Cap sur la cyberrésilience : anticiper, résister, réagirFILE/ey-giss... · Si l’anticipation a échoué (l’organisation n’a pas vu arriver la menace) et qu’il existe une

Cap sur la cyberrésilience : anticiper, résister, réagir 19e édition de l’étude EY sur la sécurité de l’information (2016)

2 | 19e édition de l’étude EY sur la sécurité de l’information (2016)

Editorial .................................................. 3

Quelle dynamique ? ................................. 4

Anticiper ................................................. 8

Résister ................................................ 12

Réagir ................................................... 17

Les 7 points clefs d’une organisation cyberrésiliente ...................................... 23

Méthodologie ......................................... 24

Pour aller plus loin ................................ 26

Sommaire

319e édition de l’étude EY sur la sécurité de l’information (2016) |

Avec l’intensification des attaques malveillantes, la cybersécurité soulève des questions de plus en plus pressantes pour les DSI, directeurs métier et autres membres du Comex : « sommes-nous certains d’être bien protégés ? Consacrons-nous suffisamment d’attention et de moyens à la sécurité ? Notre équipe dispose-t-elle des compétences nécessaires ? Utilise-t-elle les meilleurs outils de détection des cyberattaques ? »

Au-delà de toutes ces inquiétudes, leur plus grande crainte est de devoir faire face à des cyberattaques en dépit de

tous les efforts mis en œuvre pour les prévenir. Qu’ils se rassurent : nous sommes tous confrontés au même « ennemi commun » et avons tous besoin d’aide. Plus nous partagerons nos expériences, nos succès et nos échecs, plus nous collaborerons pour trouver ensemble des réponses communes, mieux nous serons protégés collectivement.

S’il existe une chose dont nous pouvons être certains, c’est que la cybersécurité relève de la responsabilité de tous les acteurs de l’organisation. A ce titre, chacun doit jouer le rôle qui lui a été assigné : au conseil d’administration de soutenir les efforts déployés, aux salariés d’être prudents, en évitant d’ouvrir des emails d’hameçonnage ou de perdre leur ordinateur portable. Mais cela suffit-il pour être absolument serein ?

Probablement pas, même s’il est sans doute difficile de l’admettre. Car le diable se cache dans les détails. Et il suffit de considérer l’ampleur du programme de cybersécurité nécessaire à la protection d’une organisation et de son écosystème pour se rendre compte de la complexité et du nombre de détails à prendre en compte.

Cette 19e édition de notre étude annuelle sur la cybersécurité s’appuie sur une enquête menée auprès de 1 735 professionnels, formant un panel composé de DSI, de DAF, de PDG et de responsables de programmes de sécurité. Grâce à leurs réponses, nous sommes en mesure d’identifier le degré de maturité et les atouts des dispositifs de cybersécurité existants, mais aussi les améliorations dont ils pourraient bénéficier pour être optimum.

• Aiguisez vos sens. Êtes-vous en mesure d’identifier les cybercriminels avant qu’ils n’attaquent ? Votre système de protection vous informe-t-il lorsque l’un d’entre eux commence à affaiblir ou attaquer votre organisation ? Pouvez-vous repérer un attaquant qui se dissimule dans votre réseau ?

• Renforcez vos défenses. Et si la prochaine attaque était beaucoup plus sophistiquée que celles que vous aviez connues jusqu’à présent ? Vos défenses pourraient-elles en supporter d’un genre nouveau, beaucoup plus puissantes ?

• Réagissez plus efficacement. En cas de cyberattaque, quelle stratégie choisirez-vous d’adopter en premier ? Réparer le plus vite possible les dégâts occasionnés ? Collecter les preuves pour entamer une procédure judiciaire ?

Si dans l’ensemble, le bilan est positif – beaucoup a été accompli en peu de temps ! –, nous devons cependant conserver un temps d’avance sur l’ennemi qui rivalise d’ingéniosité pour s’attaquer à nos systèmes et anticiper les attaques.

Pour s’inscrire dans les tendances du marché, les trois sections de ce rapport Sense (Anticiper), Resist (Résister), React (Réagir) peuvent vous servir de guides pour évaluer et améliorer la cybersécurité de votre organisation. N’oubliez pas qu’il est essentiel de continuer à rester étroitement connectés, afin de partager les bonnes pratiques et de s’enrichir mutuellement pour faire face à un ennemi commun qui cible toutes les organisations.

Marc AyadiAssocié EY, responsable des offres Cyber [email protected]

Editorial


Quelle dynamique ?

Cyberrésilience ou cyberagilité ?


Les menaces se multiplient et ne cessent d’évoluer. Les organisations sont confrontées à de nouveaux défis dans un environnement en constante mutation. Pour y faire face, elles ont dû apprendre à se défendre et à riposter, à passer de mesures préliminaires et de réponses ad hoc à des processus beaucoup plus formalisés, robustes et sophistiqués.

La digitalisation et l’arrivée massive des objets connectés, l’évolution des réglementations et les crises financières à répétition, les attaques terroristes et l’explosion de la cybercriminalité ont contraint les entreprises à faire évoluer leurs systèmes de protection. Voici un bref aperçu de cette évolution :

AnticiperAnticiper, c’est être capable de prévoir et de détecter les cybermenaces. Pour cela, les organisations ont recours à une stratégie de veille (cyber threat intelligence) et à une démarche de défense active1 qui leur permet de prévoir les menaces ou attaques qui les ont prises pour cibles. L’objectif est d’être capable de les détecter avant qu’elles ne se produisent et parviennent à pénétrer dans les systèmes de l’organisation.

1. Mettre en place une stratégie de défense détectant et éliminant toute anomalie en renforçant les capacités de réponses afin d’atteindre une plus grande efficacité contre les attaques.

RésisterRésister, c’est mettre en place un bouclier efficace de protection. Il doit être conçu en fonction du niveau de risque que l’organisation est disposée à prendre et comprendre trois lignes de défense :

1. Mesures de contrôle dans les opérations quotidiennes

2. Déploiement de fonctions de suivi telles que le contrôle interne, la veille et l’analyse réalisées par le département juridique, le management des risques, la cybersécurité, etc.

3. Recours au département d’audit interne

Réagir Si l’anticipation a échoué (l’organisation n’a pas vu arriver la menace) et qu’il existe une brèche dans les dispositifs de résistance (les mesures de contrôle n’ont pas été suffisamment efficaces), il est alors nécessaire de disposer d’une capacité de réponse adaptée et de savoir gérer la crise.

Les organisations doivent être capables de conserver les preuves en vue d’éventuelles suites judiciaires, mais également d’analyser les raisons de la faille pour être en mesure de répondre aux demandes des parties prenantes : clients, législateurs, investisseurs, forces de l’ordre, grand public ou toute autre personne susceptible de faire une réclamation. Dans les cas où les responsables sont identifiés, l’organisation pourra alors engager des poursuites.

Enfin, il faut être prêt à assurer un retour à la normale le plus rapidement possible, mais également apprendre de l’incident et donc adapter ses systèmes afin d’améliorer sa cyberrésilience.

Unités centrales Client / serveur

1970 1980 1990 2000 2010• Faire face aux

dangers naturels

• Mise en place de mesures concrètes (évacuation, premiers soins)

• Recours à une assistance externe

• Recours à un nombre restreint de technologies émergentes

• Récupération simple après une défaillance des systèmes

• Développement des protections contre les virus

• Management des identités et des accès

• Apparition de la gestion des risques dans l’ensemble de l’organisation

• Généralisation de la conformité réglementaire

• Plan de continuité d’activité

• Progrès en information et cybersécurité

• Passage au 100% en ligne

• Externalisation avec des tiers (exemple : le cloud)

• Connexion de dispositifs

• Chocs globaux (terrorisme, changement climatique, crises politiques)

• Résilience économique

• Objets connectés

• Infrastructures critiques

• Cyberespionnage et cyberattaques menées par des Etats tiers

La cyberrésilience est une composante de la résilience économique : elle mesure la résilience d’une organisation confrontée à une cybermenace au cours de trois phases clefs d’action : l’anticipation, la résistance et la réaction.

Internet E-commerce Digital


Bouclier

Anticiper

Recouvrer Adapter et réorganiser

Appétence au risque

Trois lignes de défense

Propriété intellectuelle Bénéfices Réputation

Actifs critiques

Menaces

Résister

Réagir

La dynamique est lancée, mais des efforts restent à faire…Les entreprises ont-elles fait progresser leur cyberrésilience ces dernières années ? A de nombreux égards, on peut considérer que le mouvement est en marche : les organisations changent et vont dans la bonne direction. Au cours des dernières années et sous la pression d’une régulation plus forte, elles ont investi dans le renforcement de leur bouclier de protection et mis l’accent sur l’anticipation.

Toutefois, des lacunes existent, notamment lorsque l’organisation doit faire face à une brèche avérée. Les organisations oublient trop souvent la phrase désormais célèbre : « la question n’est pas de savoir « si » vous allez subir une cyberattaque mais « quand » vous la subirez (il y a même de fortes chances pour que cela se soit déjà produit) ».

Anticiper (Voir les menaces arriver)

Résister (Le bouclier de l’organisation)

Réagir (Se remettre de l’attaque)

Dans quels domaines les organisations placent-elles leurs priorités ?

Moyen Fort Faible

Dans quels domaines investissent-elles ? Moyen Fort Faible

Engagement du comité exécutif et des C-Suites Faible Fort Faible

Qualité du reporting à la direction ou au comité exécutif

Faible Moyen Faible


Cyberrésilience ou cyberagilité ?Si vous avez récemment pris l’avion, vous avez pu être impressionnés par la rapidité avec laquelle les compagnies aériennes ont adopté des mesures de sécurité sur le chargement des smartphones, en particulier pour vérifier que leurs batteries ne sont pas remplacées par des explosifs. Dans le domaine de la cybersécurité, la volonté est identique, les organisations aimeraient pouvoir répondre aux changements le plus rapidement possible et répondre aux questions suivantes : « comment améliorer l’agilité de nos systèmes de cybersécurité ? Comment être plus réactif face aux événements récents ? ».

Toutes les organisations cherchent à anticiper la prochaine menace et à mettre en place le meilleur système pour y parvenir. La veille (cyber threat intelligence), la gestion des cybermenaces (cyber threat management), et la mise en place d’outils innovants sont devenues de véritables priorités avec pour seul objectif d’accroître la cyberagilité, c’est-à-dire la faculté de s’adapter à toute nouvelle menace.

Mais si chercher à être plus agile et investir en ce sens est important, la question de la résilience l’est tout autant : « êtes-vous cyberrésilients ? ». En d’autres termes, votre système de cybersécurité est-il suffisamment robuste pour contrer tous les risques auxquels votre organisation doit fait face ? Or la cyberrésilience n’est pas seulement une question de technologie. Si l’organisation s’arrête aux seules mesures de riposte, elle ne pourra bâtir les fondations stables que requiert un système de cybersécurité pour arriver à maturité.

Années après années, notre enquête met en lumière les défis soulevés par la cybersécurité. Au cours des deux dernières années, 87% des membres de comités exécutifs et des C-Suites ont ainsi déclaré avoir des doutes sur le niveau de protection offert par le dispositif de cybersécurité de leur organisation. Preuve qu’il reste du chemin à parcourir. Vouloir plus d’agilité est indispensable, mais la cyberagilité ne constitue pas nécessairement le seul élément de réponse à la question cruciale de toute direction générale : « suis-je cyberrésilient ? ».

des membres de comités exécutifs et des C-Suites ont des doutes sur le niveau de protection du dispositif de cybersécurité de leur organisation.

87%


Anticiper


Les organisations prennent confiance dans leur capacité à anticiper les cybermenaces, mais des progrès restent à faire… Au cours des dernières années, les organisations ont significativement amélioré leur sens de l’anticipation. Si elles sont nombreuses à avoir mis en place une stratégie de veille afin d’anticiper les menaces, certaines ont également eu recours à des centres des opérations de sécurité (Security Operations Center, SOC) et s’efforcent d’identifier et de gérer les vulnérabilités. Elles mettent en place ce que l’on appelle une « défense active ».

Grâce à ces efforts, les organisations ont pris confiance en leur capacité à prévoir et à détecter des attaques sophistiquées : 50% d’entre elles déclarent être en mesure de le faire, le niveau de confiance le plus haut depuis 2013.

Cependant, malgré ces avancées, notre étude démontre que trop peu d’organisations accordent le niveau d’attention requis aux principes élémentaires de cybersécurité. Ainsi chaque jour, elles placent leurs clients, leurs salariés et même leur propre avenir face à des risques considérables :

• 44% des répondants n’ont pas de SOC ;

• 64% n’ont pas de stratégie de veille des cybermenaces, ou seulement de manière informelle ;

• 55% n’ont pas de programme d’identification des vulnérabilités, ou seulement de manière informelle.

Un incident s’est produit, mais il n’y a aucun dégât62% des répondants déclarent qu’ils n’augmenteraient pas leurs dépenses de cybersécurité suite à un incident sans dégâts apparents. Pourtant dans la plupart des cas, un dommage a bien été subi et il y a un préjudice, même si ce dernier n’est pas visible immédiatement. Les cybercriminels conduisent en effet souvent des attaques tests pour endormir la vigilance de leur victime ou créer des diversions pour les orienter dans la mauvaise voie. Chaque attaque cause des dégâts, et s’ils n’apparaissent pas immédiatement, c’est souvent parce qu’ils n’ont pas encore été décelés.

Sécuriser son écosystèmeDans un environnement 100% digital où tout est connecté, les attaques qui se produisent chez les clients, les fournisseurs ou les entités gouvernementales (l’écosystème) peuvent avoir un impact sur votre organisation. Or ces risques sont très souvent négligés :

• 68% des répondants n’augmenteraient pas leur budget de cybersécurité si l’un de leurs fournisseurs était attaqué – pourtant le fournisseur constitue, pour l’attaquant, un accès direct à l’organisation ;

• 58% n’augmenteraient pas leur budget si l’un de leurs concurrents majeurs était attaqué – pourtant les cybercriminels attaquent fréquemment des organisations similaires en matière d’infrastructures et de processus. Ils réutilisent les connaissances acquises lors d’attaques réussies.

La faculté d’anticiper les menaces est bien plus efficace lorsque l’ensemble des incidents affectant l’écosystème est pris en compte.

44%des répondants n’ont pas de SOC

64%n’ont pas de stratégie de veille des cybermenaces, ou seulement de manière informelle.

62%n’augmenteraient pas leurs dépenses de cybersécurité suite à un incident sans dégâts apparents.


Assurer la protection des objets connectésL’émergence des objets connectés et l’explosion du nombre de ces dispositifs accentuent les besoins d’anticipation des organisations et font émerger de nouveaux challenges :

• Le challenge du nombre de dispositifs

Face à l’arrivée massive des objets connectés, les organisations ont vu croître très rapidement le nombre de dispositifs connectés à leurs réseaux. 73% se déclarent préoccupées par la faible connaissance qu’ont les usagers de leurs failles de sécurité potentielles et par conséquent du risque de certains de leurs comportements. Les organisations sont également encore trop nombreuses à s’interroger sur leur capacité à avoir une vision et une connaissance globale de leurs actifs (46%) ou encore sur leur faculté à maintenir tous ces nouveaux dispositifs sans bugs (43%). En outre, 43% se questionnent sur leur aptitude à corriger rapidement une vulnérabilité et 35% sur leur propension à gérer la croissance des points d’accès à leurs systèmes.

• Le challenge des données

Les organisations doutent de leur capacité à traquer les trafics suspects au-delà de leurs réseaux (49%), à identifier qui a véritablement eu accès à leurs données (44%) ou encore à repérer les attaques « zero day »2 cachées ou inconnues (40%).

• Le challenge de l’écosystème

À mesure que les connexions entre organisations et les volumes de données échangés augmentent, l’écosystème s’agrandit. Il deviendra de plus en plus compliqué d’identifier l’origine de la menace au sein d’une nébuleuse où les systèmes de cybersécurité sont fragmentés. C’est pourquoi, de nombreuses organisations s’attendent à ce qu’il soit de plus en plus difficile de superviser l’ensemble de leur écosystème (34%).

Dans quels domaines considérez-vous que les objets connectés constituent des défis de sécurité ? (Plusieurs choix possibles)

49%

46%

46%

44%

43%

40%

35%

34%

10%

4%

Identifier les trafics suspects au-delà des réseaux

Connaître l’ensemble de ses actifs

Traquer l’accès aux données dans son organisation

Garantir la sécurité, le fonctionnement et la mise à jour du plus grand nombre de systèmes et d’objets connectés

Repérer les attaques « zero day » cachées ou inconnues

S'assurer que les contrôles de sécurité mis en œuvre répondent aux exigences actuelles

Gérer la croissance des points d’accès à son organisation

Définir et superviser l’ensemble de son écosystème

Ne sait pas

Autre (précisez)

Collaborer pour mieux protégerLes instances gouvernementales prennent de plus en plus conscience de l’importance de la cybersécurité des entreprises et des organisations publiques : les réglementations sectorielles se multiplient et l’intérêt du législateur s’accentue. De nouvelles législations devraient donc prochainement voir le jour dans ce domaine.

73%se déclarent préoccupés par la faible connaissance des usagers et par leurs comportements sur les dispositifs mobiles.

49%s’interrogent sur leur capacité à traquer les trafics suspects au-delà de leurs réseaux.

2. Vulnérabilité n’ayant fait l’objet d’aucune publication ou n’ayant aucun correctif connu.


Quels risques majeurs associez-vous à l’utilisation croissante des technologies mobiles (ordinateurs portables, tablettes, smartphones) ? (Plusieurs réponses possibles)

73%

50%

32%

31%

27%

19%

16%

3%

La faible connaissance des usagers et leurs comportements

La perte d’un dispositif connecté n’entraîne pas seulementune perte d’informations mais de plus en plus souvent

une perte d’identité

Le piratage des dispositifs

Les responsables des réseaux ne parviennent pas à gérerassez vite les vulnérabilités

Les dispositifs n’utilisent pas les mêmes versions logicielles

Les cybercriminels organisés qui vendent du matérielcontenant des chevaux de Troie déjà installés

Les problèmes d'interopérabilité du matériel informatique

Autre (précisez)

Les cybercriminels – comme dans d’autres secteurs du crime organisé – adoptent des comportements qu’il est difficile de comprendre, sinon d’anticiper. Leurs actions se réfèrent à une éthique et des valeurs qui leur sont propres, et leurs motivations restent souvent obscures.

Fraudes et vols mis à part, le grand public craint de plus en plus que des voitures soient piratées dans le but de provoquer des accidents, et plusieurs infrastructures critiques ont déjà été victimes de chantages donnant lieu à des cyberrançons. La créativité des réseaux criminels est telle que les méthodes d’attaque ne cessent d’être renouvelées pour atteindre leur but plus efficacement, qu’il s’agisse de leur profit personnel ou de servir une cause.

C’est pourquoi le triptyque « Anticiper, Résister, Réagir » est fondamental pour protéger l’écosystème d’une organisation, particulièrement dans un contexte de forte croissance des objets connectés. Sans une cybersécurité efficace, de nombreuses organisations et gouvernements risquent en effet de mettre en péril non seulement leurs données et leur propriété intellectuelle, mais également les personnes, et de provoquer de nombreux dommages collatéraux.

Dans plusieurs parties du monde, des standards de sécurité ont été développés pour les infrastructures et organismes critiques, les organisations sont encouragées à collaborer et à partager l’information, et il leur est même demandé de déclarer les cyberattaques dont elles sont victimes pour combattre plus efficacement la cybercriminalité.

Il faut donc s’attendre à un renforcement des obligations en la matière, d’autant plus que le contexte devrait pousser le législateur, les parties prenantes, partenaires ou même clients à exiger plus de transparence. Les organisations doivent donc se tenir prêtes et saisir dès à présent les opportunités de collaborer :

• 49% des SOC collaborent et partagent leurs données avec d’autres acteurs du même secteur ;

• 38% des SOC collaborent et partagent leurs données avec d’autres SOC publics.

49%des SOC collaborent et partagent leurs données avec d’autres acteurs du même secteur.

Aujourd’hui les cybercriminels sont impitoyables, leurs comportements et méthodes, souvent impossibles à prévoir.


Résister

Réévaluer ses risques


Dans l’ensemble, les organisations ont amélioré leur capacité à résister aux attaques, si bien qu’aujourd’hui elles en repoussent chaque jour plusieurs milliers. Cependant les cyberattaques ne cessent de se sophistiquer, et si les protections et mesures de contrôle se révèlent aujourd’hui efficaces contre de simples dénis de service ou virus, elles ne sont souvent pas suffisantes pour lutter contre des attaques sophistiquées réitérées.

• L’année dernière, 88% des répondants déclaraient que leur programme de cybersécurité ne répondait pas pleinement aux besoins de leur organisation. Avec 86% cette année, cette perception reste largement partagée, signe que les mesures prises par les organisations ne sont toujours pas suffisantes pour faire face à l’aggravation de la situation.

Réévaluer ses risquesComme en 2013 et 2014, près de la moitié des répondants (48%) déclarent que l’obsolescence de leur système de protection est une importante source de vulnérabilité. Pour mémoire, l’année 2015 s’était distinguée par un regain significatif de confiance, puisque seuls 34% d’entre eux partageaient cette opinion. Cette confiance a donc été de courte durée face à l’accroissement des risques liés aux comportements de salariés non sensibilisés aux enjeux de cybersécurité et à l’apparition de nouvelles techniques ciblant spécifiquement les erreurs humaines.

Cette année, on constate donc une réévaluation de l’exposition aux risques des organisations. Alors qu’elles affichaient un véritable optimisme en 2015, il semblerait qu’après une phase de rodage de leurs systèmes, elles aient finalement véritablement pris conscience de la nature de la menace.

Au cours de ces 12 derniers mois, quelles menaces/vulnérabilités ont augmenté votre exposition au risque ? Le tableau présente les pourcentages des réponses notées 1 (la plus élevée) et 2 (élevée), de 2013 à 2016.

2013 2014 2015 2016

Vulnérabilités

Salariés non sensibilisés 53% 57% 44% 55%

Systèmes obsolètes 51% 52% 34% 48%

Accès sans autorisation 34% 34% 32% 54%

Menaces

Logiciels malveillants 41% 34% 43% 52%

Phishing 39% 39% 44% 51%

Cyberattaques conçues pour voler des informations financières 46% 51% 33% 45%

Cyberattaques conçues pour voler des données ou de la propriété intellectuelle 41% 44% 30% 42%

Attaques en interne 28% 31% 27% 33%

86%des répondants déclarent que leur programme de cybersécurité ne répond pas pleinement aux besoins de leur organisation.


Quelles priorités pour mieux résister aux nouvelles attaques ?

Activer ses défensesSi la nature des attaques change, les missions essentielles de cybersécurité restent les mêmes : résister, se défendre, atténuer et neutraliser les attaques. Les services et outils de protection ont su conserver un temps d’avance sur les menaces, et les organisations peuvent aujourd’hui s’appuyer sur de nombreuses solutions efficaces. Néanmoins, notre enquête révèle que 57% des intervenants ont récemment connu un incident de cybersécurité, signe que les protections ne sont pas infaillibles. Travailler à renforcer ses défenses constitue donc une réelle source d’amélioration pour les organisations qui ne disposent pas encore d’un fort degré de maturité en la matière.

Pourcentage de répondants qui jugent matures les processus de gestion de sécurité suivants :

• Sécurité des applications : 29%

• Supervision de la sécurité : 38%

• Gestion des incidents : 38%

• Gestion des identités et des accès : 38%

• Sécurité du réseau : 52%

Sortir des sentiers battusPour résister aux attaques, il est nécessaire d’adopter une ligne de défense multiple. Si les protections traditionnelles comme le chiffrement ou les pare-feux sont généralement perçus comme des obstacles difficilement franchissables, d’autres approches complémentaires existent également pour minimiser l’impact d’une attaque et résister aux assauts :

• Passer d’un système fail-safe à un système safe-to-fail

Jusqu’à présent et à raison, les organisations ont choisi de construire des systèmes d’opérations à sûreté intégrée (fail-safe), capables de résister à des cyberattaques éclair. Mais aujourd’hui, face à l’émergence de nouvelles menaces aussi imprévisibles qu’inédites, ce type d’approche se révèle souvent insuffisant. Le prochain objectif est donc de concevoir un système safe-to-fail. La cybersécurité du futur doit en effet être plus intelligente et plus efficace, en adoptant notamment une approche de résilience douce (Soft-resilient approach). En d’autres termes, lorsque le système détecte une menace, des mécanismes doivent se mettre en place pour absorber l’attaque, en réduire la vélocité et l’impact, et tolérer une défaillance partielle du système pour limiter les dommages causés à l’ensemble.

• Accepter de céder des fragments d’information pour une meilleure protection

Il est aujourd’hui possible de sacrifier des portions congrues d’informations ou d’opérations pour protéger l’ensemble du réseau. Si ce procédé est configuré dans les limites de l’appétence au risque définie par l’organisation, il peut être pertinent d’en faire une réponse automatique en cas de menace avérée. Ainsi, lorsque le centre des opérations de sécurité (SOC) identifie une menace élevée, son propriétaire est alerté et le système est suspendu pour empêcher la propagation de la menace.

57%des répondants ont eu récemment un incident important de cybersécurité.


Les budgets augmentent chaque année : mais est-ce suffisant ?Les budgets alloués à la cybersécurité ont augmenté régulièrement entre 2013 et 2016 : 53% des répondants affirment ainsi que leur budget s’est accru au cours des 12 derniers mois, contre 43% en 2013. De même, 55% des répondants déclarent que leurs budgets augmenteront dans les 12 prochains mois, contre 50% en 2013. Parallèlement, les montants dépensés suivent une courbe similaire : les organisations qui dépensent entre 10 et 50 millions de dollars sont plus nombreuses qu’en 2013, et si 76% des intervenants consacraient moins de 2 millions de dollars au total (en incluant les personnes, les processus et les technologies), ils ne sont plus que 64% aujourd’hui.

Malgré ces progrès, les organisations sont nombreuses à estimer qu’elles ont besoin de davantage de financement : 61% des répondants évoquent les contraintes budgétaires comme un obstacle majeur et 69% demandent une augmentation de 50% de leur budget. Mais l’argent ne fait pas tout. S’il peut aider à pallier une pénurie de compétences, il ne permet pas nécessairement d’obtenir le soutien du comité exécutif.

Quels principaux obstacles rencontrez-vous dans la gestion de la sécurité de votre système d’information ? (Plusieurs choix possibles)

61%

56%

32%

30%

28%

19%

6%

Contraintes budgétaires

Manque de personnel compétent

Manque de sensibilisation ou de soutien des cadres

Manque d'outils de qualité pour gérer la sécurité de l'information

Problèmes de management et de gouvernance

Fragmentation de la conformité/réglementation

Autre (précisez)

53%affirment que leur budget a augmenté au cours des 12 derniers mois.

69%estiment qu’une augmentation de 50% de leur budget est nécessaire pour garantir la protection du système d’information de leur entreprise.


Le rôle du leadershipLe soutien de la direction est essentiel pour une cyberrésilience efficace. Contrairement aux phases d’anticipation et de résistance qui relèvent de la responsabilité du responsable de la sécurité des systèmes d’information ou du directeur des systèmes d’information, la phase de réaction exige une participation active des dirigeants. Depuis 2013, l’enquête a révélé que 31% à 32% des répondants admettent se heurter à un manque de sensibilisation et de soutien des dirigeants susceptible de remettre en question l’efficacité de la cybersécurité de l’organisation. Ce constat, qui reste le même d’année en année, révèle que les mesures prises pour sortir de l’impasse n’ont pas été suffisantes ou qu’elles n’ont pas été suivies d’effets.

La nécessité de transmettre l’information au plus haut niveauNotre enquête montre que 75% des responsables de la sécurité de l’information ne siègent pas au conseil d’administration. Cette faible représentation souligne la nécessité de formaliser l’information pour la transmettre, faute de pouvoir la présenter de vive voix. Notre enquête a révèlé que :

• Seuls 25% des rapports fournissent une vue d’ensemble des menaces auxquelles l’organisation doit faire face ;

• Seuls 35% des rapports indiquent précisément les vulnérabilités du système d’information et proposent des mesures pour les corriger ;

• 89% des organisations n’évaluent pas le préjudice financier de chacune des failles significatives de sécurité subies. Ainsi, parmi celles qui ont connu un incident au cours de l’année, près de la moitié (49%) n’a aucune idée des dommages financiers susceptibles d’être provoqués par cet incident.

Compte tenu de ces marges d’amélioration, il n’est donc pas surprenant que 52% des répondants estiment que leurs dirigeants n’ont pas une connaissance, ni une compréhension complète des risques auxquels leur organisation fait face, ni des mesures mises en place pour les contrer. En d’autres termes, notre enquête suggère que près de la moitié des comités exécutifs marchent à l’aveugle sans connaître les grandes cybermenaces qui pèsent sur leur organisation.

89%des entreprises n’évaluent pas l’impact financier de chaque infraction significative.

49%n’ont aucune idée du préjudice financier susceptible d’être provoqué par une faille majeure de sécurité.


Réagir


Gestion de crise : réagir grâce à un programme centralisé à l’échelle de la firmeEtant donné la forte probabilité d’être la cible d’une cyberattaque, il est indispensable que les organisations développent un solide dispositif de réponse à une violation cyber (CBRP : Cyber Breach Response Plan) s’inscrivant dans leur stratégie globale de gestion des risques.

Déployé à l’échelle de l’organisation, le CBRP permet de donner un cadre de référence commun et de faire collaborer l’ensemble des parties prenantes en cas d’intrusion dans les systèmes de l’organisation. Son pilotage implique la maîtrise de la technologie, la mise en œuvre d’actions opérationnelles et stratégiques au quotidien, ainsi que de solides compétences dans les domaines juridique et réglementaire.

Sa portée va également bien au-delà des programmes de gestion traditionnels, en permettant de s’assurer que le plan de continuité d’activité de l’organisation est correctement appliqué, qu’un plan de communication spécifique a bien été déployé auprès des parties prenantes internes, et que toutes les alertes et questions de sécurité sont traitées de façon centralisée, qu’elles proviennent de sources internes ou externes (collaborateurs ou clients).

En d’autres termes, le CBRP adresse des directives à toutes les lignes de services impliquées dans la gestion de crise. Il sélectionne les informations cruciales à transmettre au comité exécutif, les dispense à propos, et assure avec précision et rapidité une réaction adaptée à la durée de l’attaque qui peut atteindre plusieurs jours, plusieurs semaines et parfois même plusieurs mois.

Un programme CBRP efficace doit impliquer les directions fonctionnelles et métier clefs en cas d’attaque à fort impact. Elément pivot de l’investigation, il permet d’aider les enquêteurs à travailler en collaboration étroite avec les directions SI et de sécurité de l’information pour trouver l’origine de l’attaque, vérifier les réseaux et systèmes, et estimer l’ampleur des actifs compromis ou volés.

Le CBRP supervise en effet non seulement le processus d’identification, de collecte et de protection des preuves, l’investigation numérique et l’évaluation de l’impact, mais peut aussi diriger et orienter les recherches sur la base de faits réels.

Un tel programme garantit que les informations circulent avec fluidité entre les parties prenantes internes et permet de guider les organisations dans la gestion de la complexité inhérente au travail en commun avec une grande diversité d’interlocuteurs : conseillers juridiques externes, législateurs, forces de l’ordre, etc.

Robuste et polyvalent, le CBRP est donc capable de délivrer une réponse à moindre coût, en impliquant l’ensemble des parties prenantes pour réduire l’impact de l’attaque.


Gestion de crise : quelles priorités ?Le plan de continuité d’activité est au cœur de la protection des organisations depuis de nombreuses années. Volet essentiel de tout dispositif de cybersécurité, il figure systématiquement parmi les deux premières priorités des répondants depuis 2013, signe que les organisations ont compris l’importance de renforcer leurs capacités de réaction aux cyberattaques. Cette année encore, 57% d’entre elles l’ont classé en top priorité, au même titre que la prévention des fuites et des pertes de données.

Les systèmes de gestion des informations et des événements de sécurité (SIEM) combinés aux centres des opérations de sécurité (SOC) sont classés 6e : 48% des répondants affirment vouloir dépenser plus dans ces deux domaines dans les 12 prochains mois.

57%font de la continuité d’activité une priorité majeure, au même titre que la prévention des fuites et des pertes de données.

1. Continuité d’activité / reprise après un sinistre

2. Prévention des fuites / perte de données

3. Sensibilisation des salariés et formation

4. Dispositifs de sécurité (antivirus, patching, chiffrement)

5. Gestion des identités et des accès

7. Réponse aux incidents

8. Tests de sécurité (attaques et intrusions)

9. Gestion des accès privilégiés

11. Cloud computing

12. Intégration de la sécurité IT et de l’opérationnel

13. Appareils mobiles

14. Protection de la vie privée

15. Gestion des risques liés aux tiers

17. Refonte de l’architecture sécurité

18. Risques et menaces internes

19. Fraude

21. Propriété intellectuelle

22. Criminalistique

23. Médias sociaux

24. Objets connectés (IoT)

25. RPA (Contrôle robotisé des procédures)

27. Bitcoin

Légende : Fort FaibleMoyen

57%

57%

55%

52%

50%

48%

48%

46%

43%

42%

39%

33%

29%

29%

27%

26%

25%

24%

23%

21%

16%

15%

14%

13%

8%

8%

6%

33%

34%

38%

39%

40%

38%

42%

44%

41%

45%

35%

49%

49%

46%

48%

41%

46%

50%

41%

42%

37%

39%

43%

33%

23%

25%

18%

10%

10%

9%

7%

10%

14%

11%

10%

15%

13%

27%

18%

22%

25%

25%

33%

29%

26%

36%

37%

47%

46%

44%

54%

69%

67%

76%

6. Gestion des incidents de sécurité et SOC

10. Gestion des menaces et des vulnérabilités

16. Transformation de la sécurité de l’information

26. Technologies émergentes (maching learning)

20. Activités d’externalisation de la sécurité, incluant les risques liés aux fournisseurs

Quel degré de priorité accordez-vous à chacun des domaines suivants (fort, moyen, faible) dans les 12 prochains mois ?


Votre entreprise a-t-elle cette année l’intention de dépenser plus, moins, ou relativement le même montant que l’année précédente dans les domaines suivants ?

43%49%

46%

45%

44%

43%

42%

41%

40%

39%

39%

35%

34%

32%

32%

29%

25%

25%

22%

21%

20%

17%

14%

12%

12%

9%

5%

8%

9%

9%

8%

8%

7%

8%

8%

7%

8%

9%

10%

10%

13%

12%

10%

11%

10%

12%

10%

12%

13%

13%

12%

10% 15%

16%

16%

45%

46%

48%

49%

51%

51%

52%

54%

53%

56%

56%

58%

55%

59%

65%

64%

68%

66%

70%

71%

72%

74%

76%

75%

74%

78%

1. Sensibilisation des salariés et formation

3. Cloud computing

4. Tests de sécurité (attaques et intrusions)

5. Gestion des identités et des accès

6. Prévention des fuites / perte de données

7. Dispositifs de sécurité (antivirus, patching, chiffrement)

9. Continuité d’activité / reprise après un sinistre

10. Réponse aux incidents

11. Gestion des accès privilégiés

12. Intégration de la sécurité IT et de l’opérationnel

13. Appareils mobiles

14. Refonte de l’architecture sécurité

16. Protection de la vie privée

17. Gestion des risques liés aux tiers

18. Risques et menaces internes

20. Fraude

21. Criminalistique

22. Objets connectés (IoT)

23. Médias sociaux

24. Propriété intellectuelle

26. Technologies émergentes (maching learning)

27. Bitcoin

Légende : Dépenser plus Pareil ou constantDépenser moins

2. Gestion des incidents de sécurité et SOC

8. Gestion des menaces et des vulnérabilités

15. Transformation de la sécurité de l’information

19. Activités d’externalisation de la sécurité, incluant les risques liés aux fournisseurs

25. RPA (Contrôle robotisé des procédures)

Actuellement, les organisations ne semblent pas prêtes à investir dans de nouvelles compétences visant à adapter et/ou réorganiser leur système d’approche défensif :

• Adapter : s’appuyer sur l’observation de son environnement et des sources de menaces potentielles pour adapter ses processus, ses mécanismes de protection et renforcer ainsi sa cyberrésilience.

• Réorganiser : repenser et transformer ses processus afin d’améliorer à la fois la résilience et l’efficacité opérationnelle de l’organisation pour la rendre plus solide et plus durable.

Bien que l’obsolescence des procédures de contrôle et de l’architecture des programmes de cybersécurité soit considérée comme la seconde plus importante source de vulnérabilité, près de 75% des répondants considèrent que la transformation de leur système de sécurité et la refonte de leur architecture sont des priorités moyennes ou faibles.

Dans quels domaines les organisations investissent-elles ?Perception des priorités et choix d’investissement ne vont pas toujours de pair. Identifié comme une top priorité, le plan de continuité d’activité arrive ainsi en 9e position des priorités budgétaires, suggérant que les organisations estiment avoir suffisamment investi dans ce domaine ces dernières années et souhaitent aujourd’hui explorer d’autres modes de protection.


Que communiquer en cas d’attaque ?• Aujourd’hui, de nombreux cadres législatifs ou réglementaires exigent que les

organisations tiennent les consommateurs informés des cyberattaques susceptibles de les concerner dans un certain laps de temps, généralement de 60 jours. Or il arrive que des cyberattaques ne soient pas découvertes avant des mois, voire même des années, et dans certains cas, il peut arriver que les consommateurs ne soient pas immédiatement informés pour les besoins d’une enquête.

• Dans un futur proche cependant, les consommateurs pourraient se voir indemnisés en cas de vol ou d’intrusion compromettant leurs données personnelles. Aux Etats-Unis par exemple, un projet à l’étude propose de compenser le préjudice subi par un an gratuit d’assurance contre le vol d’identité. Mais ce type de compensation ne convient pas à toutes les situations et pourrait engendrer une augmentation des coûts sans réel bénéfice pour le consommateur, tout en nuisant à l’image et à la réputation des organisations concernées.

• Enfin, il est de plus en plus reconnu que tenir les consommateurs systématiquement informés peut se révéler contre-productif, voire dangereux, en particulier lorsque le risque est faible, car ces derniers pourraient insensiblement baisser leur garde et ne plus réagir adéquatement en cas de réel danger. Ainsi, il n’est pas impossible qu’au cours de ces deux dernières années, une même personne ait été informée que son opérateur de téléphonie mobile, son opérateur Internet et la plateforme qui héberge ses emails aient été tous trois attaqués, ou que ses identifiants bancaires ou de sécurité sociale soient tombés entre les mains de cybercriminels. La répétition de ces alertes pourrait laisser penser que ces attaques sont une fatalité, produisant l’effet inverse de celui recherché, à savoir désensibiliser le public des dangers liés à la cybercriminalité.

Dans la gestion de crise, le Top Management doit faire preuve de leadershipAujourd’hui, lorsqu’une organisation fait face à une cyberattaque qui a déjà commencé à endommager ses systèmes, le top management est en première ligne. Et ce d’autant plus si des défaillances ou des faiblesses apparaissent dans la mise en œuvre des plans de réaction et de restauration des systèmes : plus le problème perdure, plus la situation est susceptible de s’aggraver.

Si les organisations se remettent d’une cyberattaque, leur réputation et la confiance que leur accordent leurs parties prenantes peuvent être réduites à néant en un instant. C’est pourquoi il est essentiel de communiquer sur l’incident avant que la presse ou les médias sociaux ne s’en emparent. Or, encore trop d’organisations ne sont pas encore préparées à cette éventualité.

• 42% des répondants ne disposent pas d’une stratégie ou d’un plan de communication établi en cas d’attaque significative.

• Dans les 7 premiers jours après une attaque :

• 39% feraient une déclaration publique dans les médias ;

• 70% tiendraient informés les organismes de régulation et compliance ;

• 46% ne tiendraient pas informés leurs consommateurs, même si les données compromises les concernaient ;

• 56% ne tiendraient pas informés leurs fournisseurs, même si les données compromises les concernaient.

42%ne disposent pas d’une stratégie ou d’un plan de communication établi en cas d’attaque significative.

39%affirment qu’ils opteraient pour une déclaration publique dans les médias si une telle attaque survenait.


Comment rapidement rétablir les services de l’organisation ?Pour être en mesure de soutenir l’activité pendant la phase d’adaptation et de réorganisation du système de défense, les directions informatiques et de la sécurité ont besoin d’acquérir une connaissance parfaite de la stratégie de l’organisation, de son appétence au risque et des dispositifs mis en place.

En faisant collaborer les stratèges de l’organisation et l’équipe sécurité, la stratégie de cybersécurité peut être alignée sur la stratégie globale de l’organisation.

Malheureusement, notre étude montre que les connexions entre cybersécurité et stratégie demeurent insuffisantes.

• Seuls 5% des répondants affirment avoir changé récemment et significativement leurs plans stratégiques après avoir pris conscience qu’ils étaient exposés à de trop nombreux risques ;

• Seuls 22% affirment qu’ils ont intégralement pris en compte les impacts des plans stratégiques actuels sur la sécurité de l’information.

Gestion interne des systèmes de cybersécurité : quels défis ?Notre enquête révèle que les organisations préfèrent tester et assurer elles-mêmes la maintenance de leur système de cybersécurité :

• 79% des répondants pratiquent l’auto-hameçonnage (self-phishing) ;

• 64% déploient leurs propres tests d’intrusion ;

• 81% effectuent leurs propres recherches d’incidents ;

• 83% analysent eux-mêmes les menaces et vulnérabilités.

D’autre part, bien que la négligence des collaborateurs, le hameçonnage et les logiciels malveillants comptent parmi les menaces d’envergure bien connues, seuls 24% des répondants déclarent avoir mis en place des plans de défense pour y faire face.

Phase de réaction : une priorité d’investissementMême si les répondants font de la phase de réaction une priorité majeure, les investissements financiers dans ce domaine restent relativement faibles. L’intérêt lié à cette phase de protection devrait donc prendre de l’ampleur à mesure que les organisations prendront conscience que toutes les menaces ne peuvent être anticipées.

5%affirment avoir changé récemment et significativement leurs plans stratégiques après avoir pris conscience qu’ils étaient exposés à de trop nombreux risques.

79%pratiquent l’auto-hameçonnage.

81%effectuent leurs propres recherches d’incidents.


Les 7 points clefs d’une organisation cyberrésilienteAcquérir une fine connaissance de l’organisation pour mieux la mobiliser en cas d’attaqueLa cyberrésilience requiert une réaction collective impliquant et mobilisant toute l’organisation. Cette capacité s’appuie sur une connaissance approfondie de l’environnement professionnel et opérationnel de l’organisation pour assurer la protection des processus assurant la continuité de l’activité, celle des collaborateurs et des actifs, mais aussi de l’image globale de la marque en cas de cyberattaque.

Cartographier l’écosystèmeAnalyser l’ensemble des relations qu’entretient l’organisation au sein de son cyberécosystème permet non seulement d’identifier les risques existants, mais aussi de déterminer la place qu’elle occupe dans cet environnement, ainsi que les moyens d’y renforcer son influence.

Identifier les informations prioritaires et actifs stratégiques De nombreuses organisations protègent certaines informations de manière excessive et d’autres de manière insuffisante. L’enquête révèle que :

• 51% des répondants considèrent que les identifiants personnels de leurs clients figurent parmi les informations les plus recherchées par les cybercriminels (priorité 1 ou 2) ;

• Seuls 11% ont placé la propriété intellectuelle brevetée sur les deux premières marches de ce classement ;

• La majorité des répondants considère les informations personnelles des membres du comité exécutif plus précieuses que les informations relatives à la R&D, à la propriété intellectuelle et aux plans stratégiques de l’organisation.

Collaborer pour réduire les facteurs de risqueSans une vision globale des risques et des menaces qui pèsent sur l’organisation, les programmes de cybersécurité ne peuvent être pleinement performants. Le partage d’information en interne se révèle à ce titre parfois plus efficace que tous les outils et technologies conçus pour anticiper et identifier les menaces, car il permet à l’organisation de mieux comprendre l’étendue des risques auxquels elle doit faire face et de combler d’éventuelles lacunes de sécurité. Etendre cette bonne pratique à ses partenaires est un facteur clef de renforcement de la sécurité de son écosystème.

• De quelle marge de manœuvre disposez-vous pour gérer tout risque résiduel ?

• Quel niveau de risque êtes-vous prêts à accepter ?

• Quelles sont les priorités en matière de protection ?

Faire preuve d’un leadership exceptionnel dans l’encadrement de ses équipesLors d’une cyberattaque, comme dans toute situation de crise, les individus doivent se tenir prêts à réagir, car chacun d’entre eux est susceptible d’en être affecté. C’est pourquoi les procédures à suivre doivent être clairement communiquées par le leadership, et les rôles et missions de chacun, bien définis, pour que l’organisation puisse se remettre en état de marche le plus rapidement possible.

Instaurer une culture du changementLa capacité à réagir rapidement à une cyberattaque permet de minimiser les risques d’impacts matériels à long terme. Les organisations qui développent des moyens de défense intégrés, automatisés et efficaces s’appuient généralement sur un comité de direction ad hoc, un programme de gestion de crise et coordonnent les ressources à l’échelle de l’organisation. A travers des simulations, les organisations peuvent entraîner leurs équipes à faire face à ce type de gestion de crise, à évaluer l’efficacité des mesures de protection courantes et de leurs profils de risque afin de s’assurer qu’elles sont parfaitement alignées sur leur stratégie et leur appétence au risque.

Les organisations devraient également élaborer et mettre en œuvre des exercices de simulation sur mesure (jeux de rôles) incluant des tests des centres de contrôle et d’opérations, ainsi que des guides et plans sur la cyberrésilience.

Mener des investigations formelles et préparer d’éventuelles poursuites judiciaires Afin de protéger les intérêts de l’organisation en cas de cyberattaque majeure, les directeurs des systèmes d’information et responsables de la sécurité doivent être prêts à entrer en concertation avec les membres du comité général et du comité de la sécurité, des conseils juridique et externe, ainsi que des comités externes d’investigation et de conformité, afin de :

• Recueillir des preuves en vue d’une éventuelle enquête plus approfondie ;

• S’assurer que les cybercriminels ne sont plus présents sur les réseaux de l’organisation, et qu’aucun logiciel malveillant ne pourra la compromettre à l’avenir ;

• Mener une enquête plus approfondie pour comprendre qui a mené l’attaque, comment elle a été exécutée et pourquoi ;

• Porter plainte ou intenter des actions en justice contre l’agresseur, ainsi que tous ceux qui ont participé à l’attaque ou l’ont commanditée. Des procès peuvent également être intentés contre les fournisseurs de produits et de services peu scrupuleux, qui ne respectent pas les obligations contractuelles en matière de cybersécurité.


Méthodologie

Cette 19e édition de l’étude EY sur la sécurité de l’information s’appuie sur une enquête réalisée entre juin et août 2016 auprès de 1735 professionnels de la sécurité de l’information et de l’IT issus des plus grandes organisations du monde.

Fonction Zone géographique

38%EMEIA

38%Amérique

24%Asie-Pacifique et Japon

Légende :

23%

12%

12%

11%

3%

3%

3%

2%

2%

1%

1%

27%

Responsable de la sécuritédes systèmes d’information

Directeur de la sécuritédes systèmes d’information

Directeur des systèmesd’information

Directeur de l’informatique

Directeur de la sécurité

Directeur /responsable de l’audit interne

Directeur de la technologie

Administrateurs réseaux /systèmes

Directeur / Vice-Présidentde business unit

Directeur administratifet financier

Directeur des risques

Autre


Nombre de salariés Chiffre d’affaires Secteur

20%Banques et marchés de capitaux

Assurances

Technologies

Biens de consommation

Secteur public

Produits industriels diversifiés

Energie et utilities

Distribution

Télécommunications

Santé

Médias et divertissements

Services professionnels

Immobilier (dont construction,hôtellerie et loisirs)

Pétrole et gaz

Automobile

Transports

Mines et métaux

Gestion d’actifs

Sciences de la vie

Compagnies aériennes

Produits chimiques

6%

Aérospatiale et défense

Autre

7%

7%

6%

6%

5%

5%

4%

4%

4%

3%

3%

3%

3%

3%

2%

2%

2%

2%

1%

1%

1%

7%Moins de 10 millions USD

Plus de 10 millionset jusqu’à 25 millions USD





Plus de 500 millionset jusqu’à 1 milliard USD

Plus d’1 milliardet jusqu’à 2 milliards USD

Plus de 2 milliardset jusqu’à 3 milliards USD



Plus de 5 milliardset jusqu’à 7,5 milliards USD

Plus de 7,5 milliardset jusqu’à 10 milliards USD



7%


Plus de 50 milliards USD

Secteur public et organismes sans but lucratif

Non applicable

4%

5%

4%

9%

9%

10%

9%

5%

3%

2%

3%

3%

5%

2%

3%

3%

7%

34%

4%

Moins de 1 000

1 000 à 1 999

2 000 à 2 999

3 000 à 3 999

4 000 à 4 999

5 000 à 7 499

7 500 à 9 999

10 000 à 14 999

15 000 à 19 999

20 000 à 29 999

30 000 à 39 999

40 000 à 49 999

50 000 à 74 999

75 000 à 99 999

100 000 et plus

14%

7%

5%

4%

7%

6%

6%

4%

3%

3%

2%

2%

1%

Pour aller plus loinRetrouvez l’ensemble de nos publications sur www.ey.com/fr/advisory.

Comment trouver les cybercriminels avant qu’ils ne vous trouvent ? Focus sur la stratégie de veille des cybermenaces

ey.com/cti

Gestion des services de sécurité des logiciels : construire un centre de services d’excellence

ey.com/GRCinsights

Répondre aux cyberattaques

ey.com/GRCinsights

Incident responsePreparing for and responding to a cyber attack

Gérer un SOC (Centre des opérations de sécurité)

ey.com/soc

Retour sur le Règlement européen en matière de protection des données personnelles

ey.com/GRCinsights

Privacy Trends 2016 : la vie privée peut-elle encore être protégée ?

ey.com/privacytrends

Renforcer la sécurité de vos opérations par une défense active

ey.com/activedefense

Créer les conditions de la confiance dans un monde digital : étude EY sur la sécurité de l’information (2015).

ey.com/giss2015

La data science au service de la cybersécurité : pour une troisième génération de SOC

ey.com/soc


Et si vous subissiez une cyberattaque sans même vous en rendre compte ?

Pour EY, « Building a better working world », c’est avant tout être capable de résoudre des problèmes sectoriels complexes et capitaliser sur les opportunités pour faire grandir ses clients. Pour cela, nous avons créé un écosystème mondial d’experts métiers et sectoriels et conclu des alliances stratégiques avec de nombreux partenaires.

Pour nous, l’anticipation et la proactivité contre les cyberattaques sont les meilleures armes pour combattre les cybercriminels. De la stratégie à l’exécution, nous avançons avec vous pour concevoir les approches les plus innovantes correspondant à vos enjeux, vos priorités et vos vulnérabilités.

Un monde qui avance c’est un monde où les organisations ont toutes mis en place une véritable stratégie de cybersécurité.

Et si vous subissiez une cyberattaque sans même vous en rendre compte ?

The better the question. The better the answer. The better the world works.*

*Une question pertinente. Une réponse adaptée. Un monde qui avance.

EY | Audit | Conseil | Fiscalité & Droit | Transactions

EY est un des leaders mondiaux de l’audit, du conseil, de la fiscalité et du droit, des transactions. Partout dans le monde, notre expertise et la qualité de nos services contribuent à créer les conditions de la confiance dans l’économie et les marchés financiers. Nous faisons grandir les talents afin qu’ensemble, ils accompagnent les organisations vers une croissance pérenne. C’est ainsi que nous jouons un rôle actif dans la construction d’un monde plus juste et plus équilibré pour nos équipes, nos clients et la société dans son ensemble.

EY désigne l’organisation mondiale et peut faire référence à l’un ou plusieurs des membres d’Ernst & Young Global Limited, dont chacun est une entité juridique distincte. Ernst & Young Global Limited, société britannique à responsabilité limitée par garantie, ne fournit pas de prestations aux clients. Retrouvez plus d’informations sur notre organisation sur www.ey.com.

© 2017 Ernst & Young Advisory.

Tous droits réservés.

Studio EY France - 1701SG018SCORE France N° 2017-002ED none

Document imprimé conformément à l’engagement d’EY de réduire son empreinte sur l’environnement.

Cette publication a valeur d’information générale et ne saurait se substituer à un conseil professionnel en matière comptable, fiscale ou autre. Pour toute question spécifique, vous devez vous adresser à vos conseillers.

ey.com/fr

Contact :

Marc AyadiAssocié, Ernst & Young Advisory

Tél. : +33 1 46 93 73 92Email : [email protected]

Documents

Cap sur la cyberrésilience : anticiper, résister, réagirFILE/ey-giss... · Si l’anticipation a échoué (l’organisation n’a pas vu arriver la menace) et qu’il existe une