Embed Size (px)
Citation preview
réalisé par
en collaboration avec le
cyber-attaques,
où en sont les entreprisesfrançaises ?
club des experts de la sécurité de l’information et du numérique
2 3
som
ma
ire
editoriaux //////////////////////////////////////////////////////////////// 4
méthodologie / profil des répondants // 6
1. préparation /////////////////////////////////////////////////////// 10
1.1. Votre entreprise a-t-elle déjà été affectée par une ou plusieurs crises de type cyber-attaque ? ........... 12
1.2. Selon vous, quel type de cible votre entreprise est-elle ? .. 13
1.3. Des tests de pénétration sont-ils réalisés sur vos sites sensibles ? Ces tests intègrent-ils les scénarios de cyber-attaque les plus probables ? ........... 14
1.4. Des tests portant sur le niveau de sécurité de vos prestataires sont-ils réalisés ? ........................................ 15
1.5. Les plans de réponse à une cyber-attaque de vos fournisseurs sont-ils en cohérence avec les vôtres ?........... 16
1.6. La PSSI de votre entreprise prend-elle en compte le risque spécifique de cyber-attaque ? .................................... 17
1.7. Votre politique de continuité d’activité prend-elle en compte le risque spécifique de cyber-attaque ? ............. 18
Conclusion : Passer de la théorie à la pratique .............................. 19
2. déteCtion //////////////////////////////////////////////////////////// 20
2.1. Les utilisateurs de votre entreprise disposent-ils de moyens de détection et/ou de remontée d’alerte ? ....... 22
2.2. Votre entreprise dispose-t-elle d’un SOC ? ............................. 23
2.3. Des audits ou des revues de sécurité sont-ils réalisés ? .... 24
2.4. Dans le cadre de la surveillance opérationnelle de la sécurité de vos SI, des investigations sont-elles réalisées ? .............. 25
2.5. Les moyens (techniques et organisationnels) de détection des incidents de type cyber-attaque sont-ils réévalués ? .. 26
Conclusion : Une nécessaire stratégie de détection ................... 27
3. réaCtion ////////////////////////////////////////////////////////////// 28
3.1. Votre dispositif de crise dispose-t-il d’une cellule de veille et/ou d’outils de veille dédiés à la cyber-attaque ? ...............30
3.2. Disposez-vous d’une équipe dédiée au traitement des incidents de type cyber-attaque ? ...................................... 31
3.3. Les moyens (techniques et organisationnels) de détection des incidents de type cyber-attaque sont-ils réévalués ? .. 32
Conclusion : Des moyens encore insuffisants ............................... 33
4. réCupération //////////////////////////////////////////////////// 34
4.1. Votre entreprise est-elle équipée d’outils permettant la traçabilité, l’enregistrement, la collecte des traces et preuves de l’agression détectée ? ..........................................36
4.2. Votre entreprise dispose-t-elle de moyens d’analyse post-mortem des incidents de sécurité ? ............ 37
4.3. Les moyens de récupération suite à une cyber-attaque sont-ils réévalués ? ........................................................................... 38
Conclusion : Tirer les leçons du passé ............................................. 39
note sur la sensibilisation des utilisateurs ///////////////////////////////////////////////// 40
ConClusion générale ////////////////////////////////////// 41
4 5
éd
ito
ria
ux
dans nos systèmes d’information (SI)
de plus en plus complexes les
pannes, défaillances matérielles ou
logicielles sont devenues tellement incon-
tournables que toutes les entreprises se sont
préparées à y faire face. Elles ont donc admis
qu’elles devaient être capables de continuer
à fonctionner en dépit de l’occurrence de ces
événements. Elles ont également mis en
œuvre des moyens permettant d’atteindre de
manière plus ou moins complète cet objectif.
De manière analogue, les entreprises
prennent conscience du caractère quasi iné-
vitable des attaques contre leurs systèmes
d’information. Néanmoins, elles demeurent
aujourd’hui encore dans une situation où leur
niveau de résilience face aux cyber-attaques
est préoccupant. En effet, comme le
démontre l’étude menée par Provadys dans
le cadre du Cesin, les entreprises ne sont
pas suffisamment préparées, organisées et
outillées pour faire face à ces menaces dont
elles connaissent pourtant l’existence.
quelques mots sur les cyber-attaques Les cyber-attaques peuvent être caractéri-
sées par l’action directe ou indirecte d’une
intelligence malveillante à l’encontre d’un
système d’information. Il peut s’agir d’agres-
sions utilisant ou affectant le SI et visant à
provoquer des perturbations aux conditions
de fonctionnement nominal de l’entreprise ou
de ses ressources.
Ainsi, nous distinguons bien les cyber-
attaques des pannes ou erreurs pouvant
affecter le SI et provoquer des dysfonction-
nements de même nature. L’existence d’une
intelligence malveillante implique une inten-
tion et un objectif menant aux perturbations.
Les cyber-attaques peuvent aussi bien viser
les ressources essentielles de l’entreprise
que toute ressource ou information pouvant
avoir un intérêt pour l’agresseur.
luc delpha, Directeur de l’offre gestion des risques
et Sécurité des Systèmes d’Information,
Provadys
cyber-attaques,
et si on agissaitvraiment ?
réduirele décalageentre risque etpréparation
depuis l’incendie du Crédit Lyonnais,
il y presque 20 ans, les entreprises
sont conscientes qu’il faut se prépa-
rer au pire. L’attentat du World Trade Center
et l’explosion AZF dix jours plus tard ont
confirmé cette absolue nécessité de prévoir
la crise et d’en anticiper les effets. Depuis lors
les plans de continuité des entreprises se
sont étoffés de nouveaux risques à chaque
nouvelle alerte avec des probabilités d’occur-
rence parfois extrêmement faibles (crue cen-
tennale, pandémie grippale, etc. ) mais qui
ont néanmoins mobi l isé beaucoup de
moyens logistiques et humains au sein des
entreprises.
En ce qui concerne la cyber-menace, si tous
les professionnels ont admis que la probabi-
lité d’occurrence était extrêmement forte
voire certaine dans certains cas (pas un jour
sans qu’un cas de cyber attaque réussie ne
fasse la Une quelque part dans le monde),
force est de constater que les moyens mis en
œuvre restent limités comparés aux budgets
souvent pharaoniques consacrés à la pré-
vention de risques moins « certains ». Difficul-
tés de compréhension des enjeux par les
décideurs ? Complexité des mesures tech-
niques et organisationnelles à mettre en
œuvre ? Manque de concertat ion des
acteurs ? Solutions non matures ? Cette
étude menée par Provadys dans le cadre des
travaux du Cesin donne les tendances en la
matière et permet de mesurer le niveau de
maturité des grandes entreprises face à cette
problématique.
alain bouillé, Président du Cesin (Club des experts de la
sécurité de l’information et du numérique)
6 7
l’objectif de l’étude réalisée conjointe-
ment par le Cesin et Provadys était
d’apporter un éclairage sur les actions
mises en œuvre dans les entreprises fran-
çaises pour se préparer aux attaques, les
détecter et y faire face. Il s’agissait de mieux
connaitre la situation des entreprises en
matière de résilience face aux cyber-attaques.
Autant d’interrogations qui semblent légitimes
pour les entreprises en France à l’heure où
l’on parle de cyber-guerre ou de cyber-terro-
risme ou encore de cybercriminalité et qu’au
niveau des états des moyens tendent à se
mettre en place pour adresser ces théma-
tiques.
présentation de l’étudeCe livre blanc présente les enseignements
qui peuvent être tirés de l’étude ainsi que des
pistes de réflexion qui pourraient être explo-
rées par les entreprises dans la perspective
des cyber-attaques qui pourraient les affecter
dans le futur.
présentation de la méthodologie de l’étude
• Structure et thématiquesDans le cadre de la réalisation de son livre
blanc, Provadys, en partenariat avec le Cesin,
a réalisé un sondage auprès de Respon-
sables de la Sécurité des Systèmes d’Infor-
mation (RSSI) de grandes entreprises fran-
çaises et internationales du 6 juin au 12 août
2013.
Des questionnaires en ligne et papier ont en
effet été diffusés auprès de 140 RSSI.
Le questionnaire proposé comportait qua-
rante questions et abordait cinq grandes
thématiques : la préparation, la détection, la
réaction, la récupération ainsi que la sensibi-
lisation. Le profil des entreprises a également
été pris en compte et la synthèse de l’échan-
tillon est présentée ci-dessous.
• Synthèse de l’échantillon73 RSSI ont répondu au questionnaire, soit
une participation significative de 52 %.
Parmi les entreprises ayant répondu au ques-
tionnaire, 87 % sont de très grande taille (plus
de 500 collaborateurs). Notre enquête reflète
donc principalement les préoccupations des
gran des entreprises.
présentation des
résultatsd’ensemble
mé
th
od
olo
gie
D’un point de vue secteur d’activité, le panel des entreprises ayant participé et répondu au sondage est équilibré : elles sont 25 % à faire partie du secteur Industrie ; 23 % du secteur Banque/Assurance et 16 % du secteur Administration (Public).
dans quel secteur d’activité votre entreprise se situe-t-elle ?
eau 1%
industrie 25%
administration (public) 16%
assurance 12%
banque 11%
autres 10%
transport 5%
santé, services média, télécoms 12%
grande distribution 8%
énergie4%
8 9
données à caractère personnel
secrets industriels
données de santé
données classifiées (défense)
données de cartes de paiement
autres : données...
En termes de réglementation, 25 % sont soumises à
PCI DSS ; 22 % sont soumises au secret médical et
22 % ne sont soumises à aucune réglementation.
Les aspects réglementation ne sont pas suffisam-
ment pris en compte par les entreprises (CNIL et
secret médical). Au moins 22 % ne connaissent pas
bien leur environnement de conformité et de ce fait
ne peuvent pas mettre en œuvre des mesures cohé-
rentes en conformité avec la loi. De la même
manière, le secret médical est une obligation légale
dès lors que les entreprises manipulent des don-
nées médicales. Les entreprises doivent être
conscientes des données qu’elles manipulent.
votre entreprise est-elle soumise aux normes, lois ou règlements ?
secret industrielpp cfonb
oeaisi 1300
igi 66000cpss iosco
cnilarafansii
acppas de réponse
secret défensebale 2
amfcrbf 97-02
autresarjel
solvency 2rgslsf
soxsecret médical
pci dssnon
1%
36%
32%
25%
4%
3%
4%
5%
8%
10%16%
22%
22%25%
mé
th
od
olo
gie
46%
96%
Par ailleurs, 96 % des entreprises déclarent manipuler des données à caractère personnel alors que seulement 1 % déclare être soumise à la réglementation CNIL. De la même manière 36 % déclarent traiter des données de santé alors que 22 % d’entre elles déclarent être soumises au secret médical. Les entreprises ne sont pas conscientes des réglementa-tions auxquelles elles sont soumises au regard des données qu’elles manipulent.Or toutes les données gérées par les entreprises peuvent être des cibles pouvant intéresser des agresseurs potentiels. Les cyber-attaques peu vent viser ces données. Les stratégies de cyber-défense des entreprises doivent intégrer la protection de ces données.
quels types de données votre entreprise manipule t-elle ?
10 11
an
aly
se p
ré
pa
ra
tio
n
les entreprises sondées dans le cadre
de notre étude ont conscience de leurs
vulnérabilités et de leurs faiblesses face
au scénario de cyber-attaque. Elles sont,
dans la théorie, préparées à ce risque. En
effet, elles intègrent ce scénario dans leur
processus de gestion de crise et mettent en
place des moyens spécifiques et dédiés à la
prise en compte de cette menace. Par ail-
leurs, pour renforcer leur volonté de se pré-
parer face au risque de cyber-attaque, elles
s’investissent dans la réalisation de tests de
pénétration et d’intrusion sur leurs sites les
plus sensibles ; et intègrent dans ces mêmes
tests le scénario de cyber-attaque.
Cependant, ces entreprises manquent de
maturité face à cette thématique : elles ne
disposent pas de cartographie SI organisée
selon le niveau d’exposition au risque de
cyber-attaque, elles ne connaissent pas les
plans de réponse à une cyber-attaque de
leurs fournisseurs de services essentiels et
ne réalisent pas de suivi et de mise à jour
régulière de leur niveau d’exposition à ce
risque.
Comment les entreprises se préparent-elles aux Cyber-attaques et à quel niveau ?
chapitre 1préparation
12 13
Les entreprises interrogées dans le cadre de notre étude sont conscientes que les cyber-attaques existent. En effet, plus de la moitié d’entre elles - 52 % - reconnait avoir été affectées au moins une fois par une crise de ce type dans les trois dernières années.Néanmoins, ce chiffre est très cer-tainement bien supérieur puisque nous constatons que 12 % des entreprises ne sont pas en mesure de définir si elles ont déjà été vic-times d’une crise de ce type.Or, il est connu que certaines attaques ne sont détectées que très tardivement voire jamais détectées.
votre entreprise a-t-elle déjà été affectée par une ou plusieurs crises de type cyber-attaque ?
oui 52%
non 33%
ne sait pas12%
pas de réponse 3%
selon vous, quel type de cible votre entreprise est-elle ?
pas de réponse 1%
pas une cible 11%
Par ailleurs, cette prise de cons cience est renforcée par le fait que 88 % des entreprises se considèrent comme des cibles d’attaque potentielles. Elles sont donc bien conscientes de la probabi-lité d’une attaque les affectant.
pour autant, seulement 60 % des entre-
prises ont identifié et anticipé les scé-
narios de type cyber-attaque dans
leurs processus et dispositifs de continuité.
De la même manière, seulement 63 % d’entre
elles ont mis en place des moyens spéci-
fiques et dédiés à la prise en compte des
cyber-attaques ; et 68 % de ces entreprises
intègrent le scénario de cyber-attaque dans
leurs analyses de risques.
une cible d’attaque ciblée et opportuniste 37%
une cible potentielle d’attaque opportuniste 26%
une cible potentielle d’attaque ciblée 25%
an
aly
se p
ré
pa
ra
tio
n
14 15
des tests de pénétration sont–ils réalisés sur vos sites les plus sensibles ?Face à ce risque marqué, les entre-prises ont également pris conscience de l’importance d’éva-luer et de tester le niveau de sécu-rité de leurs SI. En effet, 96 % des entreprises déclarent réaliser des tests de pénétration et d’intrusion sur leurs sites les plus sensibles.
ces tests intègrent-ils les scénarios de cyber-attaque les plus probables ?81 % d’entre elles intègrent également dans ces tests de pénétration et d’in-trusion les scénarios de cyber-attaque ; alors que 60 % d’entre elles ont identi-fié et anticipé les scénarios de type cyber-attaque dans leurs processus et dispositifs de continuité.
oui, une fois par an 48%
oui 81%
oui, tous les deux ans 15%
oui, tous les deux à trois mois 11%
n/a 8%
autres 10%
non 8%
oui, une fois par mois 9%
non 4%
oui, de temps en temps 3%
pas de réponse 3%
des tests portant sur le niveau de sécurité de vos prestataires (hébergeurs, infogérants, etc.) sont-ils réalisés?Dans le cadre de leur préparation, les entreprises doivent également intégrer le fait qu’elles peuvent être attaquées à travers leurs prestataires. Pourtant, l’importance des conséquences de cyber-attaques visant les fournisseurs de services de ces entreprises n’est pas bien prise en compte puisque 42 % des entreprises déclarent ne pas réaliser de tests portant sur le niveau de sécurité auprès de leurs prestataires. .
oui49%
non42%
n/a6%
pas de réponse 3%
an
aly
se p
ré
pa
ra
tio
n
16 17
Les entreprises se préparent également au risque de cyber-attaque en identifiant les cibles poten-tielles au sein de leur SI. Cependant, il apparait que 27 % des entreprises ne sont pas organisées pour protéger les cibles les plus exposées et menacées par ce type d’attaque. Par ailleurs, le risque de cyber-attaque n’est pas suffisamment pris en compte au niveau des composants sensibles des SI : seules 26 % des entreprises déclarent disposer d’une cartographie SI organisée selon le niveau d’exposition à ce risque. Ceci met en avant un défaut de maturité dans la préparation des entre-prises. En effet, leur défense ne peut être assurée et organisée de manière optimale si cette cartogra-phie n’existe pas.
Les entreprises ne prennent pas suffisamment en compte les risques directs de cyber-attaques sur leurs fournisseurs de services essentiels : les plans de réponses des fournisseurs restent également méconnus et ne sont pas en cohérence avec leurs propres plans de réponses. En effet, seulement 10 % des entreprises déclarent connaître les plans de réponse à une cyber-attaque de leurs fournisseurs de services essentiels. Le risque émanant des fournisseurs de services n’est donc pas suffisamment connu des entreprises ni pris en compte par celles-ci.
les plans de réponse à une cyber-attaque de vos fournisseurs de services essentiels sont-ils connus et mis en cohérence avec les vôtres ?
non63%
ne sait pas18%
oui10%
n/a 8%pas de réponse 1%
oui 51%
non 45%
pas de réponse 4%
la pssi de votre entreprise prend-elle en compte le risque spécifique de cyber-attaque ?Le risque spécifique de cyber-attaque n’est pas suffisamment pris en compte dans les poli-tiques de sécurité des systèmes d’information (PSSI). En effet, 45 % entreprises déclarent ne pas disposer d’une PSSI définie et prenant en compte ce risque spécifique.Les Directions Générales n’ont pas encore pleinement conscience de la dimension spécifique des risques associés aux cyber-attaques auxquels leurs entreprises sont exposées. Par ailleurs, le lien entre les dispositifs de continuité d’activité et les dispositifs de lutte contre les cyber-attaques peut encore être renforcé : 54 % des entreprises ne disposent pas de politique de continuité d’activité intégrant ce risque alors que 88 % d’entre elles se considèrent comme des cibles potentielles d’attaque.Faut-il y voir le signe que les entreprises interrogées ne voient pas dans les cyber-attaques des sources potentielles de chocs extrêmes pour leurs activités ?
an
aly
se p
ré
pa
ra
tio
n
18 19
Par ailleurs, le lien entre les dispositifs de continuité d’activité et les dispositifs de lutte contre les cyber-attaques peut encore être renforcé : 54 % des entre-prises ne disposent pas de politique de continuité d’activité intégrant le risque de cyber-attaque alors que 88 % d’entre elles se considèrent comme des cibles potentielles d’attaque.Faut-il y voir le signe que les entreprises interrogées ne voient pas dans les cyber-attaques des sources
potentielles de chocs extrêmes pour leurs activi-tés ? Enfin, la moitié des entreprises ne réalisent pas de suivi et de mise à jour régulière de leur niveau d’exposition au risque de cyber-attaque. Elles manquent encore de maturité sur le risque de cyber-attaque. Ceci signifie également que pour la moitié des entreprises, il n’est pas possible de garantir dans le temps la pertinence de leur niveau d’exposition.
non 54%
oui 34%
n/a 8%
ne sait pas 4%
la politique de continuité d’activité de votre entreprise prend-elle en compte le risque spécifique de cyber-attaque ?
les entreprises savent que la menace
existe et est réelle. Elles ont en immense
majorité réalisé une préparation théo-
rique plutôt aboutie. Cela se manifeste en
particulier à travers l’intégration du scénario
de cyber-attaque dans les processus de
gestion de crise et la mise en œuvre de
moyens spécifiques dédiés à la prise en
compte de cette menace.
Elles réalisent également pour la plupart des
tests d’intrusion sur leurs ressources les plus
sensibles en y intégrant le scénario de cyber-
attaque. Néanmoins, les entreprises doivent
encore aller au-delà de la préparation théo-
rique.
Aller plus loin dans le domaine de la prépara-
tion consisterait à :
• Challenger la préparation théorique
• Aller jusqu’à une préparation pratique et
concrète intégrant les entités avec les-
quelles elles sont en interaction
• Mettre en place un entrainement spéci-
fique visant à valider par des mises en
pratique régulières de l’ensemble des tra-
vaux réalisés en préparation.
Les tests d’intrusion dans leur approche clas-
sique challengent les mesures préventives
mises en œuvre mais ne permettent pas aux
entreprises de prendre en compte les autres
types de mesures mises en œuvre pour faire
face aux cyber-attaques (mesures de détec-
tion, réaction, récupération). Ils doivent donc
être complétés par d’autres activités permet-
tant à l’entreprise de s’entrainer à réagir aux
situations particul ières créées par ces
attaques.
Enfin, pour les entreprises particulièrement
dépendantes de leur SI, il conviendrait d’envi-
sager les cyber-attaques comme des
sources potentielles de crises graves pou-
vant affecter la continuité de leur activité.
conclusionpasser dela théorieà la pratique
an
aly
se p
ré
pa
ra
tio
n
20 21
pour se protéger et être en mesure de
faire face à une crise de cyber-attaque,
les entreprises disposent aujourd’hui
d’outils techniques orientés détection des
attaques. Pourtant, l’étude démontre que ces
outils ne sont pas utilisés à leur plein poten-
tiel. En effet, ces outils ne sont pas régulière-
ment réévalués en termes d’efficacité et ne
gagnent donc pas suffisamment en maturité.
De la même manière, les utilisateurs ne sont
à ce jour pas suffisamment impliqués dans
les stratégies et moyens de détection. Il en
résulte que les capacités de détection de ces
attaques sont sous optimales sur plusieurs
points.
quelles sont les aCtions mises en plaCe par les entreprises pour déteCter une cyber-attaque ?
chapitre 2détectiona
na
lyse
dé
te
ct
ion
22 23
votre entreprise a-t-elle mis en place des outils de type :devoir de réserve
autres*
détection des apt
corrélation et automatisation de l’analyse des logs
siem
ids
ips
non**
1%
8%
21%
44%
45%
63%
67%15%
*Supervision, analyse des flux sortants,etc.
** Aucun outil de détection mis en œuvre
En revanche 15% des entreprises déclarent ne posséder aucun outil de sécurité des SI. Elles seraient donc en incapacité de détecter une cyber-attaque.De la même manière, la grande majorité des entreprises -70%- ne dispose pas de SOC alors que 88% d’entre elles se déclarent comme des cibles potentielles de cyber-attaque.Comment dès lors envisager une détection satisfaisante des cyber-attaques sans une approche opéra-tionnelle de la SSI intégrant un suivi permanent et outillé des événements affectant le SI ?
votre entreprise dispose-t-elle d’un soc (information security operations center) ?
non 70%
oui 23%
pas de réponse 7%
les utilisateurs de votre entreprise, disposent-ils, à leur niveau, de moyens de détection et/ou de remontée d’alerte ?
oui47%
non 52%
pas de réponse1%
Les utilisateurs au sein des entreprises ne sont pas suffisam-ment équipés en moyens de détection et/ou de remontée d’alerte. En effet, seu-lement 47 % des entreprises déclarent disposer de moyens de détection et/ou de remontée d’alerte au niveau utilisateurs.
an
aly
se d
ét
ec
tio
n
Les entreprises disposent aujourd’hui d’outils techniques de détection : 41% ont mis en place au moins deux outils orientés détection des attaques.
24 25
des audits ou des revues de sécurité sont-ils réalisés ?
oui, tous les trois ans 1%non communiqué 3%
oui, ponctuellement 4%
non 4%
oui, variable 7%
La grande majorité des entreprises - 62 % - réalisent des audits ou des revues de sécurité (tous les six mois ou tous les ans) leur permettant ainsi de faire évoluer leurs dispositifs et moyens de détection. En effet, elles ne sont que 4 % à ne réaliser aucun audit ou revue de sécurité
oui, tous les ans 45%
oui, tous les deux ans 19%
oui, tous les six mois 17%
dans le cadre de la surveillance opérationnelle de la sécurité de vos systèmes d’information, des investigations sont-elles réalisées ?De la même manière, 95% des entreprises déclarent réaliser des investigations dans le cadre de la sur-veillance opérationnelle de la sécurité de leur SI. Cependant, les investigations après chaque anomalie détectée ne sont pas systématiques et leur fréquence dépend du type et de la nature des anomalies constatées.
oui, uniquement sur les anomalies affectant la disponibilité système 22%
oui, uniquement sur les anomalies affectant la confidentialité des informations 10%
oui, pour toutes les anomalies touchant les systèmes les plus sensibles 25%
oui, pour toutes les anomalies détectées 32%
oui, selon la nature de l’anomalie 5%
oui, selon la disponibilité de l’équipe 1%
non4%
non communiqué 1%
an
aly
se d
ét
ec
tio
n
26 27
les moyens (techniques et organisationnels) de détection des incidents de type cyber-attaque sont-ils réévalués ?Enfin, une fois mis en place, les moyens de détection des incidents de type cyber-attaque ne font pas l’objet de réévaluation régulière. En effet, alors que 62 % des entreprises réalisent des audits et des revues de sécurité régulièrement, 42 % des entreprises déclarent ne pas réévaluer leurs moyens de détection des incidents de type cyber-attaque. Ils ne gagnent donc pas en efficacité et en maturité.
oui, après audit 3%non communiqué 1%
oui, tous les deux ans 5%
oui, variable 4%
oui, après les tests 6%
non 42%
oui, après incident 25%
oui, tous les ans14%
les entreprises ont bien compris qu’elles
doivent se protéger face aux cyber-
attaques et disposer de moyens de
détections. C’est effectivement le cas de la
grande majorité de notre panel. Cependant,
elles peinent à rester en cohérence et assurer
une bonne prise en compte des menaces
l iées à ces attaques. Elles rencontrent
aujourd’hui des difficultés à régulièrement
évaluer, mettre à jour et améliorer leur outillage
afin de gagner en maturité et en efficacité.
Elles doivent encore développer une straté-
gie de détection et de remontées d’alerte au
niveau utilisateurs. En effet, ceux-ci repré-
sentent la première cible des cyber-pirates.
Ils doivent donc être en mesure de détecter
et de remonter l’alerte en cas d’attaque.
conclusionune nécessaire
stratégiede détection
an
aly
se d
ét
ec
tio
n
28 29
d’ un po in t de vue ressources
humaines, les entreprises ne sont
pas suffisamment matures dans
leurs moyens de réaction. En effet, elles ne
disposent pas d’équipe dédiée et/ou en
charge du traitement des incidents de type
cyber-attaque ; ni de cellule et/ou d’outils de
veille dédiés à la cyber-attaque. Elles ne dis-
posent pas non plus d’experts spécialisés
dans le traitement de ce type d’attaque.
D’un point de vue pratique ou opérationnel,
les entreprises du panel n’ont pas défini for-
mellement de processus et/ou de moyen de
notification en cas de cyber-attaque. Enfin,
pour les entreprises disposant de moyens de
réaction, la moitié d’entre elles ne procèdent
pas à une réévaluation de leurs moyens de
réaction face à une telle attaque.
Comment réagissent les entreprises une fois attaquées ?
chapitre 3réactiona
na
lyse
ré
ac
tio
n
30 31
oui 18%
• oui, expertiSe interne 1%• oui, xMCo 1%• oui, VulnérAbilitéS/
remédiations 1%• ne SAit pAS 1%
oui, à la maison mère 2%
oui, cert 14%
oui, en cours de création 2%
non 60%
votre dispositif de crise dispose-t-il d’une cellule de veille et/ou d’outils de veille dédiés à la cyber-attaque ?
non, aucune équipe en charge19%
non, pas d’équipes dédiées 62%
oui 19%
disposez-vous d’une équipe dédiée au traitement des incidents de type cyber-attaque ?D’un point de vue ressources humaines, les entreprises ne sont pas suffisamment matures dans leurs moyens de réaction : • 81% ne disposent pas d’équipe dédiée et/ou en charge du traitement des incidents de type cyber-attaque.• 60% des entreprises déclarent ne pas disposer de cellule et/ou d’outils de veille dédiés à la cyber-attaque• 48% des entreprises déclarent ne pas disposer d’experts spécialisés dans le traitement d’une cyber-attaque
d’un point de vue pratique, les entre-
prises ne sont pas encore suffisam-
ment matures : les processus et/ou
moyens de notification en cas de cyber-
attaque ne sont pas suffisamment formalisés.
En effet, 57% des entreprises déclarent ne
pas avoir défini de processus et/ou de moyen
de notification en cas de cyber-attaque. Or,
ces points devraient être formalisés en prio-
rité (notification des autorités compétentes ou
des personnes affectées par les consé-
quences d’une cyber-attaque).
an
aly
se r
éa
ct
ion
32 33
oui, après incident 18%
oui, tous les ans 17%
oui 6%
oui, après les tests 7%
non 44%
les moyens (techniques et organisationnels) de réaction aux crises de type cyber-attaque sont-ils réévalués ?Une fois mis en place, les moyens de réaction des incidents de type cyber-attaque ne font pas l’objet de rééva-luation régulière ; ce qui ne leur permet pas de gagner en maturité. En effet, parmi les 52% qui déclarent avoir subi une cyber-attaque ces deux dernières années, seulement 30% d’entre elles mettent en place des moyens de réaction et les réévaluent. La réévaluation reste donc faible pour les entreprises ayant déjà été impactées par une cyber-attaque.
• oui, touS leS deux AnS 1%• oui, irrégulièreMent 1%• Confidentiel 1%• pAS de réponSe 1%
pour assurer une capacité de réaction
suffisamment dimensionnée et opéra-
tionnelle face au risque de cyber-
attaques auquel elles sont exposées, les
entreprises doivent encore développer leurs
dispositifs et leurs moyens de réaction d’un
point de vue ressources humaines. En effet,
les processus de gestion de crise doivent
être formalisées et intégrer une équipe dédiée
et en charge du traitement des incidents de
cyber-attaques. Elles doivent également pou-
voir faire appel le cas échéant à des experts
spécialisés dans ce type de traitement mais
aussi s’appuyer sur des outils de veille
dédiés.
D’un point de vue communication, les entre-
prises doivent, en cas de cyber-attaque,
pouvoir être en capacité de notifier les autori-
tés compétentes mais aussi les personnes
affectées par les conséquences d’une telle
attaque. Il est troublant de constater que peu
d’entreprises disposent dans leurs procé-
dures de réaction des numéros de télé-
phones des forces de l’ordre à contacter en
cas d’attaque touchant leurs SI.
Enfin, pour assurer une cohérence et une
fiabilité dans leurs moyens de réaction, les
entreprises devraient procéder régulièrement
à des réévaluations de leurs outils et moyens
de réaction.
an
aly
se
conclusiondes moyens e n c o r e insuffisants
an
aly
se r
éa
ct
ion
34 35
au sein des entreprises, la probabilité
d’occurrence d’une agression de
type cyber-attaque est très élevée à
moyen terme ; pourtant une grande majorité
des entreprises ne définissent pas de proces-
sus permettant de prendre en compte les
aspects juridique et assurance suite à une
cyber-attaque. De la même manière, elles ne
disposent pas suffisamment d’outils permet-
tant la traçabilité, l’enregistrement, la collecte
des traces et preuves de l’agression détectée.
Cependant, elles sont une grande majorité à
disposer de moyens d’analyse post-mortem
des incidents de sécurité. Enfin, la plupart
des entreprises disposant de moyens de
récupération procèdent à une réévaluation
régulière de leurs moyens de récupération
suite à une cyber-attaque
quels moyens les entreprises mettent-elles en plaCe pour réparer les ConsequenCes d’une Cyber-attaque ?
chapitre 4récupérationa
na
lyse
ré
cu
pé
ra
tio
n
36 37
La probabilité d’occurrence d’une cyber-attaque est très élevée à moyen terme ; pourtant, très peu d’entre elles disposent d’outils per-mettant la traçabilité, l’enregistre-ment, la collecte des traces et preuves de l’agression détectée. Pour 32% d’entre elles, il sera très dif-ficile de récupérer d’une cyber-attaque et/ou de tirer les enseigne-ments qui permettront de prévenir une nouvelle attaque du même type.De la même manière, la grande majo-rité des entreprises n’a pas encore formalisé les processus permettant de prendre en compte les aspects juridique et assurance suite à une cyber-attaque. En effet, 60% décla-rent ne pas avoir défini les processus permettant de prendre en compte les aspects juridique et assurance suite à une cyber-attaque. Ces entre-prises seront donc dans l’incapacité de porter plainte et/ou de tenter de récupérer une part du préjudice via une assurance
votre entreprise est-elle équipée d’outils permettant la traçabilité, l’enregistrement, la collecte des traces et preuves de l’agression détectée ?
oui 64%
non 32%
pas de réponse 4%
votre entreprise dispose-t-elle de moyens d’analyse post-mortem des incidents de sécurité (inforensic) ?Plus du tiers des entreprises n’est pas préparé/équipé pour analyser les incidents post-mortem et ainsi : • Comprendre ce qui se passe ou qui s’est passé• Evaluer l’étendue des dégâts et les informations perdues / compromises• Capitaliser / progresser et prévenir les futures attaquesLe risque pour l’entreprise est alors de ne pas identifier la faille de sécurité (root cause) et maintenir ainsi la possibilité d’une nouvelle attaque, les mêmes causes ayant les mêmes effets.
pas de réponse3%
oui, en interne 33%
non 34%
oui, contractualisés en externe 30%
an
aly
se r
éc
up
ér
at
ion
38 39
les moyens (techniques et organisationnels) de récupération suite à une cyber-attaque sont-ils réévalués ?Enfin, une fois mis en place, les moyens de récupération des incidents de type cyber-attaque ne font pas l’objet de réévaluation régulière. 47% des entreprises déclarent réévaluer régulièrement leurs moyens de récupération suite à une cyber-attaqueCes moyens peuvent alors devenir inadaptés et inefficaces face à des attaques et des menaces qui évoluent rapidement.
oui, tous les ans 8%
oui, après les tests 7%
oui, après incident 25%
non 49%
oui 6%
oui, tous les deux ans 3%
ne sait pas 2%
non communiqué 1%pas de réponse 1% l
es moyens et outils de récupération
suite à une cyber-attaque restent le
parent pauvre de la grande majorité des
entreprises.
des solutions émergent actuellement pour
permettre de transférer vers des assureurs
une part du risque et accroitre la capacité des
entreprises à faire face aux conséquences
potentielles de ces attaques. En particulier, les
frais éventuels de reconstruction de données,
de remise en sécurité de systèmes ou de
notification aux utilisateurs dont les données
auraient été compromises peuvent être inté-
grés dans les indemnisations. En parallèle, les
entreprises doivent s’équiper et s’organiser
pour tirer le maximum d’information des
attaques dont elles sont victimes afin de se
mettre en capacité d’éviter qu’elles puissent
se reproduire. Ainsi, la capacité à fournir des
informations permettant de poursuivre les
auteurs des agressions informatiques doit
aussi être renforcée afin que les forces de
l’ordre et la justice puissent jouer pleinement
leur rôle. Les entreprises doivent donc investir
dans des outils de traçabilité, mettre en place
des moyens humains internes ou externes
spécialisés en analyse des incidents de sécu-
rité et enfin cultiver le réflexe d’avoir recours
aux autorités compétentes en cas d’attaque
de leurs systèmes d’information.
conclusiont i r e r les leçons du passé
an
aly
se r
éc
up
ér
at
ion
40 41
les nouvelles attaques ou attaques
avancées font pour la plupart intervenir
des scénarios où les utilisateurs sont
ciblés. Il devient crucial pour les entreprises
confrontées au risque de cyber-attaque d’in-
tégrer tous les utilisateurs dans les dispositifs
de lutte. Il s’agit de passer d’un modèle où
l’objectif était d’éduquer les utilisateurs afin
qu’ils puissent jouer un rôle passif dans la
sécurité de SI à un modèle où leur rôle doit
devenir actif en tant que ligne de défense du
SI. Les programmes de sensibilisation qui
jusqu’alors se contentait de donner aux utili-
sateurs les clés pour ne pas avoir de com-
portements à risques doit maintenant les
amener à intégrer des réflexes d’autodéfense
appliqués au SI avec lequel ils travaillent.
Ainsi, pour augmenter leur résilience aux
cyber-attaques les entreprises doivent
prendre en considération et former leurs utili-
sateurs à tous les rôles qu’ils peuvent jouer
dans les domaines suivants :
• Prévention des attaques
• Détection des attaques
• Réaction aux attaques
Au-delà, de la sensibilisation il conviendra
d’entrainer les utilisateurs en leur donnant
l’occasion de mettre en pratique les réflexes
et comportements que l’entreprise souhaite
développer pour optimiser sa résilience face
aux cyber-attaques.
note surla sensibilisationdes utilisateurs
il est temps de passer de la théorie à la
pratique régulière !!! Et de la ligne Maginot
à une défense en profondeur agile et
adaptative.
L’étude démontre que l’étape de prise de
conscience a été réalisée par les entreprises
en France. Les cyber-attaques sont donc
bien présentes dans le catalogue des sujets
conclusiongénérale
à adresser. Néanmoins, il reste encore de
nombreuses étapes à franchir pour beau-
coup d’entreprises avant de pouvoir garantir
un niveau optimal de résilience face aux
cyber-attaques. Leur préparation reste théo-
rique et les organisations aussi bien que les
équipes ne sont pas outillées ou entrainées
opérationnellement pour y faire face. Des
moyens existent, des investissements et des
travaux ont été réalisés mais l’efficacité de
tous ces éléments n’est pas évaluée réguliè-
rement afin qu’ils puissent être ajustés.
Il semble que le PDCA si familier des RSSI et
Risk Manager ne soit pas encore appliqué à
sa juste mesure pour ce qui est de la théma-
tique de la gestion des cyber-attaques.
Un effort assez important doit se faire au
niveau des entreprises afin de sortir définitive-
ment d’un modèle de défense axé sur les
mesures dissuasives ou préventives et bas-
culer vers un modèle beaucoup plus versatile
qui seul pourra permettre le développement
de la résilience face aux cyber-attaques.
Ainsi, les entreprises doivent elles envisager
d’entrainer leurs équipes à identifier les signes
d’une attaque en cours et à faire évoluer en
temps réel les moyens de détection et de
réaction afin de protéger les ressources
essentielles de l’entreprise pour lui permettre
de poursuivre son activité. Elles devront éga-
lement s’entrainer à faire face aux consé-
quences de ces attaques en répétant les
scénarios les plus redoutés.
Certaines grandes entreprises, trop rares
encore selon les chiffres de l’étude, sont
allées au bout de la démarche, fortes de leurs
douloureuses expériences des attaques pas-
sées. Elles disposent aujourd’hui de moyens
de détection, de réaction et de récupération
testés et tenus à jour. Elles ne doivent pour-
tant pas faire oublier le fait que la situation
déjà alarmante mise en évidence par l’étude
est certainement plus préoccupante pour les
PME ou les ETI qui sont beaucoup moins
matures que les entreprises représentées par
le panel.
an
aly
se
150 rue Gallieni – 92100 Boulogne-Billancourt+33(0)1 46 99 93 80 – @ Provadys – www.provadys.com
