EY - La cybersécurité est-elle seulement une affaire de ... · Étude EY sur la sécurité de...

La cybersécurité est-elle seulement une affaire de protection ?Étude EY sur la sécurité de l’information 2018-2019

Étude EY sur la sécurité de l’information 2018-2019 Étude EY sur la sécurité de l’information 2018-2019

2


3

Édito

Cette année encore, les cyberattaques n’ont jamais été aussi nombreuses et sophistiquées.

Le coût moyen d’une cyberattaque a brisé le plafond des 3 millions de dollars. Près de deux milliards de dossiers contenant des informations personnelles ont été compromis entre janvier 2017 et mars 2018, et des millions d’identités ont été volées, nuisant aux finances et à la réputation d’entreprises dont le principal moteur de croissance était la relation de confiance bâtie en particulier avec leurs clients.

La transformation digitale de l’entreprise, le développement galopant des nouvelles technologies et la prolifération des appareils mobiles exposent les entreprises à de nouveaux risques, de plus en plus difficiles à cartographier. Les données personnelles et sensibles sont devenues la cible privilégiée des pirates. Plus aucune entreprise, quel que soit son secteur d’activité, n’est à l’abri.

Ce constat, souvent martelé, commence à trouver un écho favorable dans les entreprises qui allouent cette année un budget plus important à la cybersécurité et ont pris conscience de la vulnérabilité que représentent leurs employés mal informés. L’heure est à la formation et à la sensibilisation.

Ce mouvement coïncide avec l’entrée en vigueur du nouveau texte européen sur la protection des données personnelles (RGPD n°2016/679), qui incite les entreprises à être plus vigilantes et proactives et dispose que les régulateurs auront désormais le pouvoir d’appliquer des sanctions financières pouvant aller jusqu’à 4% du chiffre d’affaires mondial annuel en cas de violation délibérée ou de négligence.

S’il n’est pas toujours possible de prévenir et de repousser toutes les attaques, nous devons continuer à travailler ensemble afin d’imaginer des solutions toujours plus innovantes pour pouvoir prévenir en amont et détecter les actes malveillants, pour être en mesure de fournir une réponse rapide et efficace, et avoir une longueur d’avance sur les pirates.

Nous sommes heureux d’annoncer que cette année plus de 1 400 organisations ont pris part à notre enquête mondiale. Nous vous remercions d’avoir pris le temps de répondre au sondage. Vos réponses nous ont permis de collecter de nouvelles informations et d’avoir une vue d’ensemble sur les cybermenaces qui pèsent sur les entreprises, les clients et les fournisseurs. Elles nous permettent également de continuer à investiguer et développer des solutions sur mesure pour chaque entreprise, afin de participer à la construction d’un monde plus sûr.

Bonne lecture !

Marc Ayadi

Associé EY Consulting, Leader Cyber Western Europe & Maghreb


44

Quelques chiffres clés

550 millionsC’est le nombre d’e-mails d’hameçonnage envoyés en une seule campagne début 2018.6

729 000 $C’est la somme perdue par un homme d’affaires lors d’une arnaque combinant deux types d’hameçonnage : du catphishing et du whaling.7

1 464C’est le nombre de fonctionnaires d’un État australien qui ont pour mot de passe « Password123 ». 3

2 millionsC’est le nombre d’identités volées utilisées pour commenter la réforme de la neutralité du Net aux États-Unis.4

6,4 milliardsC’est le nombre d’e-mails frauduleux envoyés tous les jours à travers le monde.1

3,62 millionsC’est le coût moyen en dollars d’une atteinte à la sécurité des données en 2017.2

1 946 181 599C’est le nombre de documents contenant des informations personnelles et sensibles compromis entre janvier 2017 et mars 2018.5

1 Dark Reading, 27 août 2018. [www.darkreading.com/endpoint/64-billion-fake-emails-sent-each-day/d/d-id/1332677]2 Ponemon Institute, juillet 2017. [www.ponemon.org/blog/2017-cost-of-data-breach-study-united-states]3 The Washington Post, 22 août 2018. [www.washingtonpost.com/technology/2018/08/22/western-australian-government-officials-used-password-their-password-cool-cool]

4 Naked Security, 24 mai 2018. [nakedsecurity.sophos.com/2018/05/24/2-million-stolen-identities-used-to-make-fake-net-neutrality-comments/]5 Chronology of Data Breaches, mai 2018. [www.privacyrights.org/data-breaches]6 Dark Reading, 26 avril 2018. [www.darkreading.com/vulnerabilities---threats/new-phishing-attack-targets-550m-email-users-worldwide/d/d-id/1331654]7 SC Media, 28 décembre 2017. [www.scmagazine.com/home/resources/email-security/australian-loses-1-million-in-catphish-whaling-scam]


55

Sommaire

Méthodologie

Croître

Optimiser

Protéger01

040302

Étude EY sur la sécurité de l’information 2018-2019Étude EY sur la sécurité de l’information 2018-2019

Protéger01

Les questions à se poser

Quelles données devons-nous protéger en priorité ?>

Quels sont nos points faibles en matière de sécurité ? >

À quelles menaces devons-nous faire face ? >

Quels cybercriminels pourraient nous viser ? >

6

Notre sécurité a-t-elle déjà été compromise ?>

Notre protection est-elle à la hauteur de celle de nos concurrents ? >

Quelles sont nos obligations légales ? Les respectons-nous ?>

Étude EY sur la sécurité de l’information 2018-2019

7


Les 10 plus grosses menaces pesant sur les organisations

1. Hameçonnage

8. Attaques internes

2. Malware

9. Catastrophes naturelles

3. Cyberattaques (déstabilisation)

10. Espionnage

4. Cyberattaques (vol d’argent)

5. Fraudes

6. Cyberattaques (vol d’adresse IP)

7. Spam

Les 10 informations les plus convoitées par les cybercriminels

1. Informations sur l’utilisateur

8. Propriété intellectuelle

2. Données financières

9. Propriété intellectuelle non-brevetée

3. Plans stratégiques

10. Informations sur les fournisseurs

4. Informations sur un membre du conseil d’administration

5. Mots de passe

6. Informations de R&D

7. Informations de fusion-acquisition

2. Quels sont les enjeux ?

55%des entreprises n’intègrent pas de volet de cyberprotection dans leurs stratégies.

65%des entreprises envisagent une augmentation du budget l’année prochaine.

53%des entreprises ont revu leur budget à la hausse cette année.

1. Gouvernance

3. ProtectionLes tierce-parties augmentent considérablement les risques. Seules 15% des entreprises ont mené des actions pour prévenir ces menaces.

Les grandes entreprises sont plus avancées que les petites en matière de protection. 35% d’entre elles ont un programme de cyberprotection à jour, tandis que seulement un quart des petites entreprises peuvent en dire autant. 34%

des entreprises considèrent les employés négligents et mal informés comme étant leur plus importante source de vulnérabilité.


4. Failles de sécurité

8

Les prochaines étapes• Inscrire la cybersécurité dans l’ADN de l’entreprise et en faire une partie intégrante

de sa stratégie.

• Éduquer et sensibiliser aux techniques de hameçonnage ainsi qu’aux malwares. S’appuyer sur la technologie pour effectuer des simulations d’attaques.

• Étendre la stratégie de cybersécurité à tout l’écosystème de l’entreprise : les cybercriminels peuvent-ils profiter de la vulnérabilité de nos partenaires ? Voulons-nous continuer à travailler avec des partenaires vulnérables ? Comment pouvons-nous les aider ?

• Augmenter les budgets de sécurité en amont (plutôt qu’après les incidents) et se concentrer sur la détection des menaces et la gestion des crises, afin de réduire considérablement les risques.

Centre d’opérations et de sécurité (SOC) 16%

N’ont connu aucun incident significatif 46%

Division opérationnelle 24%

Tierce-partie 8%

Autre 6%

Failles découvertes via :

49% des répondants ne disposent pas d’un Security Operation Center (SOC) qu’il soit au sein de l’entreprise, outsourcé ou hybride.

20%des répondants n’ont pas de programme de détection des intrusions. Le niveau de maturité des capacités de détection reste perfectible et hétérogène selon les secteurs d’activités et la taille des organisations.

Le niveau de maturité des capacités de réponse aux incidents est relativement élevé au sein des organisations ayant déjà subi des incidents de sécurité ou soumises à des règlementations spécifiques. Cependant, pour être pleinement efficaces, les capacités de réaction doivent être adossées à des capacités de détection efficaces.

47% des répondants affirment disposer d’un programme de réponse aux incidents formel et à jour.

110010101100101011100101011001010101011PASSWORD101110010101100101011100101011001010111001010110010101

41%Le niveau de maturité des capacités de gestion des vulnérabilités s’est accru ces dernières années, mais reste encore perfectible. Le maintien à jour de ces programmes en matière de couverture du parc et de gestion des mises en œuvre des correctifs restent les principaux challenges pour les organisations.

ont un programme de gestion des vulnérabilités formel et à mis à jour. 28%

Seuls 28% des répondants estiment disposer de capacités formelles et à jour en matière de stratégie de veille (cyber threat intelligence).


Focus sectoriels

Les données relatives à la santé sont d’une valeur inestimable sur le dark web. Par conséquent, les organismes de santé sont une cible privilégiée des cybercriminels. Un organisme de santé sur trois a été victime d’une cyberattaque, et un sur dix a payé une rançon.

• Gouvernance. La moitié des entreprises du secteur de la santé disent avoir augmenté le budget alloué à la cybersécurité au cours des 12 derniers mois, et 66% prévoient d’en faire de même au cours des 12 prochains mois.

• Quels sont les enjeux ? 17% des entreprises du secteur considèrent que les données personnelles de leurs clients figurent parmi les données les plus recherchées par les cybercriminels. 25% d’entre elles expliquent que les malwares ont augmenté leur exposition aux risques.

• Protection. 33% des entreprises de ce secteur pensent que leur exposition aux risques a augmenté à cause d’employés négligents ou mal informés.

• Failles. Seules 18% des entreprises du secteur de la santé sont convaincues de pouvoir détecter une attaque sophistiquée.

• Gouvernance. 57% des entreprises de ce secteur ont augmenté leur budget pour lutter contre la cybercriminalité au cours des 12 derniers mois, et 68% vont l’augmenter au cours des 12 prochains mois.

• Quels sont les enjeux ? 15% des entreprises du secteur considèrent que les données personnelles de leurs clients figurent parmi les données plus recherchées par les cybercriminels. 14% d’entre elles considèrent que les plans stratégiques de l’entreprise ont cependant plus de valeur, et 27% pensent que le hameçonnage a eu pour conséquence d’augmenter leur exposition aux risques.

• Protection. 29% des entreprises de ce secteur déclarent que leur exposition aux risques a augmenté à cause d’employés négligents ou mal informés. 28% mettent en cause une architecture ou des contrôles de sécurité archaïques.

• Failles. 42% des entreprises du secteur de l’énergie disent ne pas avoir eu d’incidents majeurs en matière de cybersécurité au cours des derniers mois.

Santé Énergie

9


1010

Les questions à se poser

Quelle est notre stratégie en matière de cybersécurité ?>

Quelle est notre appétence au risque ? >

Avons-nous identifié les tâches à faible valeur ajoutée ? Pourrions-nous les exécuter plus efficacement et à moindre coût ? >

De quelle manière les nouvelles technologies telles que l’automatisation, l’intelligence artificielle et l’analyse de données peuvent-elles nous aider ?>

Que pouvons-nous arrêter de faire pour réduire les risques ? Comment pouvons-nous réinvestir les ressources libérées ?>>

10

Optimiser02


11

1. Où en sommes-nous aujourd’hui ?

2. Investissements prioritaires

8%Seules 8% des entreprises déclarent avoir des programmes de cybersécurité qui répondent à leurs besoins.

38%déclarent qu’elles ne réussiraient pas à détecter une cyberattaque sophistiquée.

Les ressources financières et humaines sont les principaux enjeux des entreprises : 30% d’entre elles rencontrent des difficultés pour embaucher et 25% doivent compter avec des restrictions budgétaires.

Priorités d’amélioration du système de sécurité lorsque des failles sont détectées : les entreprises gèrent-elles ces défis de manière adéquate ?

38%

62%

49% 51%

32%

68%

27%

73%64%

36%

76%

24%

Identification de la faille de sécurité

Investigations de sécurité

Gestion de la crise

Communication interne

Communication externe

Retour à la normale

Non Oui

<10%des entreprises pensent être avancées dans les domaines suivants :

• L’architecture de leur système de sécurité

• L’identification et la gestion des accès

• Les indicateurs de performance et les tableaux de bord

• La sécurité des logiciels

• La gestion de la cybersécurité confiée à un tiers

• La gestion des menaces et des vulnérabilités


12


4. Documenter les incidents

Les prochaines étapes• Développer les compétences analytiques pour améliorer la détection des menaces et

sensibiliser le conseil d’administration à la cybersécurité.

• Externaliser les fonctions d’investigations pour augmenter la réactivité de l’organisation lorsqu’une faille est détectée.

• Concentrer les investissements sur les dispositifs les plus efficaces et répartir équitablement les ressources entre ce qui peut être fait en interne et ce qui doit être délégué en externe.

• Garder un esprit critique sur les opérations de sécurité (qu’avons-nous déjà fait, quels sont les problèmes et où se trouvent-ils ?) afin d’améliorer la compréhension des menaces et rester dans l’action.

5%Seuls 5% des répondants affirment communiquer sur les conséquences financières des cyberattaques qu’elles subissent.

17%présentent des rapports sur ce qui pourrait être amélioré.

1100101011001010111001010110010101

110010101100101011100101011001010111001010110010101

11001010110010101

Les entreprises de plus petite taille vont devoir évoluer rapidement dans ce domaine dans la mesure où 23% d’entre elles ne génèrent toujours pas de rapports sur la sécurité, comparé à 16% des plus grandes entreprises.

12

3. Gestion interne ou externe ?

72% des grandes entreprises ont un centre de gestion des incidents contre 40% des petites et moyennes entreprises.

72% 40%

48%Surveillance de la sécurité du réseau en temps réel

46%Analyse des renseignements sur les incidents

39%Évaluation des failles et de leur gestion

25%Enquête sur les incidents

51%Investigations digitales et des malwares

54%Collecte de renseignements sur les incidents

40%Conception et mise en œuvre de tests de sécurité (protection et résilience)

75%Tests d’intrusion dans le système

Quelles tâches du centre de gestion des incidents sont gérées en externe ?

23%


13


Focus sectoriels

• Où en sommes-nous aujourd’hui ? Seulement 8% des entreprises interrogées pensent que leur infrastructure informatique remplit les exigences de l’entreprise, et 29% pensent qu’elles doivent l’améliorer ou qu’elles ne répondent pas à ses besoins. Plus de la moitié des entreprises (55%) prévoient d’améliorer leur infrastructure informatique.

• Investissements prioritaires. Plus de 10% des processus liés à la sécurité de l’information ne sont pas assez matures dans les domaines suivants : architecture, gestion de l’infrastructure, sensibilisation, gestion des risques, gestion des incidents, politique et standards de sécurité, surveillance, sécurité des logiciels, et gestion confiée à un tiers.

• Gestion interne ou externe ? Bien que de nombreuses tâches restent gérées en externe, 42% des entreprises de ce secteur possèdent leur propre centre de gestion des incidents. 80% délèguent les tests d’intrusion à des entreprises externes, 64%, la collecte des renseignements, 60%, la surveillance de la sécurité du réseau en temps réel, 57%, l’analyse des renseignements.

• Documenter les incidents. Seules 13% des entreprises de ce secteur affirment que les rapports concernant la sécurité des informations répondent à leurs attentes.

• Où en sommes-nous aujourd’hui ? Seules 6% des entreprises de ce secteur déclarent que leur infrastructure informatique répond aux besoins de l’entreprise. 65% prévoient de mettre en place les dispositifs nécessaires pour l’améliorer. Cependant 31% de ces entreprises avertissent que la pénurie de ressources qualifiées est un obstacle à l’amélioration des dispositifs de cybersécurité.

• Investissements prioritaires. Les entreprises de ce secteur sont inquiètes du manque de maturité de infrastructures informatiques dans les domaines suivants : l’architecture, la gestion d’actifs et les rapports de sécurité.

• Gestion interne ou externe ? 59% des entreprises du secteur des services financiers ont leur propre centre de gestion des incidents en interne : seuls les tests d’intrusion et les investigations sécurité sont gérés en externe.

• Documenter les incidents. Seulement 16% des entreprises du secteur déclarent que les rapports concernant la sécurité des informations répondent à leurs besoins. Malgré la faiblesse de ce pourcentage, elles sont plus avancées dans ce domaine que les entreprises d’autres secteurs.

13

Biens de consommation et distribution Services financiers

€


Croître03Les questions à se poser

Notre chaîne d’approvisionnement est-elle sécurisée ?>

Pouvons-nous en sécuriser les nouveaux maillons dès leur conception ?>

Quelle place doit occuper la cybersécurité dans le plan de transformation de l’entreprise ? >

Comment faire de la protection des données et de la vie privée un avantage concurrentiel ?>

La cybersécurité est-elle suffisamment abordée lors des conseils d’administration ?>>

Comment nos cadres supérieurs se l’approprient-ils ? Font-ils preuve de leadership sur les sujets qui concernent la cybersécurité ?>>

L’ensemble de notre écosystème est-il pris en compte dans notre stratégie de défense ? >

14


15

3. Révolution numériqueTop 3 des risques associés à l’utilisation croissante des appareils mobiles au sein de l’entreprise

29%

27%

11%

Utilisateurs peu conscients des risques et habitudes des utilisateurs

Perte d’un appareil électronique

Piratage d’un appareil

2. Leadership

60%des entreprises déclarent que la personne responsable de la cybersécurité ne siège pas au conseil d’administration.

40%Dans 40% des entreprises, le directeur informatique est également responsable de la cybersécurité.

1. Suivi stratégique Le conseil d’administration/exécutif comprend-il pleinement les enjeux de la sécurité des informations pour évaluer les cyberrisques et les mesures préventives nécessaires ?

3%

39%

31%

25%Oui

Compréhension limitée

Non, mais essaie de s’améliorer

Non, et ne cherche pas à s’améliorer

18%des entreprises interrogées déclarent que la sécurité de l’information influence la stratégie de leur entreprise au quotidien.


16

4. Nouvelles technologies

45%

48%

43%

48%

48%

25%

33%

50%

44%

15%41%Biométrique

Priorité d’investissements en 2018

52%11%

37%Cloud computing

16%52%

Informatique mobile

15%39%Intelligence artificielle

18%37%Automatisation

16%36%Machine learning

14%

37%Blockchain

27%Objets connectés

38%11%Analytics

Priorité élevée Priorité faible Priorité moyenne

Les prochaines étapes• Considérer la cybersécurité comme un élément clef de la stratégie de l’entreprise.

• Inscrire la cybersécurité à l’ordre du jour de l’ensemble des conseils d’administration et des comités non-exécutifs à venir.

• Faire de la cybersécurité un pilier de la stratégie de transformation de l’entreprise, son succès étant intimement lié à la confiance qu’accorderont ou non les clients à son alter ego numérique.

• Investir dans les nouvelles technologies, à l’instar des cybercriminels, notamment dans l’intelligence artificielle. Résister à la tentation de réduire vos investissements dans ce domaine clef.

16

8%des entreprises estiment que les smartphones ont augmenté le risque de failles de sécurité.

4%se déclarent inquiètes du développement des objets connectés.


17

4. Nouvelles technologies

Focus sectoriel

• Suivi stratégique. Plus de la moitié des entreprises du secteur TMT (53%) affirment que la sécurité de l’information fait partie intégrante de leur stratégie d’entreprise.

• Leadership. 47% des entreprises du secteur TMT déclarent que la personne en charge de la sécurité de l’information fait partie du conseil d’administration ou du comité exécutif.

• Révolution numérique. 16% des entreprises du secteur TMT estiment que leur risque d’exposition au risque a augmenté au cours des 12 derniers mois à cause des smartphones, des objets connectés et des réseaux sociaux.

• Nouvelles technologies. Les entreprises du secteur ont l’intention d’augmenter leur budget cybersécurité en investissant dans les nouvelles technologies, et plus particulièrement dans le Cloud computing qui représente 52% de l’augmentation budgétaire.

Technologies, médias et télécommunications (TMT)

17


18

La 21e édition de l’enquête mondiale sur la cybersécurité menée par EY s’appuie sur la participation de près de 1 400 professionnels et experts de la cybersécurité à travers le monde et issus de 20 secteurs d’activité différents. Les réponses à cette vaste consultation ont été recueillies entre avril et juillet 2018.

Dans cette étude, les grandes entreprises sont définies comme étant celles qui ont un revenu annuel égal ou supérieur à un milliard de dollars. Ce groupe représente un tiers des répondants. Les petites entreprises sont définies comme celles ayant un revenu annuel de moins d’un milliard de dollars. Ce groupe représente les deux tiers des répondants.

Nombre de salariés

PME : moins de 500 29%

ETI : de 500 à 5 000 40%

GE : plus de 5 000 31%

Secteur d’activité

Automobile et transports 8%

Banques et marchés de capitaux 18%

Biens de consommation et distribution 19%

Secteur public 9%

Santé 3%

Assurance 6%

Sciences de la vie 2%

Médias et divertissements 4%

Mines et métaux 2%

Pétrole et gaz 3%

Énergies et utilities 5%

Services professionnels 3%

Immobilier 4%

Technologies 8%

Télécommunications 4%

Gestion d’actifs 2%

Zone géographique

EMEIA

Japon

Amériques

Asie-Pacifique

4%

49%

29%

17%

04 Méthodologie


* Une question pertinente. Une réponse adaptée. Un monde qui avance.

© 2

018

EY A

dvis

ory.

Tou

s dr

oits

rése

rvés

. Stu

dio

grap

hiqu

e Fr

ance

180

1SG

047.

ED

Non

e

ey.com/fr

Comment sécuriser un monde en libre accès ?Avec EY, entrez dans l’ère de la transformation

#TransformativeAge

EY | Audit | Conseil | Fiscalité & Droit | Transactions

EY est un des leaders mondiaux de l’audit, du conseil, de la fiscalité et du droit, des transactions. Partout dans le monde, notre expertise et la qualité de nos services contribuent à créer les conditions de la confiance dans l’économie et les marchés financiers. Nous faisons grandir les talents afin qu’ensemble, ils accompagnent les organisations vers une croissance pérenne. C’est ainsi que nous jouons un rôle actif dans la construction d’un monde plus juste et plus équilibré pour nos équipes, nos clients et la société dans son ensemble.

EY désigne l’organisation mondiale et peut faire référence à l’un ou plusieurs des membres d’Ernst & Young Global Limited, dont chacun est une entité juridique distincte. Ernst & Young Global Limited, société britannique à responsabilité limitée par garantie, ne fournit pas de prestations aux clients. Retrouvez plus d’informations sur notre organisation sur www.ey.com.

© 2018 Ernst & Young Advisory.Tous droits réservés.

Studio BMC France - 1810BMC034.SCORE France N° 2018-070.Crédits photos : Getty. ED : NONE

Document imprimé conformément à l’engagement d’EY de réduire son empreinte sur l’environnement.

Cette publication a valeur d’information générale et ne saurait se substituer à un conseil professionnel en matière comptable, fiscale ou autre. Pour toute question spécifique, vous devez vous adresser à vos conseillers.

ey.com/fr

ContactsMarc Ayadi Associé EY Consulting, Cyber Leader Western Europe & Maghreb +33 1 46 93 73 92 [email protected]

Pascal AntoniniAssocié EY Consulting, Cyber Data Privacy leader Western Europe & Maghreb+33 1 46 93 70 [email protected]

Laurent PeliksAssocié EY Consulting, Cyber Transformation & Resilience leaderWestern Europe & Maghreb+33 1 46 93 86 [email protected]

Fabrice GroseilAssocié France EY Consulting, SOC leaderWestern Europe & Maghreb+33 1 46 93 71 [email protected]

Olivier PatoleDirecteur Associé EY Consulting, Cyber Intelligence Services leaderWestern Europe & Maghreb +33 1 46 93 78 [email protected]

EY - La cybersécurité est-elle seulement une affaire de ... · Étude EY sur la sécurité de...

Documents

Transcript of EY - La cybersécurité est-elle seulement une affaire de ... · Étude EY sur la sécurité de...