Cybersécurité : créer les conditions de la confiance dans le monde digital

Cybersécurité : créer les conditions de la confiance dansle monde digital

Etude sur la sécurité de

l’information 2015

Page 2

Avant-propos

► Dans un monde de plus en plus digitalisé, où les données ne cessent

de prendre de la valeur, la 18ème édition de l’étude annuelle EY sur la

sécurité de l’information met en évidence le travail qu’il reste à

accomplir dans les entreprises.

► La cybersécurité n’est pas l’affaire d’une seule fonction au sein de

l’entreprise, elle relève bel et bien de la responsabilité de tous ses

acteurs, aucun service n’étant à l’abri d’une cyberattaque.

► Composition du panel :

1755professionnels pays

67 25secteurs d’activité

EY’s Global Information Security Survey 2015

Page 3

Quand digital rime avec cyberattaque


Page 4

Un environnement digitalisé qui évolue sans cesse

20%des entreprises interrogées ne peuvent mesurer les dommages financiers causés par les incidents informatiques qui se sont produits au cours des 12 derniers mois

$626mds

seront dépensés via smartphone d’ici 2018 (US $)

Source : Goldman Sachs 2014

85%des relations commerciales seront réalisées sans l’interaction d’un humain d’ici 2020

Source : Gartner Group 2011

99%des objets qui seront connectés ne le sont pas encore

Source : Cisco, Rob Soderbury 2013

36%des entreprises n’ont pas confiance en leur capacité à détecter des cyberattaques sophistiquées

Source : EY Global Info Sec Survey 2015

81%des dirigeants pensent que les données devraient être au cœur de toutes les décisions

Source : EY Becomingan analytics-drivenorganization to createvalue 2015


Page 5

Quelles menaces et vulnérabilités craindre ?


des répondants ont le sentiment d’être vulnérables à cause de salariés non sensibilisés

44% estiment qu’ils sont vulnérables à cause de systèmes obsolètes34%

considèrent que le phishingconstitue la plus grande menace44%

déclarent que les logiciels malveillants représentent l’une des plus grandes menaces

43%

Page 6

Se concentrer sur ce qui compte le plus

S’aligner sur votre culture d’entreprise

et des risques

Des pistes pour freiner les cyberattaques


1Mesurer et établir des tableaux de bord

Inclure des éléments qualitatifs et des mesures

quantitatives

Adopter une vision globale

Couvrir tous les types de risques, actuels ou à venir

Définir une appétence aux risques

Définition d’une appétence aux risques pour

chacune des divisions opérationnelles de

l’entreprise et des différents types de risques

Intégrer la stratégie aux plans d’activité

En parallèle de la demande croissante de preuves

de la part des régulateurs

2345

Déterminer les informations critiques

Identifier les actifs les plus vulnérables aux

cyberattaques

Rendre les cyber-risques plus tangibles

Définir clairement les risques et les métriques

associées

Aligner la stratégie avec la cartographie des

risques existante

Risques financiers, opérationnels, règlementaires,

consommateurs, de réputation, etc.

Rendre les cyber-risques pertinents pour chacun

des métiers

Relier les risques de niveau opérationnel aux divisions

opérationnelles et à leurs informations sensibles

Tenir compte de l’appétence aux risques dans les

décisions d’investissements

Etablir des priorités d’investissements, autoriser les

divisions opérationnelles à prendre localement des

décisions éclairées

Les principes clés de la maîtrise des risques … … appliqués aux cyber-risques

Page 7

Comment se déroulent les cyberattaques ?


Page 8

Un exemple de scenario catastrophe

Parfaite connaissance des faiblesses de l’entreprise

Phase de collecte de

renseignements durant 6 mois

Ingénierie sociale avancée

Les effets

cumulés

sur une

entreprise

peuvent

être

colossaux

Chaînes de

distribution :

2 à 3% de

résultat perdu

Ventes :

Manque à

gagner de 2 à

3%

R&D :

pertes de

ventes et

d’avantages

concurrentiels

Comptes

fournisseurs :

pertes

financières et

pertes de

données

Impact sur la valeur

Tentatives de rachat de

l’entreprise à une valeur contrainte

Marché

La valeur du marché est

artificiellement diminuée entraînant

l’achat d’actions à une valeur contrainte

Résultats artificiels contraints

> Perte de 30% de la valeur comptable

Impact des rumeurs sur les réseaux sociaux

> Perte de 50% de la valeur de

marché

Impacts sur les

décisions

stratégiques, les

fusions /

acquisitions et

sur la position

concurrentielle


Page 9

Quelles sont les principales sources d’attaques ?

56%employés

54%hacktivistes

59%organisations

criminelles


Page 10

Pourquoi rester en alerte ?

5656%des entreprises interrogées considèrent que la prévention des fuites ou des pertes de données est une priorité majeure dans les 12 prochains mois

49%des entreprises interrogées considèrent que les risques et menaces internes constituent une priorité moyenne

50%des entreprises interrogées considèrent les réseaux sociaux comme une priorité faible

7%des organisations déclarent avoir un programme de réponses robuste aux incidents

49%déclarent qu’une augmentation de 25% de leur budget est nécessaire pour protéger leurs informations les plus sensibles


Page 11

Pourquoi votre entreprise est-elle toujours aussi vulnérable ?


Page 12

Activer

pensent que leur fonction

« sécurité de l’information »

répond parfaitement à leurs

besoins

pensent que leur fonction

«sécurité de l’information »

répond partiellement à leurs

besoins

des répondants n’ont pas de

programme IAM*

des répondants n’ont pas de

SOC*

*IAM : Identify and Access Management program

*SOC : Security Operations Center

► Pas suffisamment de mesures prises dans l’environnement actuel


Page 13

Adapter

► Pas assez d’adaptation au changement

des entreprises n’ont pas de rôle dédié aux technologies émergentes et à leur impact au sein de leur fonction sécurité

54%affirment que le manque de ressources qualifiées est un frein à la contribution de la fonction sécurité et à l’apport de valeur

57%

envisagent d’investir davantage dans la transformation de leurs systèmes de sécurité…

28% … envisagent de converser un budget équivalent61%


Page 14

Anticiper

► Une approche proactive trop lente pour neutraliser les cyberattaques sophistiquées

étendent leur périmètre de

cybersécurité à leurs

fournisseurs et au-delà

n’ont pas de programme de

veille dédié à la détection des

menaces


affirment que le management

de la menace et de la

vulnérabilité est une priorité

moyenne voire faible

Page 15

Se tourner vers la « défense active »


Page 16

Qu’est-ce qui doit être amélioré ?

► La « défense active » intègre et renforce les capacités de réponses de l’entreprise

pour atteindre une plus grande efficacité contre les attaques. La mise en place

d’un SOC et d’un programme de veille permet de mener cette défense.

► Elle implique également la connaissance approfondie des cyber-risques qui

portent sur les ressources critiques de l’entreprise et l’identification de ce que les

assaillants souhaiteraient obtenir en cas d’attaque.


24%n’ont pas de programme

d’identification des vulnérabilités

34%ont un programme

informel et réalisent des test automatisés

27%affirment que les

politiques de protection des données et les

procédures sont informelles

Page 17

Les obstacles à la transformationdes systèmes de sécurité


Contraintes budgétaires

Manque de ressources qualifiées

62% 57%

EY | Audit | Conseil | Fiscalité et Droit | Transactions

EY est un des leaders mondiaux de l’audit, du conseil, de la fiscalité

et du droit, des transactions. Partout dans le monde, notre expertise

et la qualité de nos services contribuent à créer les conditions de la

confiance dans l’économie et les marchés financiers. Nous faisons

grandir les talents afin qu’ensemble, ils accompagnent les

organisations vers une croissance pérenne. C’est ainsi que nous

jouons un rôle actif dans la construction d’un monde plus juste et

plus équilibré pour nos équipes, nos clients et la société dans son

ensemble.

EY désigne l’organisation mondiale et peut faire référence à l’un ou

plusieurs des membres d’Ernst & Young Global Limited, dont chacun

est une entité juridique distincte. Ernst & Young Global Limited,

société britannique à responsabilité limitée par garantie, ne fournit

pas de prestations aux clients. Retrouvez plus d’informations sur

notre organisation sur www.ey.com.

© 2015 Ernst & Young Advisory

Tous droits réservés.

Crédit photo : GettyImages

DE Aucune

Document imprimé conformément à l’engagement d’EY de réduire son

empreinte sur l’environnement. Cette publication a valeur d’information générale

et ne saurait se substituer à un conseil professionnel en matière comptable,

fiscale ou autre. Pour toute question spécifique, vous devez vous adresser à vos

conseillers.

ey.com/fr

Contacts

Pascal Antonini

Associé, Ernst & Young et Associés

Tél : +33 1 46 93 70 34

Email : [email protected]

Marc Ayadi

Associé, Ernst & Young Advisory

Tél. : +33 1 46 93 73 92

Email : [email protected]

Business

Cybersécurité : créer les conditions de la confiance dans le monde digital