur comportement peut contribuer à contenir l’ampleur et la gravité de l’attaque. L’ensemble des moyens de réaction doit enfin être régulièrement réévalué pour les adapter aux évolutions techniques et organisationnelles.
OU
I, AU
TRES
OU
I, AN
T-AP
T
OU
I, AN
TI-D
DO
S
NO
N, A
UCU
NE
OU
I, O
UTI
LS D
E PR
ÉVEN
TIO
N
OU
DE
DÉT
ECTI
ON
OU
I - A
UTR
ES
OU
I - M
ÉDIA
S
OU
I - S
ALAR
IÉS
OU
I, U
NE
CELL
ULE
DE
CRIS
E
NO
N
OU
I - A
CTIO
NN
AIRE
S
OU
I - A
UTO
RITÉ
S
(BEF
TI, O
CLCT
IC…)
OU
I - A
UTR
ES
OU
I - M
ÉDIA
S
OU
I - S
ALAR
IÉS
NO
N
OU
I - A
CTIO
NN
AIRE
S
OU
I - C
LIEN
TS
32%18% 50% 42%8% 33%20%
34%17%2% 54%30%
32%18% 50%8% 33%24%
32 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 33
Chapitre 4Récupération
Votre entreprise est-elle équipée d’outils permettant la traçabilité / l’enregistrement / la collecte des traces et preuves de l’agression détectée ?
Trop peu d’organisations (44%) disposent de moyens permettant la traçabilité, l’enre-gistrement, la collecte des traces et preuves des agressions avérées. Or ces éléments sont essentiels à l’identification des failles et à la mise en place d’actions correctives.
Intro-ductionQuels moyens les entreprises déploient-elles pour réparer les conséquences d’une cyber-attaque ?Si la majorité des entreprises sont conscientes de leur exposition aux cyber-attaques, elles ne prennent pas toujours les mesures leur permettant d’être résilientes en cas d’attaque avérée. En cas d’agression, il est important de pouvoir collecter des éléments rendant possible la compréhension des ressorts de l’attaque ainsi que d’identifier les lacunes de ses dispositifs de protection. Au-delà de la réaction technique, les entreprises doivent être à même de réagir en matière juridique et d’assurance pour limiter l’impact des attaques sur leurs finances. 1 Oui : 44%
2 Non : 56%
21
Collecter des preuves
32 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 33
Chapitre 4Récupération
Votre entreprise est-elle équipée d’outils permettant la traçabilité / l’enregistrement / la collecte des traces et preuves de l’agression détectée ?
Trop peu d’organisations (44%) disposent de moyens permettant la traçabilité, l’enre-gistrement, la collecte des traces et preuves des agressions avérées. Or ces éléments sont essentiels à l’identification des failles et à la mise en place d’actions correctives.
Intro-ductionQuels moyens les entreprises déploient-elles pour réparer les conséquences d’une cyber-attaque ?Si la majorité des entreprises sont conscientes de leur exposition aux cyber-attaques, elles ne prennent pas toujours les mesures leur permettant d’être résilientes en cas d’attaque avérée. En cas d’agression, il est important de pouvoir collecter des éléments rendant possible la compréhension des ressorts de l’attaque ainsi que d’identifier les lacunes de ses dispositifs de protection. Au-delà de la réaction technique, les entreprises doivent être à même de réagir en matière juridique et d’assurance pour limiter l’impact des attaques sur leurs finances. 1 Oui : 44%
2 Non : 56%
21
Collecter des preuves
34 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 35
ConclusionLe déploiement d’outils et de moyens liés à la récupération après une cyber-attaque reste insuffisant dans les entreprises. Dans un contexte où la probabilité d’occurrence d’une telle agression est élevée pour les grands groupes, les PME comme les organisations du secteur public, d’avantage doit être fait pour se préparer à limiter les conséquences d’une cyber-attaque. D’un point de vue technique, les entreprises doivent investir dans des moyens techniques et humains permettant de tirer les enseignements des attaques qu’elles subissent pour améliorer leurs dispositifs de détection et de réaction. Elles doivent également s’appuyer sur les contrats d’assurance complétant les polices classiques et couvrant notamment les frais d’expertise technique, d’extorsion, de communication de crise, de justice ou encore les pertes directes et indirectes suite à une cyber-attaque.
Votre entreprise dispose-t-elle de moyens d’analyse post-mortem des incidents de sécurité (forensic) ?
Comme en 2013, plus du tiers des organisations n’est pas en mesure d’analyser les incidents post mortem, alors que davantage d’entre elles mènent des investigations après avoir constaté une anomalie. Il leur est donc difficile de comprendre le mode opératoire des assaillants et d’évaluer précisément l’impact de l’attaque sur le système d’information et les données de l’entreprise. Elles ne sont par conséquent pas à même de capitaliser sur les incidents de sécurité et restent exposées à des attaques de même nature.Cela augmente également les conséquences des attaques pour les entreprises qui sont en incapacité de déposer plainte.
1
2
3
1 Oui, par des dispositifs internes : 27%
2 Oui, par des interventions externes : 37%
3 Non : 36%
Votre entreprise a-t-elle défini les processus permettant la prise en compte des aspects juridique et assurance (dossier de plainte / dossier de preuve, estimation du préjudice subi, demande d’indemnisation) suite à une cyber-attaque ?
La proportion d’entreprise déclarant avoir anticipé les démarches juridiques et assurantiels consécutives à une cyber-attaque n’a pas progressé par rapport à 2013. Ce manque de préparation peut mettre en péril la récupération, voire la pérennité d’une entreprise fortement fragilisée par une attaque.
1 Oui : 39%
2 Non : 61%
1
2
34 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 35
ConclusionLe déploiement d’outils et de moyens liés à la récupération après une cyber-attaque reste insuffisant dans les entreprises. Dans un contexte où la probabilité d’occurrence d’une telle agression est élevée pour les grands groupes, les PME comme les organisations du secteur public, d’avantage doit être fait pour se préparer à limiter les conséquences d’une cyber-attaque. D’un point de vue technique, les entreprises doivent investir dans des moyens techniques et humains permettant de tirer les enseignements des attaques qu’elles subissent pour améliorer leurs dispositifs de détection et de réaction. Elles doivent également s’appuyer sur les contrats d’assurance complétant les polices classiques et couvrant notamment les frais d’expertise technique, d’extorsion, de communication de crise, de justice ou encore les pertes directes et indirectes suite à une cyber-attaque.
Votre entreprise dispose-t-elle de moyens d’analyse post-mortem des incidents de sécurité (forensic) ?
Comme en 2013, plus du tiers des organisations n’est pas en mesure d’analyser les incidents post mortem, alors que davantage d’entre elles mènent des investigations après avoir constaté une anomalie. Il leur est donc difficile de comprendre le mode opératoire des assaillants et d’évaluer précisément l’impact de l’attaque sur le système d’information et les données de l’entreprise. Elles ne sont par conséquent pas à même de capitaliser sur les incidents de sécurité et restent exposées à des attaques de même nature.Cela augmente également les conséquences des attaques pour les entreprises qui sont en incapacité de déposer plainte.
1
2
3
1 Oui, par des dispositifs internes : 27%
2 Oui, par des interventions externes : 37%
3 Non : 36%
Votre entreprise a-t-elle défini les processus permettant la prise en compte des aspects juridique et assurance (dossier de plainte / dossier de preuve, estimation du préjudice subi, demande d’indemnisation) suite à une cyber-attaque ?
La proportion d’entreprise déclarant avoir anticipé les démarches juridiques et assurantiels consécutives à une cyber-attaque n’a pas progressé par rapport à 2013. Ce manque de préparation peut mettre en péril la récupération, voire la pérennité d’une entreprise fortement fragilisée par une attaque.
1 Oui : 39%
2 Non : 61%
1
2
CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 3736 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Chapitre 5Sensibilisation
Des campagnes de sensibilisation à la sécurité de l’information auprès des collaborateurs sont-elles planifiées ?
Engagées dans l’implication des utilisateurs dans leurs dispositifs de détection des attaques, 77% des entreprises déclarent mener des campagnes de sensibilisation auprès de leurs collaborateurs. Le tiers les sensibilise aux risques de cyber-attaques. Cette sensibilisation est d’autant plus importante que la plupart des attaques ciblent majoritairement les utilisateurs.L’amélioration de la résilience des entreprises face aux cyber-attaques passe donc par une systématisation et une récurrence de l’implication des utilisateurs en matière de prévention, de détection, mais également de réaction aux attaques.
Cyber-attaque33%
Information44%
Non23%
CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 3736 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Chapitre 5Sensibilisation
Des campagnes de sensibilisation à la sécurité de l’information auprès des collaborateurs sont-elles planifiées ?
Engagées dans l’implication des utilisateurs dans leurs dispositifs de détection des attaques, 77% des entreprises déclarent mener des campagnes de sensibilisation auprès de leurs collaborateurs. Le tiers les sensibilise aux risques de cyber-attaques. Cette sensibilisation est d’autant plus importante que la plupart des attaques ciblent majoritairement les utilisateurs.L’amélioration de la résilience des entreprises face aux cyber-attaques passe donc par une systématisation et une récurrence de l’implication des utilisateurs en matière de prévention, de détection, mais également de réaction aux attaques.
Cyber-attaque33%
Information44%
Non23%
CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 3938 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
1
2
3
Les moyens (techniques et organisationnels) de réaction aux crises de type cyber-attaque sont-ils réévalués ?
Par rapport à 2013, les entreprises ont progressé suivant le modèle d’amélioration continue de leurs dispositifs de réponse aux cyber-attaques. Elles sont aujourd’hui 21% à les réévaluer chaque année et 11% après chaque test, contre 17% et 7% dans la précédente édition de cette étude. Notons que seules 18% d’entre elles réévaluent leurs moyens de réaction après une cyber-attaque, ce qui ralentit leur montée en maturité.
1 Oui - sans scénario cyber-attque : 7%
2 Oui - avec un scénario cyber-attque : 28%
3 Non : 65%
Conclusion généraleDepuis notre précédente étude, en 2013, les entreprises ont véritablement pris la mesure de la menace que constituait pour elles les cyber-attaques. Beaucoup reste cependant à faire pour assurer un niveau de résilience optimal aux entreprises, petites ou grandes. Les entreprises se sont en effet investies dans la lutte contre la cybercriminalité, mais cette préparation reste trop théorique dans la mesure où elles réalisent encore trop peu de simulations de cyber-crise et ne réévaluent pas régulièrement leurs dispositifs de détection et de réaction. La nature et l’ampleur de la menace exigent aujourd’hui de changer de paradigme en passant d’un modèle de défense rigide s’appuyant sur la dissuasion et la prévention à une réponse globale incluant des moyens de réaction aux attaques. Pour ce faire, les entreprises doivent davantage entraîner leurs collaborateurs– les équipes techniques comme les utilisateurs– à identifier les signes d’une attaque en cours. Elles doivent également œuvrer à l’amélioration continue de leurs outils de détection et de réponses ainsi qu’à celle de leurs dispositifs organisationnels. Enfin, notre étude a mis en évidence un dangereux manque de maturité des petites et moyennes entreprises qui restent moins outillées et organisées que les grands groupes face aux cyber-attaques. Or elles ne sont pas moins exposées à cette menace et peuvent être fatalement fragilisées par un vol de données ou un acte de sabotage de leur SI.
ConclusionL’expérience montre que les attaques actuelles s’appuient généralement sur des scénarios ciblant les utilisateurs. Ces derniers doivent par conséquent être impliqués dans tous les dispositifs de lutte contre les cyber-attaques. Cela implique non seulement de communiquer auprès d’eux pour leur permettre de jouer un rôle passif dans la sécurité du SI, mais aussi de leur donner un rôle actif. Plus concrètement, il s’agit de dépasser le modèle selon lequel l’utilisateur était invité à éviter les comportements à risques pour atteindre une nouvelle forme de défense intégrant l’utilisateur en matière de prévention, de détection et de réaction.
CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 3938 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
1
2
3
Les moyens (techniques et organisationnels) de réaction aux crises de type cyber-attaque sont-ils réévalués ?
Par rapport à 2013, les entreprises ont progressé suivant le modèle d’amélioration continue de leurs dispositifs de réponse aux cyber-attaques. Elles sont aujourd’hui 21% à les réévaluer chaque année et 11% après chaque test, contre 17% et 7% dans la précédente édition de cette étude. Notons que seules 18% d’entre elles réévaluent leurs moyens de réaction après une cyber-attaque, ce qui ralentit leur montée en maturité.
1 Oui - sans scénario cyber-attque : 7%
2 Oui - avec un scénario cyber-attque : 28%
3 Non : 65%
Conclusion généraleDepuis notre précédente étude, en 2013, les entreprises ont véritablement pris la mesure de la menace que constituait pour elles les cyber-attaques. Beaucoup reste cependant à faire pour assurer un niveau de résilience optimal aux entreprises, petites ou grandes. Les entreprises se sont en effet investies dans la lutte contre la cybercriminalité, mais cette préparation reste trop théorique dans la mesure où elles réalisent encore trop peu de simulations de cyber-crise et ne réévaluent pas régulièrement leurs dispositifs de détection et de réaction. La nature et l’ampleur de la menace exigent aujourd’hui de changer de paradigme en passant d’un modèle de défense rigide s’appuyant sur la dissuasion et la prévention à une réponse globale incluant des moyens de réaction aux attaques. Pour ce faire, les entreprises doivent davantage entraîner leurs collaborateurs– les équipes techniques comme les utilisateurs– à identifier les signes d’une attaque en cours. Elles doivent également œuvrer à l’amélioration continue de leurs outils de détection et de réponses ainsi qu’à celle de leurs dispositifs organisationnels. Enfin, notre étude a mis en évidence un dangereux manque de maturité des petites et moyennes entreprises qui restent moins outillées et organisées que les grands groupes face aux cyber-attaques. Or elles ne sont pas moins exposées à cette menace et peuvent être fatalement fragilisées par un vol de données ou un acte de sabotage de leur SI.
ConclusionL’expérience montre que les attaques actuelles s’appuient généralement sur des scénarios ciblant les utilisateurs. Ces derniers doivent par conséquent être impliqués dans tous les dispositifs de lutte contre les cyber-attaques. Cela implique non seulement de communiquer auprès d’eux pour leur permettre de jouer un rôle passif dans la sécurité du SI, mais aussi de leur donner un rôle actif. Plus concrètement, il s’agit de dépasser le modèle selon lequel l’utilisateur était invité à éviter les comportements à risques pour atteindre une nouvelle forme de défense intégrant l’utilisateur en matière de prévention, de détection et de réaction.
