CyberattaquesPrenez de l’avance sur les cybercriminelsJanvier 2015

Avant-propos

La 17e édition de l’étude annuelle d’EY sur la sécurité de l’information s’appuie sur une enquête menée auprès de 1 825 professionnels dans 60 pays. Le panel se compose de DSI, DAF, PDG, directeurs de l’audit interne, responsables de la sécurité des systèmes d’information, issus de 25 secteurs d’activité différents.

L’étude met en lumière le positionnement actuel des entreprises en matière de cybersécurité et les actions que celles-ci doivent mettre en œuvre pour conserver une longueur d’avance sur les cybercriminels.

Les dégâts causés par les cyberattaques, notamment en matière d’image, sont avérés. La question n’est plus tant de savoir si les organisations seront attaquées un jour, mais comment y faire face.

L’étude montre que le niveau de maturité des entreprises en matière de cybersécurité est en progrès, mais qu’il reste encore trop faible pour la plupart d’entre elles. Elles doivent adapter leur programme de cybersécurité en fonction de leurs évolutions stratégiques et opérationnelles (par exemple, une fusion-acquisition ou la mise en œuvre d’une nouvelle application) et de leur environnement externe. Enfin, elles doivent non seulement anticiper les risques mais surtout être capables de détecter les incidents et d’y réagir efficacement.

Les cybercriminels sont de plus en plus nombreux et puissants. Dans les études précédentes, les entreprises interrogées estimaient que les employés étaient la première source des incidents de sécurité, qu’ils soient accidentels ou volontaires. Cette année, les menaces extérieures sont presque autant citées.

La cybercriminalité ne connaît pas la crise

Les obstacles à la cybersécurité

Les sources des attaques selon les répondants

Trois barrières doivent être dépassées pour permettre aux entreprises de lutter efficacement contre la cybercriminalité :

X Le manque d’adaptation

Les entreprises mettent trop de temps à faire face au changement et à s’adapter.

X Le manque de budget

Le budget alloué à la sécurité a augmenté ces dernières années, mais pour la première fois, celui-ci n’évolue pas pour 43% des entreprises interrogées.

X Le manque de compétences

Le manque de spécialistes en cybercriminalité au sein des entreprises est une problématique croissante. Pour 53% des entreprises interrogées, il s’agit d’un frein au développement de leur sécurité et seuls 5% possèdent une équipe dédiée aux menaces.

AnticiperLa fonction de cybersécuritéPressions internes accru

es

Men

aces

extérieures croissantes

Force de frappe

accrue des cyber-

criminels

Effacement

du périmètre

Mul

tiplic

atio

n

des c

yber

- m

enac

es

Manque

d’adaptation

Manque de budget

Manque de

compéte

nces

1. Approche statique 2. Approche dynamique 3. Approche proactive

X Il s’agit d’un jeu complexe de mesures de sécurité focalisées sur la protection de l’environnement actuel

Activer AnticiperAdapter

X Sur la base de la veille sur les cybermenaces, les attaques potentielles sont identifiées. Des mesures sont prises avant que des dommages soient causés

X Le système de cybersécurité change en même temps que l’environnement

X On est focalisé sur la protection de l’activité de demain

Afin d’alimenter la réflexion et d’aider les entreprises à évaluer leur maturité en matière de cybersécurité, EY a défini un modèle en trois paliers :

57% 53% 46% 41%Les employés Les organisations

criminellesLes « hacktivistes » Les hackers isolés

2 /

Activer Quel que soit leur niveau de maturité sur le sujet, les entreprises doivent réussir à maîtriser les exigences de base qu’implique la cybersécurité.

Pourtant, nombreuses sont celles qui n’ont même pas encore mis en place les fondamentaux de la cybersécurité, en prenant en compte les 5 enjeux critiques identifiés ci-dessous.

Enjeux Constats Conséquences

Appui du top management

X Les cybermenaces ne sont pas assez prises en compte par les instances de direction.

X Les cadres dirigeants doivent davantage s’impliquer dans la cybersécurité.

X Un manque d’implication de la part du management pourrait induire une réaction et un investissement trop tardifs sur des sujets clés de sécurité.

Ressources X Les ressources de l’entreprise ne sont pas adaptées et les équipes de cybersécurité n’ont pas assez de visibilité sur les attaques.

X Les cybermenaces sont négligées ou les organisations y répondent trop tardivement.

Performance X L’efficacité de la cybersécurité n’est pas mesurée.

X Les processus fondamentaux liés à la cybersécurité ne sont pas suffisamment appliqués, laissant une brèche grande ouverte pour les menaces avancées persistantes (APT).

Accès aux données X Les employés n’ont pas un accès approprié aux informations.

X Les incidents de sécurité ainsi que la fraude ont le plus souvent une origine interne.

Coût vs. Valeur X De nombreuses entreprises affirment que les coûts liés à la cybersécurité sont trop importants par rapport au bénéfice qu’elles en tirent.

X Les organisations doivent comprendre qu’elles sont quotidiennement exposées aux attaques, et que les moyens techniques utilisés par les attaquants sont de plus en plus sophistiqués.

Moins de 20% des organisations ont une vision claire et en temps réel des risques.

63% des répondants citent les contraintes budgétaires comme l’obstacle majeur à une cybersécurité créatrice de valeur.

20% disposent d’informations sur des cyberattaques subies par des entreprises du même secteur.

Près de 50% ne bénéficieront pas d’une augmentation de budget dans les 12 prochains mois.

La fonction de sécurité de l’information dépend hiérarchiquement du DSI dans 80% des cas ; seuls 14% sont rattachés à la direction générale.

Entre 35% et 45% des répondants estiment que leurs processus de cybersécurité doivent encore être significativement améliorés.

Près de 2/3 des répondants n’ont pas de programme de gestion des identités et des accès (Identity and Access Management ou IAM) bien défini et industrialisé.

Activer | Adapter | Anticiper

Cyberattaques — Prenez de l’avance sur les cybercriminels / 3

42% des organisations n’ont pas de centre des opérations de sécurité (SOC).

37% affirment ne pas avoir de vision en temps réel de leurs cyber-risques.

Comment le SOC répond aux besoins opérationnels ?

Notre SOC est très intégré : les responsables du SOC rencontrent souvent les responsables de l’activité de l’entreprise pour

comprendre les préoccupations stratégiques et les risques20%

Notre SOC reçoit chaque trimestre une mise à jour des préoccupations métiers et des risques associés 10%

Notre SOC reçoit annuellement une mise à jour des préoccupations métiers et des risques associés 12%

Le SOC n’interagit pas avec les métiers 22%

Ne sait pas 36%

Environ 10 minutes 12%

Environ 1 heure 25%

Environ 4 heures 13%

Environ 1 jour 13%

Plus de 1 jour 4%

Ne sait pas 33%

De la même manière, les entreprises ne savent pas comment le SOC met à jour ses connaissances sur les dernières menaces. Dans plus de 50% des cas, les répondants ne sont pas en mesure de répondre à la question, ou ne connaissent pas le temps que prend le SOC pour ouvrir une enquête sur un incident détecté.

Avant d’envisager une quelconque amélioration, les organisations doivent d’abord être mieux informées sur ce que leur SOC fait.

Dans l’ensemble, l’enquête montre que l’infrastructure technologique et les critères d’intervention du SOC ont besoin d’être améliorés.

Le Centre des opérations de sécuritéLe point de départ d’une cybersécurité efficace est la présence d’un centre des opérations de sécurité ou SOC (Security Operations Center), qui supervise et administre la sécurité de l’information. Même si le SOC est externalisé, il est important de s’assurer qu’il répond aux besoins de l’organisation et qu’il intègre des profils d’analystes sécurité.

Néanmoins, pour les structures qui en sont dotées en interne (58% des répondants), les bénéfices que pourrait en tirer l’organisation ne sont pas suffisamment communiqués ou compris. A la question : « Comment le SOC répond-il aux besoins opérationnels de l’entreprise ? », plus de la moitié des répondants déclarent que leur SOC n’interagit pas avec les métiers ou indiquent ignorer si c’est le cas.

Quel est le délai moyen requis par votre SOC pour ouvrir une enquête sur un incident de sécurité ?

4 /

Adapter

Les organisations doivent faire face à un cycle permanent de nouveaux défis et de nouvelles menaces. Elles doivent donc mettre en place des mesures permettant d’améliorer et de réévaluer en continu leur programme de cybersécurité.

Le cycle d’amélioration continue

Afin de ne pas laisser les cybercriminels gagner du terrain, il est essentiel d’aligner en permanence les mesures de sécurité, l’écosystème des menaces et des risques, et la stratégie de l’entreprise. On observe de nettes améliorations depuis quelques années. Cependant, pour la première fois depuis 5 ans, l’étude montre que les organisations reculent… Elles continuent d’améliorer leur niveau de sécurité mais elles se font « distancer » par la rapidité d’évolution de la menace, qu’elles prennent trop de temps à intégrer dans leurs référentiels de sécurité.

Par rapport aux résultats de l’étude 2013, on constate une diminution de la part de répondants affirmant que leur stratégie de sécurité de l’information répond aux besoins de leur organisation : 13% en 2014, contre 17% en 2013.

Prendre en charge

• Impliquer le top management

• Désigner un responsable de la sécurité senior

• Accepter des décisions difficiles et fixer un agenda

Mettre en œuvre et innover

• Mettre en place un programme de sécurité à l’échelle de toute l’entreprise

• Etre audacieux et créatif dans la transformation des mentalités et des opérations

Echanger

• Intégrer et aligner les mesures de cybersécurité avec la stratégie de l’entreprise

• Etablir un réseau dans toute l’organisation pour assurer l’intégration et la performance des mesures

• Sensibiliser et responsabiliser tous les acteurs

Réévaluer et continuer

• Définir des indicateurs d’évaluation et suivre les progrès

• Gérer les risques et les dépendances

• Demander des conseils externes

• Encourager le changement

Cycle d’amélioration

continue

Cyberattaques — Prenez de l’avance sur les cybercriminels / 5

Activer | Adapter | Anticiper

4 axes essentiels d’amélioration

1. Améliorer l’efficacité des centres d’opérations de sécurité (SOC)

X Le SOC est une brique fondamentale dans le dispositif de lutte contre les cybermenaces, or plus de 40% des entreprises interrogées ne disposent pas d’une telle structure.

X Seulement 1/3 des répondants pense que leur SOC est à jour des dernières menaces.

X Le SOC est généralement trop focalisé sur la technologie alors qu’il devrait se concentrer sur les métiers (ce qui doit être mesuré et supervisé).

X 22% des entreprises interrogées déclarent qu’il n’existe aucune interaction entre le SOC et les métiers de l’entreprise.

2. Créer une équipe dédiée à la cybersécurité

X Les organisations doivent consolider les approches et les activités de cybersecurité autour d’une équipe spécialisée : elles seront ainsi capables de s’adapter plus facilement aux nouvelles menaces.

X L’équipe spécialisée doit aussi se concentrer sur la formation, les compétences et la prise de conscience des salariés, afin que la sécurité de l’information soit intégrée au quotidien : les membres de cette équipe doivent agir en tant qu’ambassadeurs de la cybersécurité.

3. Responsabiliser les employés

X C’est une des clés pour faire évoluer les mentalités : si les salariés comprenaient que la sécurité de leur emploi est menacée parce que leur entreprise l’est, ils changeraient leur comportement.

X Afin de les sensibiliser, la cybersécurité doit être intégrée à leur fiche de poste et évaluée. Pourtant, 55% des entreprises n’incluent pas la sécurité de l’information dans les évaluations de performance.

X Pour impliquer davantage les employés sur les cybermenaces, les entreprises doivent les responsabiliser et les inciter à devenir « leurs yeux et leurs oreilles » ; chacun pourrait ainsi notifier d’éventuels faits suspects.

4. Dépasser les frontières de l’entreprise

X Les entreprises doivent regarder au-delà de leurs propres frontières et commencer par évaluer l’impact d’une cyberattaque sur leur « écosystème » : partenaires, fournisseurs, etc.

X Les bonnes pratiques de l’entreprise en matière de cybersécurité doivent être diffusées à l’ensemble de son écosystème afin de diminuer les risques d’attaques.

6 /

56%des entreprises interrogées déclarent ne pas être en mesure de détecter une cyberattaque complexe.

Etre prêt ! Aucune organisation ne peut prédire ou empêcher une attaque. En revanche, elle peut renforcer sa résilience face aux menaces et limiter les dommages causés par une attaque. Elle doit rester constamment en alerte et se tenir prête.

En apprenant à anticiper, l’organisation sera capable d’exploiter les opportunités offertes par la transformation digitale tout en minimisant les risques et les coûts qu’elle implique.

Comprendre les menaces de son environnement et établir un système de détection précoce L’organisation doit connaître la nature des cybermenaces, leur manifestation et leur impact. Pour se prémunir des attaques, il est recommandé d’identifier les informations sensibles de l’organisation afin de mettre en œuvre un dispositif de surveillance plus pertinent et de mieux utiliser les moyens mis en œuvre.

Impliquer l’ensemble des parties prenantes Dans un grand groupe, il est nécessaire de collaborer avec l’ensemble des parties prenantes qui composent l’écosystème de l’organisation (prestataires, vendeurs, etc.) afin de protéger les informations partagées.

Comment veillez-vous à ce que vos partenaires externes, vendeurs ou prestataires protègent l’information de votre entreprise ?

Evaluation réalisée par vos services de sécurité de l’information, du risque IT, des achats ou de l’audit

interne 56%

Auto-évaluation ou autre certification réalisée par les partenaires, vendeurs ou prestataire 34%

Toutes les parties prenantes sont notées selon leur potentiel de risque et des procédures appropriées sont

appliquées27%

Un suivi précis de tous les fournisseurs tiers, des connexions réseau et des transferts de données est

assuré et régulièrement mis à jour27%

Evaluation externe indépendante des partenaires, vendeurs ou prestataires 27%

Seuls les tiers jugés comme présentant les plus hauts risques sont évalués 24%

Pas d’évaluation ou vérification réalisée 13%

Les organismes de sous-services sont identifiés et des évaluations sont réalisées 8%

Anticiper

Cyberattaques — Prenez de l’avance sur les cybercriminels / 7

Activer | Adapter | Anticiper

Faire des économies grâce à la cybersécuritéMalgré l’augmentation des menaces, le budget alloué à la sécurité de l’information reste insuffisant. Pour que les entreprises prennent conscience du facteur financier de la cybercriminalité, des techniques économiques sont mises en place pour convertir en chiffres tangibles les retombées financières négatives des attaques.

Procéder à des exercices de simulation de cyberattaques pour pouvoir mieux y faire faceLes entreprises doivent tester leurs systèmes de défense et prévoir un plan en cas de cyberattaque. Seules 6% d’entre elles déclarent avoir un système avancé de détection des menaces (internes et externes). 23%

des entreprises interrogées déclarent que leur stratégie de sécurité de l’information a une vision prospective des trois à cinq ans à venir.

ConclusionLes cybercriminels exploitent toutes les avancées technologiques. Leurs techniques et méthodes sont de plus en plus sophistiquées et difficiles à contrer.

Les entreprises devront faire face à de nouveaux types d’attaques, et pour se protéger il est vital qu’elles mettent en place les bonnes fondations d’une défense non pas statique mais dynamique. Celle-ci doit être alignée aux enjeux et à la stratégie de l’entreprise et doit lui permettre ainsi de s’adapter à un environnement en constante évolution.

Avec cette dynamique, une réelle opportunité se dessine : la possibilité de prendre de l’avance sur la cybercriminalité, de se préparer à l’inconnu et d’anticiper les menaces avant qu’elles n’apparaissent.

Les entreprises doivent être proactives et doivent imposer la cybersécurité en tant que norme. Une fois les fondations posées, l’entreprise peut se concentrer en toute sécurité sur son cœur de métier, en évinçant le hacker et en devançant la cybercriminalité.

58%des organisations n’ont pas de département spécialisé dans les nouvelles technologies et leur impact sur la sécurité de l’information.

8 /

Les clés pour atteindre les trois paliers de maturité

Activer | Adapter | Anticiper

X Mettre en place une stratégie intégrée de réponse aux cybermenaces

X Travailler avec l’écosystème étendu de cybersécurité de l’organisation

X Considérer la cybersécurité en termes de performance financière

X Utiliser les derniers outils techniques permettant d’analyser d’où viennent les menaces

X Veiller à ce que l’ensemble de l’entreprise soit concernée par la cybersécurité

X Définir et mettre en œuvre un programme de transformation

X Décider ce qu’il faut garder en interne et ce qu’il faut externaliser

X Définir une matrice RACI pour la cybersécurité

X Définir l’écosystème de l’organisation (partenaires, fournisseurs, etc.) pour éviter les cyberattaques indirectes

X Mettre en place une formation de sensibilisation à la cybersécurité pour les salariés

X Evaluer la sécurité et mettre en place un plan d’actions

X Obtenir le soutien du comité exécutif pour une transformation de la sécurité

X Revoir et mettre à jour les procédures de sécurité

X Mettre en place un centre des opérations de sécurité et des contrôles de cybersécurité

X Tester les plans de continuité des opérations et les procédures de réponse aux incidents

Activer Adapter Anticiper

Contacts

Pascal AntoniniAssocié, Ernst & Young et AssociésTél. : +33 1 46 93 70 34Email : pascal.antonini@fr.ey.com

Sofiane-Maxime KhadirDirecteur Associé, Ernst & Young AdvisoryTél. : +33 1 46 93 52 20Email : sofiane.maxime.khadir@fr.ey.com

EY | Audit | Conseil | Fiscalité & Droit | Transactions

EY est un des leaders mondiaux de l’audit, du conseil, de la fiscalité et du droit, des transactions. Partout dans le monde, notre expertise et la qualité de nos services contribuent à créer les conditions de la confiance dans l’économie et les marchés financiers. Nous faisons grandir les talents afin qu’ensemble, ils accompagnent les organisations vers une croissance pérenne. C’est ainsi que nous jouons un rôle actif dans la construction d’un monde plus juste et plus équilibré pour nos équipes, nos clients et la société dans son ensemble.

EY désigne l’organisation mondiale et peut faire référence à l’un ou plusieurs des membres d’Ernst & Young Global Limited, dont chacun est une entité juridique distincte. Ernst & Young Global Limited, société britannique à responsabilité limitée par garantie, ne fournit pas de prestations aux clients. Retrouvez plus d’informations sur notre organisation sur www.ey.com.

© 2015 Ernst & Young Advisory.Tous droits réservés.

Studio EY France - 1412SG299 Crédits photos : DE : Aucune

Document imprimé conformément à l’engagement d’EY de réduire son empreinte sur l’environnement.

Cette publication a valeur d’information générale et ne saurait se substituer à un conseil professionnel en matière comptable, fiscale ou autre. Pour toute question spécifique, vous devez vous adresser à vos conseillers.

ey.com/fr