Enquête Dell 2016 sur la sécurité des données, RAPPORT COMPLET · Enquête Dell 2016 sur la...

Enquête Dell 2016 sur la sécurité des donnéesRAPPORT COMPLET

La sécurité des données est enfin en train d’obtenir la place qu’elle mérite dans les réunions de conseil d’administration du monde entier. Pendant des années, elle est passée au second plan, même lorsque les cadres informatiques essayaient de convaincre les équipes métier qu’elle devait jouer un rôle clé dans le processus de décision. À présent, tous les décideurs, qu’ils soient du département informatique ou des départements métier, œuvrent en faveur de la sécurité des données dans les entreprises. En effet, ils sont désormais conscients de la protection qu’elle apporte, mais également des opportunités qu’elle représente.

Malgré tout, il reste encore beaucoup à faire. Bien que les entreprises admettent les avantages de la sécurité des données, elles ont du mal à développer des programmes qui l’intègrent efficacement sans nuire à leurs autres initiatives. Et même si elles ont mis en place des outils pour répondre aux besoins de sécurité des données, elles restent mal à l’aise lorsqu’il s’agit d’implémenter ou d’étendre des programmes reposant sur ces technologies.

En novembre 2015, Dell a commandé une enquête complète sur la manière dont les décideurs informatiques des entreprises de taille intermédiaire (et les cadres dirigeants) perçoivent les évolutions en matière de sécurité des données et l’impact de ces dernières sur leur activité. Les résultats de cette enquête reposent sur les réponses de plus de 1 300 décideurs informatiques et métier travaillant dans sept pays différents.

Même si quelques-unes des conclusions sont surprenantes, la plupart d’entre elles ont tout simplement fourni des chiffres concrets qui vont dans le sens des tendances que nous avons observées auprès de nos propres clients et partenaires. Nous avons distillé les renseignements obtenus dans le cadre de cette toute première enquête Dell sur la sécurité des données pour faire connaître les préoccupations spécifiques des entreprises de taille moyenne en la matière.

NOUS ABORDERONS PLUSIEURS TENDANCES CLÉS, DONT LES SUIVANTES :

MÉTHODOLOGIELe cabinet Penn Schoen Berland a mené une enquête en ligne auprès de 1 302 professionnels travaillant aux États-Unis, en Europe et dans la zone Asie-Pacifique, Japon inclus. Les personnes interrogées étaient des décideurs informatiques et métier. L’enquête a eu lieu entre le 19 novembre et le 8 décembre 2015.

Les décideurs métier et informatiques connaissent de mieux en mieux le domaine de la sécurité des données. Toutefois, bon nombre d’entreprises ont encore des efforts à faire pour se protéger correctement.

La sécurité des données est devenue une priorité pour les cadres dirigeants. Toutefois, il reste difficile d’avoir un temps d’avance sur les menaces.

Malgré le soutien accru des cadres dirigeants, les départements informatiques ont encore besoin d’aide pour intégrer totalement la sécurité des données.

Les logiciels malveillants et les attaques inquiètent les décideurs informatiques et métier.

Les employeurs se sentent obligés de limiter la mobilité pour protéger les données.

Les personnes interrogées considèrent que leurs données sont exposées à des risques sur les plateformes de Cloud public.

1.

2.

3.

4.

5.

Enquête Dell 2016 sur la sécurité des données 02

INTRODUCTION


La sécurité des données est devenue une priorité pour les cadres dirigeants. Toutefois, il reste difficile d’avoir un temps d’avance sur les menaces.

Même si les cadres dirigeants semblent plus impliqués dans la sécurité des données que par le passé, les équipes informatiques ont le sentiment qu’ils n’accordent pas suffisamment de temps ni de ressources pour répondre correctement aux défis de sécurité des données.

D’après les résultats de l’enquête, près de 3 décideurs sur 4 admettent que la sécurité des données est l’une des priorités des dirigeants de leur organisation, mais s’inquiètent du fait que les hauts dirigeants ne s’intéressent pas assez aux problématiques et aux outils de sécurité des données, et ne soient pas bien informés sur le sujet. En fait, 1 décideur sur 4 pense que ses dirigeants ne sont pas informés sur les problèmes de sécurité. C’est le cas de près d’un tiers (32 %) des décideurs métier et de 1 décideur informatique sur 5.

Si les stratégies métier et les stratégies de cybersécurité ne sont pas développées conjointement, elles ne pourront pas réussir. Prenons un exemple : une équipe informatique élabore une stratégie de sécurité détaillée pour le siège de son entreprise, en s’assurant que le réseau est totalement sécurisé, que les appareils des employés font l’objet d’une maintenance régulière, et que la formation et la communication sont en place. Dans ce contexte, si le PDG annonce ensuite aux employés qu’ils peuvent travailler de chez eux, cela crée un énorme problème de sécurité. Autre exemple : même si un programme informatique est totalement sécurisé contre les menaces nationales, toute intégration professionnelle de sociétés étrangères représentera un risque. En d’autres termes, la cybersécurité n’est pas une notion purement technique ; il s’agit d’un impératif professionnel à prendre en compte dès le départ dans les nouvelles initiatives.

Les trois quarts des décideurs déclarent également que leurs dirigeants ont l’intention de renforcer les mesures de sécurité actuelles, et plus de la moitié s’attendent à voir augmenter les dépenses en matière de sécurité des données au cours des cinq prochaines années. Toutefois, le coût reste un obstacle lorsqu’il s’agit de renforcer des programmes de sécurité existants : 53 % des personnes interrogées n’envisageant pas d’ajouter de nouvelles fonctionnalités à l’avenir justifient cette décision par des considérations budgétaires. Par ailleurs, un quart seulement des décideurs se dit très confiants en la capacité de leurs dirigeants à prévoir un budget suffisant pour les solutions de sécurité des données au cours des cinq prochaines années.

Ces chiffres suggèrent que les dirigeants doivent s’engager davantage en ce qui concerne l’intégration de stratégies de sécurité des données à leur entreprise. Ils comprennent qu’il est nécessaire d’investir dans l’infrastructure de sécurité, mais cela ne se traduit pas par la mise à jour ni par l’extension de leurs systèmes actuels pour prévenir les attaques modernes comme il se doit.

Les équipes informatiques sont donc inquiètes. L’infrastructure existante peut servir de base à la sécurité des données, mais les menaces évoluent et augmentent chaque année, tout comme les vecteurs de menaces inhérents à l’environnement professionnel. Dans le monde connecté complexe d’aujourd’hui, un programme de sécurité renforcé et multifacette est véritablement l’unique solution pour empêcher les fuites. Pour que les départements informatiques et métier se rapprochent, il ne suffit pas que les dirigeants comprennent la sécurité des données. Cette dernière doit faire partie de leur état d’esprit et doit être prise en compte dans les phases de planification.

Cela ne veut pas dire que la sécurité doive limiter les initiatives métier. Au contraire, les équipes de sécurité doivent tout faire pour soutenir l’évolution de l’activité. En revanche, il faut reconnaître que, pour soutenir correctement les initiatives métier, les équipes informatiques doivent être impliquées dans les sessions de planification métier, et avoir accès à une infrastructure et à des solutions modernes.

PRINCIPALES CONCLUSIONS

01/



02/ Malgré le soutien accru des cadres dirigeants, les départements informatiques ont encore besoin d’aide pour intégrer totalement la sécurité des données.

Le manque d’effectifs est un défi permanent pour les équipes informatiques qui sont de plus en plus réduites alors que les initiatives de l’entreprise exigent de plus en plus de soutien. Le manque d’investissement dans des technologies rationalisées et la pénurie de ressources qualifiées font obstacle au perfectionnement des programmes de sécurité des données.

La majorité des décideurs (58 %) pense que leur société est affectée par le manque de professionnels de la sécurité qualifiés sur le marché actuel, car il peut entraîner l’utilisation de techniques et de pratiques de sécurité dépassées.

De même, 69 % des décideurs considèrent toujours la sécurité des données comme un fardeau en termes de temps et de budget. Cela prouve que les entreprises la voient toujours comme un élément rapporté, pas comme un processus qui favorise la mobilité. Ce qui est certain, c’est que les contraintes de temps et les coûts généralement induits par les solutions antivirus traditionnelles continuent d’affecter les départements informatiques.


Les logiciels malveillants et les attaques inquiètent les décideurs informatiques et métier.

Près des trois quarts (73 %) des décideurs sont assez à très préoccupés par les logiciels malveillants et les menaces avancées persistantes, alors que la majorité d’entre eux utilise déjà des logiciels contre les programmes malveillants pour assurer la sécurité des données de leur organisation. Les préoccupations concernant les menaces liées aux logiciels malveillants sont les plus marquées aux États-Unis (31 %, décideurs très préoccupés), en France (31 %, très préoccupés), et plus particulièrement en Inde (56 %, très préoccupés). Elles sont moins élevées en Allemagne (11 %, très préoccupés) et au Japon (12 %, très préoccupés). Seul un décideur sur cinq est très confiant quant à la capacité de son entreprise à se protéger contre les attaques malveillantes sophistiquées.

Par ailleurs, le fait que les employés n’aient pas réellement conscience de ces problèmes est perçu comme un grand risque. Les personnes interrogées sont plus préoccupées par les attaques de Spear-phishing (73 % sont très inquiètes) que par toute autre méthode.

Si les entreprises sont préoccupées par les programmes malveillants et les attaques externes, c’est qu’elles ont de bonnes raisons : les cyberattaques ne diminuent ni en nombre ni en efficacité. En effet, l’équipe Dell SonicWALL a identifié deux fois plus de signatures de programmes malveillants uniques en 2015 qu’en 2014, et le coût moyen des fuites de données a augmenté de 300 000 $. Les logiciels contre les programmes malveillants sont répandus, alors comment se fait-il qu’il existe un tel retard en matière de sécurité ?

La réponse, une fois encore, est en rapport avec le fait que les entreprises utilisent des outils obsolètes ou inefficaces et que leurs stratégies ne soient pas alignées. Lorsque les équipes informatiques n’ont pas les ressources ni l’intégration métier dont elles ont besoin pour implémenter des stratégies préventives, elles sont obligées de s’en tenir à des solutions défensives qui assurent uniquement la détection des menaces. Mais cela comporte des risques : si un appareil est corrompu, il n’aura peut-être pas le temps d’affecter les autres actifs de l’organisation avant que l’équipe informatique ne détecte et n’éradique la menace. En revanche, imaginez qu’un appareil du PDG soit corrompu et qu’un concurrent obtienne les calendriers de lancement des produits... Imaginez que les données des clients ou que d’autres informations sensibles soient stockées sur ce même appareil ou accessibles via l’application de messagerie électronique... Même si la fuite s’arrête là, l’organisation devra faire face à une perte potentielle représentant plusieurs millions de dollars.

De plus, les efforts requis pour réparer les dommages après une attaque peuvent être considérables, surtout vu le nombre d’attaques perpétrées chaque mois. Autre inconvénient, plus le nombre de programmes malveillants parvenant à déjouer les défenses du département informatique augmente, plus les employés sont nombreux à appeler le support technique, ce qui coûte encore plus cher à l’entreprise en termes de fonctionnement et de main-d’œuvre.

Le niveau de menace étant très élevé aujourd’hui, un programme de sécurité réactif n’est pas une solution rentable. L’infrastructure moderne est conçue pour identifier et prévenir les attaques des logiciels malveillants afin de protéger les données sensibles de votre organisation, même en cas de perte ou de vol d’un appareil. Bien entendu, la formation des employés joue également un rôle essentiel, car seule la prise de conscience des menaces courantes peut aider les employés à ne pas tomber dans le piège d’escroqueries ou d’autres comportements à risque.


03/

Malgré leur perception négative des programmes de sécurité des données, près de la moitié (49 %) des décideurs pensent qu’ils devront passer davantage de temps à sécuriser leurs données dans les cinq années qui viennent. Les équipes informatiques savent qu’elles doivent atteindre un niveau d’efficacité supérieur, mais cela leur semble très difficile.

Il est important de noter que 76 % d’entre elles pensent que leurs solutions seraient moins compliquées si elles étaient fournies par un seul et même fournisseur. Pour les entreprises qui comptent des centaines ou des milliers d’employés, la gestion distincte de chaque terminal via diverses consoles est particulièrement inefficace et entraîne une forte probabilité d’erreur utilisateur. L’implémentation d’une suite intégrée unique pour la gestion informatique

peut considérablement améliorer le processus.


Les employeurs se sentent obligés de limiter la mobilité pour protéger les données.

Il est courant d’entendre que les bureaux deviennent de plus en plus mobiles, mais la réalité n’est pas aussi simple que cela. Il s’avère qu’environ 82 % des décideurs essaient de limiter les points d’accès aux données pour renforcer la sécurité et que seuls 18 % d’entre eux sont absolument certains que les données sont sécurisées lorsque les employés y accèdent à distance. Par ailleurs, 72 % des décideurs pensent que le fait de savoir d’où les employés accèdent aux données favorisera l’efficacité des mesures de protection des données.

Les entreprises accordent davantage d’importance à la sécurité qu’à la flexibilité des employés : 67 % d’entre elles hésitent à lancer un programme BYOD (Apportez vos appareils personnels) et 65 % d’entre elles freinent leurs projets visant à accentuer la mobilité de leurs employés pour des raisons de sécurité. De plus, 69 % des personnes interrogées se disent prêtes à abandonner les appareils individuels pour protéger leur société des fuites de données.

En théorie, les entreprises cautionnent le fait que les employés demandent un programme de mobilité. Si l’on fait abstraction de la sécurité, 2 personnes interrogées sur 5 aimeraient accorder davantage de mobilité aux employés pour leur offrir une meilleure expérience utilisateur. Elles ne réalisent peut-être pas, en revanche, que le fait de sévir contre l’accès mobile est peine perdue. Environ la moitié des personnes de la génération Y s’attend à pouvoir travailler


04/


KEY FINDINGS

sur des appareils mobiles et, en réalité, 43 % des employés en rêvent aussi secrètement, même si leur entreprise n’a aucun programme de mobilité en place. Donc, lorsque les entreprises décident de ne pas établir de programme de mobilité sécurisé officiel, elles s’exposent à davantage de risques encore. Même celles qui réussissent à verrouiller les données en supprimant la flexibilité sur le lieu de travail risquent de perdre leurs meilleurs employés.

La difficulté est la suivante : avec les solutions de sécurité des données traditionnelles, les entreprises peuvent prendre en charge le chiffrement des données lorsqu’elles sont au repos sur un PC, sur un appareil mobile ou dans le Cloud. Mais les données ne sont pas souvent au repos... Elles sont déplacées, partagées et utilisées. Par conséquent, les entreprises doivent les chiffrer dans tous les cas d’utilisation (dans les messages électroniques, le partage de fichiers, l’ouverture d’un fichier, etc.). L’entreprise doit également assurer la gestion des droits pour contrôler quelles informations sont copiées et collées, partagées ou imprimées, et par qui. Les équipes de sécurité doivent planifier la protection tout au long du cycle de vie.

L’enquête a également révélé que 57 % des personnes interrogées sont toujours préoccupées par la qualité du chiffrement utilisé par leur entreprise. La solution consiste à utiliser un logiciel de chiffrement intelligent, capable de protéger les données dans tous les cas, qu’elles soient inactives, déplacées ou utilisées. Le chiffrement intelligent suit les données, pas seulement l’appareil, ce qui facilite considérablement la sécurité des terminaux pour les entreprises. Grâce à lui et à d’autres solutions mobiles, la mobilité et la sécurité peuvent facilement coexister avec les technologies modernes de sécurité des données. En revanche, aujourd’hui, il n’est plus possible de faire coexisterrestrictions excessives et satisfaction des employés.



Les personnes interrogées considèrent que leurs données sont exposées à des risques sur les plateformes de Cloud public.

Un nombre croissant d’employés utilise des services de Cloud public comme Box et Google Drive sur leur lieu de travail, et les entreprises doutent de leur capacité à maîtriser les risques qu’impliquent ces applications. Près de 4 personnes interrogées sur 5 sont préoccupées par les téléchargements de données stratégiques vers le Cloud, et 58 % d’entre elles le sont davantage que l’année précédente.

Comme pour la mobilité, les entreprises adoptent une approche visant à limiter le problème plutôt qu’à donner des moyens à leurs employés. Au sein de leur organisation, 38 % des décideurs n’ont qu’un accès limité aux ressources de Cloud public pour des raisons de sécurité. De plus, 57 % des décideurs qui utilisent des plateformes de Cloud

public et 45 % de ceux qui prévoient de le faire compteront sur les fournisseurs de Cloud pour assurer la sécurité.

05/

Parmi l’ensemble des réponses de cette enquête, ce qui nous a sans doute le plus surpris, c’est le fait que la sécurité soit fréquemment perçue comme un fardeau, comme une crainte ou comme un impératif impliquant de lourds sacrifices. Dans la réalité, les solutions de sécurité des données ont évolué de façon à coexister parfaitement avec les objectifs des entreprises. Elles ne sont plus un frein, et permettent désormais de soutenir la productivité et la rentabilité.

Le fait que les entreprises accordent de plus en plus d’attention à la sécurité des données est encourageant. Toutefois, les professionnels en la matière doivent continuer à sensibiliser leurs dirigeants afin de dissiper leurs

préjugés et de faire connaître au sein de l’entreprise la multitude d’opportunités et d’outils existants.

IL EST IMPORTANT DE COMMENCER PAR LES BASES :

Si les objectifs de l’entreprise évoluent, les programmes de sécurité doivent faire de même. Les défis auxquels les équipes informatiques sont confrontées sont plus grands que jamais, mais les technologies qui leur sont offertes pour les relever sont tout aussi puissantes. La sécurité ne doit pas entraver la productivité, la croissance ni l’évolution de l’activité. Si elle est abordée intelligemment et si elle obtient le budget et le soutien qu’elle mérite, elle peut donner davantage d’élan aux plus précurseurs des dirigeants.

S’assurer que les équipes de sécurité sont impliquées dans les initiatives métier dès le départ : les stratégies relatives à l’activité et à la sécurité ne pourront fonctionner que lorsqu’elles seront alignées.

Employer des technologies modernes de prévention des menaces : les systèmes existants ou uniquement conçus pour détecter les fuites ne pourront pas protéger les données stratégiques dans l’environnement hautement menacé d’aujourd’hui.

Protéger les données, pas seulement les terminaux : l’utilisation du chiffrement intelligent voyageant avec les données réduit considérablement les risques qu’un pirate ne parvienne à utiliser des données corrompues.

Investir dans une suite intégrée unique offrant des capacités de pointe : en facilitant la gestion des terminaux par votre équipe informatique, vous réduirez à la fois les coûts et les erreurs utilisateur.

•

•

•

•

Éléments à retenir

Signe inquiétant, malgré les avantages de productivité et de collaboration que représentent les solutions de Cloud public pour les entreprises de taille moyenne, seul un tiers d’entre elles prévoit de se concentrer sur l’amélioration de l’accès sécurisé aux environnements de Cloud public pour leur infrastructure de sécurité. Pourtant, 83 % d’entre elles indiquent que leurs employés utilisent ou utiliseront bientôt le Cloud public pour partager ou stocker des données précieuses.

Avec le chiffrement intelligent des données, même si une attaque contre Box ou Google Drive réussissait, les pirates ne pourraient pas lire les données chiffrées obtenues. En admettant que le programme de sécurité de l’entreprise touchée suive les pratiques d’excellence, les pirates auraient besoin des informations d’identification d’un employé autorisé, ainsi que de l’appareil professionnel de ce dernier pour déchiffrer les informations.

Les programmes de sécurité doivent permettre aux employés d’être à la fois protégés et productifs. Cela signifie qu’il faut leur fournir les technologies dont ils ont besoin pour travailler, pas les limiter. Les entreprises peuvent essayer de restreindre ou d’interdire l’utilisation du Cloud public, mais il est plus proactif et plus efficace de protéger les données dans tous leurs déplacements.

KEY FINDINGS


Enquête Dell 2016 sur la sécurité des données, RAPPORT COMPLET · Enquête Dell 2016 sur la...

Documents

Transcript of Enquête Dell 2016 sur la sécurité des données, RAPPORT COMPLET · Enquête Dell 2016 sur la...