Cyber-attaques :Comment les combattre ?Gérer les risques connus, anticiper les risques futurs

Synthèse de l’étude annuelle sur la sécurité de l’information 2013

Et si vous étiez en ce moment même victime 3 d’une cyber-attaque ?

1. Améliorer 4

2. Déployer 6

3. Innover 8

Combattre les cyber-attaques nécessite 10 un engagement au plus haut niveau et un dispositif complet

Sommaire

Cyber-attaques : comment les combattre ? - Gérer les risques connus, anticiper les risques futurs / 3

De nombreuses organisations ont appris, souvent à leurs dépens, que les cyber-attaques sont moins une question de « si » que de « quand ».

La diffusion d’atteintes à la sécurité des systèmes d’information des entreprises a augmenté de façon exponentielle ces dernières années, autant en raison d’une activité accrue des hackers que du fait de la pression grandissante des autorités de régulation, qui demandent que soient rendus publics ces incidents.

Chaque jour, dans le sillage des innovations technologiques, de nouveaux risques toujours plus complexes émergent, augmentant de façon significative la vulnérabilité des actifs des organisations.

Il s’agit, bien entendu, de couvrir les risques actuels, mais également d’anticiper les risques liés aux nouveaux usages tout en s’adaptant à la modification en profondeur des systèmes d’information, à l’image des « stratégies digitales » mises en œuvre par de nombreuses organisations. L’objectif est avant tout de prévenir les éventuels dommages – tangibles (perte de données confidentielles, préjudices financiers) et intangibles (réputation) – ainsi que de limiter l’impact des incidents qui pourraient survenir.

Cette année encore, le Global Information Security Survey d’EY souligne une amélioration du niveau de sécurité de l’information dans la plupart des sociétés interrogées. Les organisations ont conscience qu’elles vont devoir affronter de plus en plus de cybercriminels, non localisables, souvent mus par des considérations politiques et technologiquement très avancés. D’ailleurs, 59 % des entreprises déclarent constater une augmentation des menaces externes.

Malgré des avancées notables en termes de solutions déployées par les entreprises face à ces menaces, de nombreux efforts sont encore à fournir. En effet, 31 % des professionnels affirment que le nombre d’incidents liés à la sécurité a augmenté au sein de leur société ces 12 derniers mois. Des mesures renforcées semblent nécessaires pour réduire l’écart entre le niveau moyen actuel de protection des organisations et celui qui leur permettrait de faire face à des cyber-attaques à haut niveau de risque.

Afin d’alimenter cette réflexion, l’enquête 2013 explore trois niveaux de réponse aux cyber-risques :

1. Améliorer la compréhension des menaces et renforcer les systèmes existants de sécurité de l’information ;

2. Déployer les bonnes pratiques sur un périmètre plus large et adopter une démarche proactive de prise en compte des nouvelles menaces ;

3. Innover en matière de sécurité de l’information et concevoir des solutions adaptées aux technologies actuelles et futures.

Dans cette synthèse, vous trouverez les principaux résultats de l’étude annuelle d’EY sur la sécurité de l’information. Cette 16e édition s’appuie sur une enquête menée entre juin et juillet 2013 auprès de 1 900 professionnels, dans 64 pays. Le panel se compose de DSI, RSSI, DAF et PDG, issus de 25 secteurs d’activité différents.

L’étude apporte un éclairage sur les pratiques actuelles en matière de sécurité, les progrès encore à accomplir, et identifie les axes d’amélioration qui permettront aux organisations de se préparer à un avenir qui ne manquera pas de les mettre à l’épreuve.

Et si vous étiez en ce moment même victime d’une cyber-attaque ?

4 / Cyber-attaques : comment les combattre ? - Gérer les risques connus, anticiper les risques futurs

1. AméliorerLa connaissance des cyber-menaces et une sensibilisation de tous les niveaux de l’entreprise favorisent l’efficacité des dispositifs de sécurité. La plupart des organisations ont réalisé d’importantes avancées en matière de gestion de la sécurité de l’information…

des répondants indiquent que les politiques de sécurité de l’information sont portées par la direction

43%des répondants indiquent que les budgets alloués à la sécurité de l’information sont en hausse

des organisations voient leurs responsables de la sécurité de l’information présenter un rapport au comité de direction tous les trimestres

46%des dépenses des 12 prochains mois concerneront l’amélioration, le déploiement et l’innovation de la sécurité de l’information

des organisations réalisent des auto-évaluations -ou commanditent un audit externe indépendant- des mesures de sécurité mises en œuvre par les tiers qui accèdent à leurs données

68%des répondants citent les plans de continuité d’activité et les plans de secours comme leurs deux priorités majeures

70%

35%

76%

Cyber-attaques : comment les combattre ? - Gérer les risques connus, anticiper les risques futurs / 5

… mais leurs initiatives se focalisent principalement sur des risques connus, alors que les menaces se complexifient et s’intensifient. De plus, les entreprises pâtissent d’un manque de compétences et de moyens, doublé d’une faible anticipation des menaces.

des répondants citent le manque de ressources compétentes comme un frein à la création de valeur

31%des répondants déclarent que le nombre d’incidents liés à la sécurité a augmenté ces 12 derniers mois

des répondants déclarent que l’informatique mobile a augmenté leur niveau d’exposition aux risques

65%des répondants citent les contraintes budgétaires comme principal obstacle à la création de valeur ajoutée pour l’entreprise

50%

45%

62%des organisations n’ont pas aligné leur stratégie de sécurité sur leur niveau d’aversion au risque

32%des répondants déclarent que le phishing (pratique qui consiste à amener l’utilisateur à divulguer des informations personnelles) a augmenté leur niveau d’exposition aux risques

6 / Cyber-attaques : comment les combattre ? - Gérer les risques connus, anticiper les risques futurs

La plupart des entreprises ont amélioré leur programme de sécurité au cours des douze derniers mois. Cependant, il apparaît que certaines entreprises leaders sont allées encore plus loin afin d’anticiper de manière proactive à la fois les risques connus mais aussi ceux à venir. Au travers de nos entretiens, nous avons identifié 10 bonnes pratiques de sécurité, regroupées en 4 axes d’action majeurs. Actionner la totalité de ces leviers permet une amélioration significative du niveau de sécurité de l’information au sein des organisations.

Déployer

Soutien du management

1. Un soutien fort de la direction

• Déterminer le niveau de risque acceptable par le management afin d’établir une direction claire et précise

• Evaluer la performance actuelle de la sécurité de l’information et les critères de réussite

• Comprendre comment les incidents de sécurité peuvent affecter l’activité de l’entreprise

• Entretenir une culture de la sécurité de l’information à tous les niveaux de l’entreprise

Alignement organisationnel

2. Une stratégie commune et alignée

• Développer une stratégie forte qui réponde aux objectifs de toutes les parties prenantes

• Aligner la stratégie de sécurité sur la stratégie globale de l’entreprise

• Construire une organisation de la sécurité de l’information et un modèle opérationnel en mesure d’anticiper les menaces

3. Un investissement soutenu dans la cyber-sécurité

• Définir les priorités afin de cadrer les investissements

• Réduire les dépenses relatives à la maintenance et à la gestion des incidents

• Augmenter le budget alloué à la consolidation et l’innovation

RH, processus et technologies

4. Une diversification des compétences des collaborateurs

• Informer les employés de leurs responsabilités (utilisation appropriée des biens, propriété intellectuelle, données et ressources technologiques de l’entreprise)

• Sélectionner et recruter les personnes dotées des bonnes compétences

• Faire de la sécurité de l’information un élément de l’évaluation de la performance des collaborateurs

5. Des processus flexibles et diffusés en interne

• Décrire les processus de sécurité pour clarifier les règles et les procédures et avoir un vocabulaire commun

• S’aligner sur un standard de sécurité reconnu (ISO 27001)

6. Des efforts technologiques doublés d’initiatives stratégiques

• S’assurer que la sécurité de l’information fait partie intégrante des projets IT

• Aligner les efforts de protection de l’information sur la sécurité des produits, la robustesse des services et/ou l’expérience client

2.

Cyber-attaques : comment les combattre ? - Gérer les risques connus, anticiper les risques futurs / 7

Mise en œuvre opérationnelle

7. Une volonté d’amélioration continue

• Mettre en place une cellule de réflexion sur les capacités d’innovation de l’entreprise en matière de sécurité de l’information pour anticiper les risques liés aux nouvelles technologies

8. Une sécurité fonctionnelle solide

• Comprendre le lien entre sécurité physique et sécurité réseau à l’ère des appareils sans fil

• Veiller à une bonne collaboration entre les équipes sécurité, les ressources humaines, la DSI et le département juridique

• Mener des analyses de risques systématiques sur les technologies émergentes

9. Analyses et reporting fiables

• Dédier une équipe au reporting • Présenter à la direction l’impact des cyber-menaces sur le P&L, le bilan, la réputation et la marque

10. Un environnement flexible

• Aligner les différentes lignes de défense à l’aune des responsabilités de chacun afin d’éviter les zones de non couverture ou les chevauchements

• Identifier les actifs critiques et leur niveau de vulnérabilité

Si chaque entreprise peut être la cible potentielle d’une cyber-attaque, certaines situations accentuent encore davantage ce risque :

• Changement organisationnel ou structurel majeur ;• Fusion ou acquisition, qui implique de nouvelles politiques et processus

à harmoniser ;• Entrée sur de nouveaux marchés, qui s’accompagne souvent de

réglementations et d’usages différents ; • Atteintes ponctuelles à l’image de l’entreprise, qui focalisent son attention

et demandent des réponses en urgence, pouvant créer de multiples portes d’entrée pour les cybercriminels.

65%des sociétés étudiées disposent de programmes de veille des menaces très peu matures, voire quasiment inexistants

8 / Cyber-attaques : comment les combattre ? - Gérer les risques connus, anticiper les risques futurs

Innover3.

Dans le cadre de notre étude, nous avons demandé aux répondants de classer 13 technologies émergentes en fonction de leur importance pour leur activité, de leur familiarité (connaissance de ces technologies), et de leur confiance dans leur capacité à gérer les risques inhérents à ces technologies.

1. Technologies et tendances actuelles

• Smartphones and tablets ;

• Software applications ;

• Web-based applications ;

• Social media.

2. Technologies et tendances en devenir

• Big data : grands volumes de données structurées ou non, exploitées en appui de la prise de décision ou de la création de nouveaux produits et services ;

• Enterprise application store : dispositif permettant aux employés de télécharger et d’installer des applications dont l’usage fonctionnel est souvent totalement maîtrisé par eux ;

• Supply chain management : technologies impliquant la maîtrise de l’impact des acteurs externes (clients, fournisseurs, partenaires, etc.) sur la sécurité ;

• Cloud service brokerage (courtage en Cloud) : service où la responsabilité de la sécurité (protection des données à caractère personnel et conformité) incombe au courtier ;

• BYOC (Bring Your Own Cloud) : autorisation laissée à l’employé de travailler via son propre environnement de Cloud Computing.

3. Technologies et tendances futures

• In-memory computing : stockage de données et traitements directement réalisés en mémoire, à des fins de performance ;

• Internet of things (Internet des objets) : capteurs intégrés ou technologies de reconnaissance d’images pouvant être utilisés dans des programmes de sécurité ou dans des objets de la vie courante ;

• Digital money (monnaie électronique) : technologie qui s’accompagne de réglementations et législations visant à lutter contre la fraude et le blanchiment d’argent liés au « mobile money » ;

• Cyber havens (cyber-paradis) : pays acceptant l’hébergement de données sans contraintes ou régulations strictes.

Pour être réellement innovantes en matière de sécurité de l’information, les organisations doivent sans cesse « scruter l’horizon » et identifier pour chaque technologie émergente les usages associés et les niveaux de risques engendrés. Cette approche nécessite un investissement financier et humain significatif afin d’atteindre le niveau de maturité suffisant.

Cyber-attaques : comment les combattre ? - Gérer les risques connus, anticiper les risques futurs / 9

Technologies et tendances

Confi

ance

dan

s le

niv

eau

de m

aîtr

ise

de la

tech

nolo

gie

(en

% de

répo

ndan

ts)

Familiarité avec la technologie (en % de répondants)

70

60

50

40

30

20

10

010 20 30 40 50 60 70

Smartphones and tablets

In-memory computing

Internet of things

Web-based applications

Enterprise application store

Social media

Big data

Digital money

Cyber havens

BYO cloudCloud service brokerage

Software applications

Supply chain management

Technologies et tendances futures

Technologies et tendances actuelles

Technologies et tendances en devenir

Technologies et tendances actuelles

Technologies et tendances en devenir

Technologies et tendances futures

Niveau d’importance (la taille du cercle est proportionnelle à l’importance déclarée par les répondants)

26%BYO (Device and Cloud)

19%In-memory computing

71%Software applications

Quelles technologies considérez-vous aujourd’hui importantes pour votre entreprise ?

Le graphique et les résultats ci-dessus illustrent le fait que les entreprises interrogées considèrent comme plus importantes les technologies et tendances actuelles que les technologies et tendances futures, soulignant ainsi un réel manque de vision stratégique pour les années à venir.

10 / Cyber-attaques : comment les combattre ? - Gérer les risques connus, anticiper les risques futurs

Les entreprises progressent indéniablement dans la gestion des cyber-risques qu’elles connaissent déjà. Cependant, seuls 17 % des professionnels interrogés dans le cadre de notre enquête estiment que leurs dispositifs de sécurité de l’information répondent entièrement aux besoins actuels de leur entreprise.

Des progrès significatifs restent encore à faire, surtout quand on sait que le volume de cyber-attaques encore inconnues des entreprises continue de croître de façon exponentielle, notamment avec l’émergence de nouvelles technologies de plus en plus complexes à maîtriser. Pourtant, ce sont ces mêmes technologies en cours de développement qui seront indispensables aux équipes marketing et relation client pour soutenir les ventes dans un contexte de crise…

Afin de résoudre ce paradoxe et de trouver des solutions innovantes, l’accent doit être mis sur la sensibilisation des collaborateurs, l’augmentation des budgets et l’allocation judicieuse des ressources humaines et techniques dans l’innovation. Ces efforts doivent être portés jusqu’au plus haut niveau de l’organisation. Dans la lutte contre les cyber-menaces, la solution n’est d’ordre technique que pour une faible part : il s’agit plutôt d’une question de bonne gouvernance.

Les dirigeants le savent, les cyber-attaques ne vont pas cesser. Ils ont désormais intégré qu’une faille dans le périmètre de sécurité de leur organisation pouvait perturber les activités clés, miner la confiance des parties prenantes, entacher la réputation de la marque et causer de graves dommages financiers.

Les problématiques de sécurité de l’information ne doivent donc pas être seulement perçues comme une nécessaire mise en conformité ou un centre de coûts supplémentaires. Les dirigeants doivent appréhender la sécurité de l’information comme une réelle opportunité, bénéfique pour l’entreprise comme pour le consommateur final. Ils ne doivent plus seulement avoir conscience des cyber-attaques mais voir plus loin, devenir proactifs. En un mot, être visionnaires.

Combattre les cyber-attaques nécessite un engagement au plus haut niveau et un dispositif complet

Contacts

Pascal AntoniniAssocié, Ernst & Young & Associés+33 1 46 93 70 34pascal.antonini@fr.ey.com

Sofiane-Maxime KhadirDirecteur Associé, Ernst & Young Advisory+33 1 46 93 52 20sofiane.maxime.khadir@fr.ey.com

EY | Audit | Conseil | Fiscalité & Droit | Transactions

EY est un des leaders mondiaux de l’audit, du conseil, de la fiscalité et du droit, des transactions. Partout dans le monde, notre expertise et la qualité de nos services contribuent à créer les conditions de la confiance dans l’économie et les marchés financiers. Nous faisons grandir les talents afin qu’ensemble, ils accompagnent les organisations vers une croissance pérenne. C’est ainsi que nous jouons un rôle actif dans la construction d’un monde plus juste et plus équilibré pour nos équipes, nos clients et la société dans son ensemble.

EY désigne l’organisation mondiale et peut faire référence à l’un ou plusieurs des membres d’Ernst & Young Global Limited, dont chacun est une entité juridique distincte. Ernst & Young Global Limited, société britannique à responsabilité limitée par garantie, ne fournit pas de prestations aux clients. Retrouvez plus d’informations sur notre organisation sur www.ey.com.

© 2013 Ernst & Young Advisory.Tous droits réservés.

Studio EY France - 1312SG367

Document imprimé conformément à l’engagement d’EY de réduire son empreinte sur l’environnement.

Cette publication a valeur d’information générale et ne saurait se substituer à un conseil professionnel en matière comptable, fiscale ou autre. Pour toute question spécifique, vous devez vous adresser à vos conseillers.

ey.com/fr

Retrouvez toutes nos études sur EY Insights