Gestion de la sécurité des données en France - étude 2016

L’évolution des menaces et de la gestion de la sécurité des données en France

RAPPORT FRANCE: Il est essentiel de renforcer la sécurité pour faire face à la multiplication d’attaques toujours plus diversifiées et répondre aux nouvelles réglementations européennes de protection des données personnelles.

Une étude menée par IDG Connect pour Proofpoint

01 Résumé graphique

02 Introduction

03 Violations courantes de sécurité

04 Principales inquiétudes en matière de sécurité

05 Niveau de préparation aux directives NIS et GDPR

06 La meilleure plate-forme de sécurité

07 Espace de déploiement sécurisé

08 Les responsabilités du personnel

09 Les défis de la sécurité des données

10 Priorité en matière de protection des données

11 Conclusion

RAPPORT FRANCE: L’évolution des menaces et de la gestion de la sécurité des données en France

1 | Une étude menée par IDG Connect pour Proofpoint

Violations couramment détectées

Un quart des entreprises françaises ont subi au moins cinq incidents d’accès interne non autorisé à des données, applications ou appareils au cours des deux dernières années.

Qui gère la sécurité dans les entreprises ?La responsabilité de la sécurité des données est souvent confiée au directeur informatique plutôt qu’à un responsable de la sécurité des systèmes d’information (RSSI) dédié ou à un agent interne de protection des données. Une telle approche peut entraîner la non-conformité aux nouvelles réglementations européennes en matière de protection des données.

Probabilité de dégâts suite à une attaque APTSi l’on en juge par les réponses reçues, les entreprises françaises estiment qu’il n’y a aucun risque de subir un préjudice par suite d’une attaque APT au cours des douze prochains mois. Pour 30 % d’entre elles, cette probabilité se situe entre 26 et 50 %.

01: Résumé graphiqueRésumé de l’étude

24 % Accès internes non autorisés à des données, applications ou appareils

18 % Logiciels malveillants « jour zéro »

18 % Attaques par hameçonnage

14 % Attaques ciblées

12 % Appareil perdu ou volé

8 % Fuite de données

8 % Rançongiciels (ransomware)

6 % Vol d’identifiants

39 % 1 – 25% chance

30 % 26 – 50% chance

30 % More than a 50% chance

0 % No chance

51 % Responsable informatique

41 % Directeur des systèmes d’information (DSI)

39 % Directeur de la technologie (DT)

37 % Responsable de la sécurité des systèmes d’information (RSSI)

24 % Agent interne de protection des données

8 % Agent externe de protection des données / consultant


Si de nouveaux types de menace apparaissent, d’autres se transforment et deviennent méconnaissables et indétectables par les défenses en place. Dans le même temps, les services informatiques et les dirigeants d’entreprise doivent répondre à des demandes toujours plus poussées en matière de protection des données : de la part des clients, des partenaires commerciaux, des organismes sectoriels et des régulateurs nationaux, européens et internationaux.

La version révisée de la réglementation générale de protection des données GDPR (General Data Protection Regulation) de la Commission européenne, par exemple, entrera en vigueur en 2017. Cette nouvelle réglementation viendra imposer aux entreprises de nouvelles obligations sur de nombreux points : collecte, conservation et traitement des données ; mesures de sécurité physique et numérique ; documentation et reporting ; élimination/destruction sécurisées des données ; évaluation des risques et conformité ; réaction en cas de violation ou d’intrusion.

Pour satisfaire aux exigences de la GDPR et tenir tête au piratage, les entreprises européennes doivent être en mesure d’identifier les attaques qui présentent le potentiel de réussite le plus élevé, d’évaluer l’importance des données et des systèmes qui seraient affectés, et se préparer aux conséquences de violations qui surviendront inévitablement.

Il faudra pour cela prendre des décisions difficiles quant aux infrastructures, aux processus et aux méthodes de gestion en place pour la protection des données. Il faudra également être constamment à l’affût des nouvelles stratégies, technologies et méthodologies, surtout quand elles rendent caducs les systèmes de défense classiques.

Cette transformation est pour une grande part déjà en cours. Selon les prévisions du cabinet d’études IDC, d’ici 2017, 75 % des grandes entreprises recevront des informations sur les menaces client adaptées à leur métier et spécifiques à la société, à la marque et à l’environnement. Par ailleurs, d’ici 2018, 15 % de la sécurité sera assurée sous forme de solution dans le cloud ou de plate-forme SaaS.

IDG Connect a interrogé une cinquantaine de décideurs informatiques en poste dans de grandes entreprises françaises. Il s’agissait de comprendre de quelle façon sont gérées les obligations de sécurité des données.

Il s’agissait aussi d’évaluer la solidité des défenses, des politiques et des processus existants, en prévision des défis qui s’annoncent.

Plus de la moitié (59 %) des personnes interrogées travaillent au sein d’entreprises de 5 000 salariés et plus, et 18 % dans des entreprises de plus de 20 000 salariés. Ces personnes interviennent dans des verticales très diversifiées, notamment les secteurs manufacturiers (18 %), techniques (16 %) et financiers (14 %).

La plupart (70 %) des personnes interrogées occupent un poste de responsable informatique, contre 26 % de cadres dirigeants, notamment directeurs des systèmes d’information (DSI), directeur de la technologie (DT), responsable de la sécurité des systèmes d’information (RSSI), PDG et vice-président.

02: IntroductionEn matière de sécurité des données, la situation change constamment. Aucune entreprise ne peut se permettre l’immobilisme face au risque que des informations sensibles de nature commerciale tombent dans de mauvaises mains.



Les rançongiciels, qui pénètrent dans les systèmes par le biais de fichiers téléchargés ou de failles dans le réseau, sont fréquemment propagés par des chevaux de Troie tels que CTB-Locker, CryptoLocker/Cryptowall et TorrentLocker. Ils peuvent donc être confondus avec d’autres types d’attaque. Le vol d’identifiants, où des pirates usurpent des informations client pour accéder à des comptes bancaires en ligne ou aux systèmes internes d’entreprises, est lui aussi souvent mal identifié et classé dans la catégorie des logiciels malveillants ou des attaques ciblées.

Les attaques ciblées semblent représenter un problème de moindre envergure pour les entreprises de plus de 10 000 salariés, que ce soit en France, en Allemagne ou au Royaume-Uni : 51 % d’entre elles ne déclarent aucune attaque de ce type, contre 31 % des entreprises de taille inférieure. Les fuites de données sont plus répandues parmi les entreprises de plus de 5 000 salariés. Cet état de fait peut être attribué au nombre même des employés, qui induit un plus grand risque de pertes de matériel et de négligence concernant les données sensibles et les identifiants.

Les logiciels malveillants « Jour zéro », les hameçonnages (phishing) et les attaques ciblées sont aussi des problèmes récurrents. En revanche, et comme ailleurs en Europe, les deux types d’attaques les moins susceptibles de frapper des entreprises françaises sont le vol d’identifiants et les « rançongiciels » (ransomware). Une part beaucoup plus réduite (55 % dans les deux cas) des réponses signalent une absence d’incident au cours des deux années écoulées. En effet, 8 % des entreprises interrogées indiquent plus de 7 attaques par rançongiciel, tandis que 6 % ont subi plus de 7 cas de vol d’identifiants. Ces chiffres semblent indiquer une sensibilisation particulière des sociétés françaises à ce type de vulnérabilité.

Selon d’autres études provenant des États-Unis, en revanche, l’hameçonnage serait le type d’attaque le plus courant dans ce pays. Dans l’édition 2015 de son Rapport sur les violations de données (DIBR, Data Breach Investigations Report), l’opérateur télécom américain Verizon note une augmentation constante du volume des attaques par hameçonnage, mais aussi de leur efficacité : de plus en plus d’utilisateurs se laissent convaincre d’ouvrir des messages ou des pièces jointes infectés.

Une autre analyse, réalisée par Proofpoint, indique une multiplication par 17 du nombre de messages avec pièces jointes malveillantes entre octobre 2014 et mars 2015. À l’inverse, les attaques sur le Web ont diminué sur la même période.

03: Violations courantes de sécuritéTypes d’attaques subies au moins cinq fois au cours des deux dernières années

ACCÈS INTERNES NON AUTORISÉS À DES DONNÉES, APPLICATIONS OU APPAREILS

24 %ATTAQUES CIBLÉES

14 %RANÇONGICIELS (RANSOMWARE)

8 %

LOGICIELS MALVEILLANTS « JOUR ZÉRO »

18 %APPAREIL PERDU OU VOLÉ

12 %VOL D’IDENTIFIANTS

6 %

ATTAQUES PAR HAMEÇONNAGE

18 %FUITE DE DONNÉES

8 %

Les entreprises françaises sont particulièrement sujettes à un volume élevé de violations en raison d’accès internes non autorisés à des données, applications ou appareils. Dans presque un quart des cas (24 %), les entreprises ont subi cinq incidents ou plus au cours des deux dernières années.



par les autorités réglementaires nationales et transnationales, et/ou que les politiques de signalement en interne des violations signifient que les autorités réglementaires ne seront pas forcément informées des violations.

Ce n’est pourtant pas faute de diligence de la part de la Commission nationale de l’informatique et des libertés. En 2014, la CNIL imposait en effet une amende de 150 000 € à Google, dont la politique de confidentialité, selon elle, n’informait pas suffisamment les utilisateurs sur les processus de collecte et d’utilisation de leurs données personnelles. La même année, la CNIL adressait un avertissement au groupe Orange à la suite d’une fuite de données ayant affecté quelque 1,3 million de clients. Au total, pour 2014, la CNIL a sanctionné financièrement huit sociétés et émis sept avertissements.

Si l’amende maximale imposée par la CNIL à ce jour ne s’élève qu’à 150 000 euros, les violations de données pourraient très bientôt être sanctionnées beaucoup plus sévèrement : la réglementation GDPR actuellement en cours d’élaboration prévoit pour ce type d’incident une amende maximale équivalant à 5 % du chiffre d’affaires annuel de l’entreprise.

Les conséquences d’une violation de données grave peuvent se faire sentir à plusieurs niveaux. Néanmoins, il apparaît nettement que les entreprises françaises craignent par-dessus tout trois facteurs, dont la combinaison pourrait sérieusement nuire à la fidélité de leur clientèle, à leur chiffre d’affaires et, par conséquent, à leurs résultats financiers.

La baisse de la confiance et de la fidélité des clients représente la plus grande inquiétude pour un peu plus d’un tiers des entreprises interrogées (37 %), suivie du préjudice pour la marque et la réputation (35 %), puis de la perte de contrats et de chiffre d’affaires (31 %).

Si le coût du « nettoyage » après un incident de sécurité (en termes d’heures de travail et de ressources mobilisées) ne se place jamais en tête de la liste des inquiétudes, il reste considéré comme un problème majeur par 53 % des entreprises interrogées.

Le renforcement des obligations réglementaires à satisfaire, le risque d’amende et les frais juridiques encourus, en revanche, semblent être moins préoccupants. Ce dernier point dénote que les entreprises françaises ne se sentent pas concernées par les pénalités financières actuellement susceptibles d’être imposées

04: Principales inquiétudes en matière de sécuritéConséquences des violations de données graves suscitant le plus d’inquiétude

BAISSE DE LA CONFIANCE ET DE LA FIDÉLITÉ DES CLIENTS

37 %

COÛT DES MESURES RÉACTIVES

12 %

FRAIS JURIDIQUES

8 %

PRÉJUDICE POUR LA MARQUE ET LA RÉPUTATION

35 %

OBLIGATIONS RÉGLEMENTAIRES SUPPLÉMENTAIRES

12 %

PERTE DE CONTRATS ET DE CHIFFRE D’AFFAIRES

31 %

AMENDES

12 %



Elle oblige également les « opérateurs d’infrastructures critiques » ou d’« infrastructures nationales critiques » (ce qui inclut les marchés de l’énergie et du transport autant que le secteur public) à mettre en place les mesures appropriées pour gérer les risques de sécurité et signaler les incidents graves aux autorités nationales compétentes.

Le projet initial proposait d’étendre ces obligations à tous les « fournisseurs clés de services de la société de l’information », donc aussi aux plates-formes de commerce en ligne, aux réseaux sociaux, etc. Cette idée a cependant été mise de côté à la suite de nombreuses objections sectorielles. Le parlement européen lui-même a jugé ces contraintes « disproportionnées et ingérables », préférant encourager ces entreprises à signaler volontairement les incidents.

La mise en conformité avec la directive de « cybersécurité » NIS et la réglementation GDPR devrait devenir obligatoire pour les entreprises françaises et européennes courant 2017.

Parmi les personnes interrogées par IDG Connect, pourtant, beaucoup expriment des doutes quant à la capacité de leur entreprise, aujourd’hui et demain, à satisfaire les obligations NIS/GDPR : la confiance dans cette préparation est de 59 % en 2015 puis 64 % en 2016 pour la NIS, et de 58 % en 2015 puis 66 % en 2016 pour la GDPR. Même si ces chiffres ne sont que légèrement inférieurs aux résultats obtenus au Royaume-Uni, ils indiquent un manque de confiance spécifiques aux entreprises françaises.

La GDPR et autres directives européennes concernant la protection des données entreront en vigueur au cours des deux prochaines années. Qu’il s’agisse des politiques de sécurité, des procédures de signalement ou des dispositions d’audit, les entreprises domiciliées ou implantées en Europe devront probablement transformer en profondeur leurs pratiques pour satisfaire à ce nouveau cadre législatif.

La législation GDPR vise à appliquer une seule et unique réglementation de protection des données dans tous les États de l’Union, pour mettre fin aux incohérences actuelles en termes d’application de la loi. Elle s’appliquera également aux entreprises opérant en Europe, même si les données traitées sont stockées ailleurs. En outre, la définition des données personnelles sera élargie pour inclure les adresses e-mail, les adresses IP et les publications sur les réseaux sociaux.

La directive de « cybersécurité » NIS (Network Information and Security) fixe pour chaque État membre trois prescriptions fondamentales : adopter une stratégie NIS, mettre en place une autorité NIS et créer un « mécanisme de coopération » pour le partage des informations de sécurité avec les autres pays de l’Union.

05: Niveau de préparation aux directives NIS et GDPRDe nombreuses entreprises ne sont pas sûres de pouvoir satisfaire aux nouvelles réglementations européennes en matière de protection des données

NIS 2015

NIS 2016

GDPR 2015

GDPR 2016



En tout état de cause, cela indique que les responsables informatiques en France restent plutôt ouverts quant au type de plate-forme de sécurité qu’ils pourraient acquérir à l’avenir. Cette absence de préjugé est une bonne nouvelle pour les fournisseurs de solution de sécurité cherchant à placer leurs produits de protection contre les menaces ciblées et sophistiquées.

Si nous analysons plus en détail les résultats pour l’ensemble de l’Europe, il ressort que les plus grandes entreprises (20 000 salariés et plus) sont les plus susceptibles de considérer les fournisseurs de services gérés et les solutions cloud hybrides comme les plus efficaces face à ce type de menace. Les solutions logicielles sur site sont ici moins bien notées.

Selon la nature et le volume des attaques, le fait de s’en remettre exclusivement à des systèmes de sécurité maison peut exposer l’entreprise à des dégâts plus importants. L’accès à une information externe de qualité et à une vision d’ensemble des menaces au niveau mondial peut aider les entreprises à prévoir les attaques les plus probables sur la base d’une analyse des données en temps réel et des données historiques, par exemple.

Les entreprises françaises manifestent une attitude très positive quant aux solutions de sécurité qu’elles jugent les plus efficaces face aux menaces ciblées et sophistiquées. Ni les services de sécurité gérés en externe, ni les plates-formes de sécurité SaaS, ni les solutions cloud hybrides ne jouissent d’une position particulièrement dominante dans leur esprit. En revanche, les solutions matérielles et logicielles dédiées sur site sont légèrement moins prisées.

Ces préférences très également distribuées sont néanmoins sans surprise. Elles s’expliquent par la complexité des infrastructures informatiques actuelles dans les entreprises, ainsi que par le caractère inévitablement disparate des produits de sécurité déployés dans les centres de données, sur les réseaux et sur les ordinateurs de bureau – variant même d’un endroit à l’autre dans les entreprises réparties entre plusieurs sites connectés par réseaux locaux et étendus (LAN/WAN).

06: La meilleure plate-forme de sécuritéPeu de différenciation dans les types de solution de sécurité jugés les plus efficaces

ÉQUIPEMENT MATÉRIEL ET LOGICIEL DE SÉCURITÉ GÉRÉS PAR LE FOURNISSEUR DE SERVICE

22 %

ÉQUIPEMENT MATÉRIEL DE SÉCURITÉ SUR SITE

19 %

SERVICE DE SÉCURITÉ CLOUD / SAAS

21 %

ÉQUIPEMENT LOGICIEL DE SÉCURITÉ SUR SITE

18 %

SERVICE DE SÉCURITÉ CLOUD HYBRIDE

20 %



Il en va de même du risque de fuite de données sur l’Internet public.

Du fait de la grande diversité des systèmes de sécurité déployés, il peut également y avoir une certaine équivoque quant à identifier ce qui se situe à l’intérieur de l’architecture locale et ce qui se situe en dehors. Par exemple, même si seulement 61 % des entreprises interrogées en France considèrent les passerelles Web et e-mail comme un espace de déploiement efficace (voire le plus efficace) pour une solution de protection, il faut garder à l’esprit que de telles passerelles peuvent être déployées aussi bien comme outil dédié sur site que comme partie intégrante d’une solution de sécurité plus complète sur le cloud.

À 53 %, la proportion des entreprises françaises considérant le terminal comme un espace de déploiement très efficace reste relativement faible. Ce résultat peut cependant s’expliquer en partie par la répartition des personnes interrogées pour cette étude en France, à savoir 74 % de responsables informatiques. En effet, c’est à eux qu’incombera généralement le déploiement, la configuration et la maintenance des solutions de sécurité sur l’ensemble du parc d’ordinateurs de bureau, de portables, de tablettes et de smartphones. La protection au niveau du terminal représente donc pour cette catégorie spécifique une charge de travail beaucoup plus importante que si l’entreprise opte pour des approches plus centralisées.

En ce qui concerne l’espace au sein d’une infrastructure informatique le plus indiqué pour déployer une technologie de protection, les avis sont partagés. Pour environ deux tiers des entreprises interrogées en France, le réseau et le cloud représentent une option efficace à très efficace.Si une part comparable (66 %) en France considère le pare-feu comme un centre névralgique efficace, cette proportion est beaucoup moins importante qu’en Allemagne (90 %) ou qu’au Royaume-Uni (88 %).

Le fait que tant d’entreprises accordent une telle importance au réseau et au pare-feu indique que la plupart d’entre elles penchent pour une approche périmétrique de la sécurité, visant à empêcher que les attaques de l’extérieur n’atteignent les systèmes internes de l’entreprise. Il faut pourtant opposer à cette approche l’augmentation des incidents impliquant des logiciels malveillants de type menace persistante avancée ou APT (Advanced Persistent Threat), par lesquels les intrus échappent durablement à la détection après avoir gagné l’accès à des systèmes vulnérables. Il est aussi à craindre que les entreprises ne se préoccupent pas suffisamment des logiciels malveillants provenant de leurs propres systèmes ou y résidant, et qui se propagent ensuite plus largement par le biais du réseau local ou étendu.

07: Espace de déploiement sécuriséLa préférence pour le pare-feu et le réseau suggère une priorité accordée à la sécurité périmétrique

RÉSEAU

68 %

PASSERELLE (WEB, E-MAIL, ETC.)

61 %

CLOUD

68 %

TERMINAL

53 %

PARE-FEU

66 %



Pour autant, aucune ne se voit à l’abri. Les entreprises françaises semblent se ranger parmi les plus inquiètes : un tiers d’entre elles évaluent à plus d’une chance sur deux (soit 50 % et plus) la probabilité de subir une attaque persistante avancée dans les douze prochains mois ; aucune ne croit à un risque nul.

En revanche, une grande partie des entreprises interrogées (39 %) évaluent à moins une chance sur quatre la probabilité de subir une attaque APT. Ce chiffre indique soit une plus grande confiance que les systèmes en place peuvent détecter et bloquer ce type d’attaque, soit une certaine naïveté quant au risque d’en être victime.

Plus l’entreprise est grande, plus la crainte d’une attaque est forte. Parmi les personnes interrogées par IDG Connect occupant un poste dans une entreprise de plus de 10 000 salariés en France, en Allemagne ou au Royaume-Uni, aucune n’a déclaré ne voir absolument aucune probabilité d’attaque APT dans l’année à venir. De fait, 37 % d’entre elles évaluent cette probabilité à 50/50.

Dans les entreprises françaises, c’est également aux responsables informatiques que l’on confiera dans la plupart des cas (51 %) la gestion de la sécurité des données, contre 41 % aux DSI, 39 % aux DT et 37 % aux RSSI.Cette tendance peut indiquer une approche plus pragmatique de la sécurité et de sa gestion au sein des entreprises françaises, aussi bien que des problèmes de recrutement : en effet, 16 % des entreprises interrogées en France déclarent que le recrutement constitue la plus grande difficulté du point de vue de la sécurisation des données.

En France comme ailleurs en Europe, les entreprises sont encore peu nombreuses (24 %) à déléguer ces questions à des agents de sécurité des données internes. Elles devront cependant revoir cette stratégie si la GDPR oblige effectivement, comme il est prévu, les entreprises de plus de 250 salariés à nommer un agent de protection des données interne ou externe.

Le degré de confiance des entreprises européennes dans leurs défenses face à d’éventuelles attaques est variable.

08: Les responsabilités du personnelC’est aux responsables informatiques qu’incombera le plus souvent de gérer la sécurité des données

RESPONSABLE INFORMATIQUE

51 %

RESPONSABLE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION (RSSI)

37 %

DIRECTEUR DES SYSTÈMES D’INFORMATION (DSI)

41 %

AGENT INTERNE DE PROTECTION DES DONNÉES

24 %

DIRECTEUR DE LA TECHNOLOGIE (DT)

39 %

AGENT EXTERNE DE PROTECTION DES DONNÉES / CONSULTANT

8 %



Si l’on en croit ces résultats, il semble que les entreprises françaises se préoccupent un peu moins d’autres aspects de la sécurisation des données, qui pourtant peuvent jouer un rôle dans la protection contre les attaques imprévisibles ou inconnues.

La surveillance ressort comme le point le plus problématique des deux dernières années pour 18 % des interrogés, suivi du recrutement pour 16 % et de la documentation des processus pour 14 %. Les entreprises interrogées peuvent avoir l’impression que ces éléments sont déjà suffisamment gérés par leur structure. Il est pourtant plus probable que les points en question ne reçoivent pas l’attention qu’ils méritent. Ici encore, de nombreuses entreprises devront peut-être revoir très bientôt cette approche, ne serait-ce qu’en raison des obligations NIS et GDPR attendues en matière d’audit, de reporting et de désignation d’un agent de protection des données.

Les aspects de la gestion des menaces considérés comme les plus épineux sur les deux dernières années devraient nous permettre de prévoir assez justement les priorités d’investissement des entreprises françaises dans un avenir proche.Pour près d’un tiers (29 %) des entreprises interrogées en France, la détection des attaques, la coordination d’une réponse rapide et le rétablissement des systèmes représentent les aspects les moins évidents de la protection des données, ce qui suggère une gestion difficile de la reprise après une attaque.

La prévention, c’est-à-dire la mise en place de plates-formes et de processus pour enrayer ou atténuer les attaques, constitue également un problème pour près d’un quart (24 %) des entreprises interrogées. Pour cette catégorie, la difficulté la plus pressante porte sur l’envergure et le volume des vulnérabilités à envisager.

Ici encore, l’accent mis sur la prévention et le traitement en première ligne semble indiquer que certaines sociétés sont débordées par le volume et la sophistication des attaques que leurs systèmes actuels ne suffisent plus à repousser.

09: Les défis de la sécurité des donnéesLe plus grand défi : détecter et empêcher les attaques avant d’avoir à y réagir immédiatement

DÉTECTION / RÉACTION / RÉTABLISSEMENT

29 %

RECRUTEMENT

16 %

PRÉVENTION

24 %

DOCUMENTATION DES PROCESSUS

14 %

SURVEILLANCE

18 %



10: Priorité en matière de protection des donnéesUne plus grande importance accordée au blocage et à la détection des menaces connues et inconnues

provenant de multiples flux de données pour mieux identifier les vulnérabilités et prioriser les menaces selon la probabilité de violation.

La tendance générale suggère que de nombreuses entreprises françaises consacrent plus d’efforts à lutter contre les attaques en cours qu’à prévoir celles qui pourraient survenir. Une telle vision peut aussi être fortement conditionnée par les technologies et les ressources disponibles dans chaque entreprise.

L’analyse dynamique des logiciels malveillants, qui scrute les applications pendant leur exécution, peut jouer un rôle non négligeable pour combattre les menaces provenant d’accès internes non autorisés aux données, aux applications ou aux appareils, un type d’incident dont nous savons justement qu’il affecte particulièrement les entreprises françaises.

Même si le volume des incidents signalés par chaque entreprise peut paraître modéré, l’incidence en est élevée : 61 % des entreprises françaises déclarent avoir subi une ou plusieurs attaques internes au cours des deux dernières années. L’accès interne illicite aux systèmes d’entreprise est une tendance générale signalée dans le rapport DBIR 2015 de Verizon, à tous les échelons : des utilisateurs finaux et employés des services financiers aux cadres et dirigeants, en passant par les développeurs. Ces violations peuvent être motivées par le gain personnel, être dues à une erreur, à un désir d’expédier plus vite des tâches de routine, etc.

Au sein des entreprises françaises, la possibilité de bloquer les menaces connues et de détecter les menaces inconnues est considérée comme l’élément le plus important de la protection des données. Ici encore, cela indique une tendance générale des stratégies de gestion de la sécurité à tenter en priorité d’empêcher que des attaques extérieures n’atteignent les systèmes internes.Une importance légèrement moindre est accordée à la surveillance constante des données transitant sur les réseaux locaux ou étendus distribués, ou à l’analyse dynamique des logiciels malveillants pour une exécution préalable des fichiers téléchargés dans un environnement sécurisé. Cette approche pourra dans certains cas laisser d’autres systèmes exposés. De même, l’isolement automatique des serveurs, ordinateurs ou autres appareils infectés afin de limiter la propagation des logiciels malveillants dans les limites du pare-feu (vu comme l’aspect le moins important dans une protection efficace des données) risque lui aussi de laisser des systèmes internes dans une situation de vulnérabilité.

L’accès à des analyses statistiques de données historiques afin de prévoir les attaques n’est pas non plus considéré comme crucial. Les entreprises interrogées lui reconnaissent cependant la même importance qu’aux moteurs d’informations en temps réel sur les menaces, lesquels analysent les données

BLOQUER LES MENACES CONNUES

19 %

ANALYSE DYNAMIQUE DES LOGICIELS MALVEILLANTS

14 %

ISOLEMENT AUTOMATIQUE DES MACHINES INFECTÉES

10 %

DÉTECTER LES MENACES CONNUES

17 %

ACCÈS À DES INFORMATIONS EN TEMPS RÉEL SUR LES MENACES

12 %

SURVEILLER LES DONNÉES SENSIBLES SUR LES RÉSEAUX DISTRIBUÉS

15 %

ANALYSE STATISTIQUE DES DONNÉES HISTORIQUES AFIN DE PRÉVOIR LES ATTAQUES

12 %


Les difficultés liées au recrutement et à la documentation des processus sont actuellement considérées comme des problèmes moins importants que la prévention et le traitement des violations de la sécurité des données. De fait, une majorité d’entreprises délèguent cette responsabilité à des postes informatiques généraux plutôt qu’à des agents spécialisés de protection des données.

La situation devrait toutefois changer au cours des deux prochaines années avec la mise en œuvre annoncée de la directive européenne de « cybersécurité » NIS (Network Information and Security) et de la réglementation GDPR (General Data Protection Regulation). Ces nouveaux textes devraient fixer pour les entreprises de nouvelles obligations en matière d’audit, de rapports et, dans certains cas, de désignation d’un agent de protection des données.

Naturellement, les entreprises françaises craignent par-dessus tout les conséquences susceptibles d’entamer sérieusement leur clientèle, leur chiffre d’affaires et, notamment en raison des coûts de « nettoyage », leurs résultats financiers. Les entreprises françaises se montrent actuellement moins préoccupées des sanctions financières en cas de violations de données. Ici encore, la perception est appelée à changer d’ici 2017, puisque la nouvelle législation européenne conférera aux régulateurs nationaux le pouvoir d’imposer des amendes pouvant atteindre 5 % du chiffre d’affaires mondial annuel d’une entreprise.

Les entreprises françaises sont particulièrement sujettes aux violations dues à l’accès non autorisé aux données, applications ou appareils par des employés. Ce problème touche plus particulièrement les entreprises de plus de 5 000 salariés. Pourtant, la majorité des systèmes de sécurité actuels sont axés sur la protection périmétrique, c’est-à-dire empêcher que les attaques de l’extérieur ne contourne les pare-feux et autres défenses pour atteindre les systèmes internes de l’entreprise. Les risques internes d’accès non autorisé, d’usages malveillants ou de fuites de données ne sont, à l’inverse, pas assez pris en compte.

Le blocage et la détection des menaces sont également considérés comme plus importants que la surveillance des réseaux locaux et étendus. La détection du trafic suspect, l’analyse dynamique des logiciels malveillants ou encore les informations en temps réel et historique sur les menaces sont pourtant des outils essentiels pour prévoir les attaques.

11: ConclusionCette étude nous donne une idée claire des menaces pour la sécurité de leurs données que les entreprises françaises doivent actuellement gérer. Elle indique également des pistes d’optimisation des systèmes, processus et méthodes de gestion actuellement en place.

Pour améliorer les systèmes et la gestion actuels de protection des données, la meilleure approche consiste à évaluer les défenses et pratiques en place en tenant compte de toutes les options disponibles avant d’adopter une plate-forme technologique.

Les entreprises françaises semblent manifester une ouverture d’esprit favorable quant aux mises à niveau et aux investissements à prévoir. Les services de sécurité gérés en externe, les plates-formes SaaS et les solutions cloud hybrides sont considérées comme offrant un degré comparable de protection face aux attaques ciblés et sophistiquées. Ces options ne se classent que légèrement au-dessus des solutions logicielles et matérielles sur site. C’est donc les considérations de coûts supplémentaires, de maintenance et d’assistance qui devraient en définitive emporter le choix des entreprises françaises.

Nous contacter Proofpoint 54-56 avenue Hoche 75008 Paris France

Tel +33 1 56 60 54 51

Une étude menée par IDG Connect pour Proofpoint

Gestion de la sécurité des données en France - étude 2016

Software

Transcript of Gestion de la sécurité des données en France - étude 2016