EY - Cybersécurité - Créer les conditions de la … · EY publie les résultats de son étude annuelle sur la cybersécurité. Cette 18ème édition, s’appuie sur une enquête

Cybersécurité : créer les conditions de la confiance dans le monde digital

EY publie les résultats de son étude annuelle sur la cybersécurité. Cette 18ème édition, s’appuie sur une enquête menée auprès de 1755 professionnels provenant de 67 pays, formant un panel composé de DSI, de DAF, de PDG et des responsables de la sécurité de l’information de sociétés issues de 25 secteurs d’activité différents.

Face à la sophistication des cyberattaques et des techniques utilisées par les cybercriminels, les entreprises doivent agir dès maintenant pour contrer les tentatives d’intrusion. Dans un monde de plus en plus digitalisé, où les données ne cessent de prendre de la valeur, l’étude met en évidence le travail qu’il reste à accomplir dans les entreprises : plus d’un tiers d’entre-elles ne s’estime en effet pas capable d’identifier une cyberattaque sophistiquée.

La cybersécurité n’est pas l’affaire d’une seule fonction au sein de l’entreprise, mais relève bel et bien de la responsabilité de tous ses acteurs, aucun service n’étant à l’abri d’une cyberattaque. Malgré des progrès identifiés dans cette étude, on constate que la « règle des 3 A » (Activer, Adapter et Anticiper) reste trop peu appliquée, laissant la plupart des entreprises encore trop vulnérables.

Celles-ci doivent donc poursuivre leur démarche et conserver un temps d’avance sur les cybercriminels. L’utilisation d’une méthode de « défense active » est l’une des clés pour faciliter la transformation de leur système de cybersécurité.

Avant-propos

• Passuffisammentde mesures prises dans l’environnement actuel

• Pas assez d’adaptation au changement

• Une approche proactive trop lente pour neutraliser

Pourquoi votre entreprise est-elle toujours aussi vulnérable ? Se tourner

vers la « défense active »

• Qu’est-ce que la « défense active » ?

• Comment construire une « défense active » ?

• Conduisez votre entreprise sur la voie du progrès

Comment se déroulent les cyberattaques ?

• Identifierdesscénarii catastrophe

• Détecter les signaux faibles

• Pourquoi rester en alerte ?

Quand digital rime avec cyberattaque

• Un environnement digitalisé qui évolue sans cesse

• Quelles menaces et quelles vulnérabilités craindre ?

• Des pistes pour freiner les cyberattaques

Quand digital rime avec cyberattaque

Quand digital rime avec cyberattaque.

Un environnement digitalisé qui évolue sans cesseLe digital a révolutionné l’environnement des entreprises. Porteur de grandes opportunités d’innovation, il s’accompagne aussi d’effets indésirables qui retiennent toujours davantage l’attention des pouvoirs publics et des médias.

Si la perte de données (de clients ou d’utilisateurs) est au cœur des préoccupations des entreprises, le piratage des médias, de l’administration et des systèmes de défense est perçu comme un enjeu de sécurité nationale.

Les entreprises doivent avoir conscience des enjeux de cybersécurité et prendre les mesures nécessaires pour contrer les menaces existantes.

20%des entreprises interrogées ne peuvent mesurer lesdommagesfinancierscauséspar les incidents informatiques qui se sont produits au cours des 12 derniers mois

seront dépensés via smartphone d’ici 2018 (US $).Source : Goldman Sachs 2014

$626mdsdes objets qui seront connectés ne le sont pas encore.Source : Cisco, Rob Soderbury 2013

99%des relations commerciales seront réalisées sans l’interaction d’un humain d’ici 2020.Source : Gartner Group 2011

85%des entreprises n’ont pas confiance en leur capacité à détecter des cyberattaques sophistiquées.Source : EY Global Info Sec Survey 2015

36%des dirigeants pensent que les données devraient être au cœur de toutes les décisions.Source : EY Becoming an analytics-driven organization to create value 2015

81%

Digitalisation : quelles nouveautés ? Les smart devices and services (dispositifs et services intelligents) entraînent des conséquences inattendues et génèrent de nombreuses données. Ils augmentent la vulnérabilité des entreprises et limitent souvent l’implication des humains dans les processus de décision.

Les employés, consommateurs et citoyens qui partagent des informations sur les médias sociaux et pratiquent le BYOD (Bring Your Own Device) n’ont pas pleinement conscience des implications de tels usages sur la confidentialité et la vie privée.

Les organisations stockent de plus en plus de données dans le cloud et chez des tiers. Cette situation attractive présente néanmoins des risques de perte de contrôle, d’augmentation des menaces, compte tenu des impacts de l’écosystème complexe créés par les interconnexions associées à ces technologies.

L’évolution de ces technologies va de pair avec une évolution des comportements humains, dans un sens positif comme négatif.

Les nouvelles législations et réglementations imposent une évolution des processus, qui implique souvent l’apparition de nouvelles vulnérabilités et élargit le périmètre et l’envergure des menaces qui pèsent sur les entreprises.

2 | Cybersécurité:créerlesconditionsdelaconfiancedanslemondedigital

Quelles menaces et quelles vulnérabilités craindre ?Une politique de sécurité effective ne repose pas sur quelques individus, elle doit être transverse et engager tous les acteurs de l’entreprise, des fournisseurs, et autres tierces parties. Tous doivent être responsabilisés et travailler ensemble pour fournir une vision à 360° de la situation. Chaque décision doit être prise au travers du prisme de la cybersécurité.

Pour obtenir une approche efficace, cette politique doit être alignée sur la stratégie, les risques et les priorités de l’entreprise, notamment en se concentrant sur la protection de son patrimoine informationnel. C’est pourquoi il est utile de lister les priorités et de les cartographier.

Les dirigeants de l’entreprise doivent également être prêts à intervenir et à prendre les bonnes décisions en cas d’incident. Il est donc nécessaire pour la direction de mesurer et de définir en amont son appétence aux risques (i.e. niveau de risque qu’ils sont prêts à prendre).

Au cours des 12 derniers mois, quelles menaces* et quelles vulnérabilités** ont augmenté votre exposition au risque ? (Noter tous les éléments, 1 étant la plus forte et 5 la plus faible).

Vulnérabilités

Utilisation des médias sociaux

Utilisation du cloud computing

Utilisation d’appareils mobiles

Mesures de sécurité de l’information ou architectures obsolètes

Accès non autorisés

Employés non sensibilisés ou négligents

Menaces

Catastrophes naturelles (tempêtes, inondations, etc.)

Espionnage industriel

Cyberattaques (vol de propriété intellectuelle ou de données)

Attaques internes (ex : par des salariés mécontents)

Cyberattaques (vold’informationsfinancières)

Cyberattaques pour perturber ou endommager l’entreprise

Fraude

Spams

Attaques zéro-day

Phishing

Logiciels malveillants (ex : virus, cheval de Troie)

Key: 1 2 3 4 5

6% 14% 31% 25% 23%

10% 18% 28% 21% 23%

9% 23% 31% 22% 15%

16% 15% 19% 19% 31%

10% 22% 12% 20% 36%

18% 26% 32% 14% 9%

9% 11% 23% 22% 35%

9% 14% 24% 31%22%

13% 17% 26% 22% 21%

9% 18% 32% 23% 19%

15% 18% 23%19% 25%

15% 18% 19% 19% 29%

19% 19% 12% 22% 28%

9% 19% 36% 22% 13%

16% 16% 17% 19% 32%

19% 25% 29% 16% 12%

16% 18% 30%27% 9%

* « Menace » est définie comme la possibilité d’une action hostile provenant d’acteurs de l’environnement externe.** « Vulnérabilité » est définie comme une exposition à la possibilité d’être attaqué ou lésé.

Cybersécurité:créerlesconditionsdelaconfiancedanslemondedigital | 3

Des pistes pour freiner les cyberattaquesPour mettre en œuvre une politique de cybersécurité adaptée, il est recommandé de s’appuyer sur les grands principes de gestion des risques avec lesquels les entreprises sont souvent plus familières.

Evolution des menaces et vulnérabilités entre 2014 et 2015 :

44% ont le sentiment d’être vulnérables à cause de salariés non sensibilisés, contre 57% en 2014.

44% considèrent que le phishing constitue la plus grande menace, contre 39% en 2014.

Seuls 34% s’estiment vulnérables à cause de systèmes obsolètes, contre 52% en 2014.

43% considèrent que les logiciels malveillants représentent l’une des plus grandes menaces, contre 34% en 2014.

Quand digital rime avec cyberattaque.

42%des entreprises interrogées affirmentquelaconnaissancedetous leurs actifs est nécessaire pour assurerunecybersécuritéefficace

VS

VS

VS

VS

57%

39%

52%

34%

44%

44%

34%

43%

2014 2015


Les principes clés de la maîtrise des risques …

… appliqués aux cyber-risques

Déterminer les informations critiquesIdentifierlesactifslesplusvulnérablesauxcyberattaques

Rendre les cyber-risques plus tangiblesDéfinirclairementlesrisquesetlesmétriquesassociées

Aligner la stratégie avec la cartographie des risques existanteRisquesfinanciers,opérationnels,règlementaires,consommateurs, de réputation, etc.

Rendre les cyber-risques pertinents pour chacun des métiersRelier les risques de niveau opérationnel aux divisions opérationnelles et à leurs informations sensibles

Tenir compte de l’appétence aux risques dans les décisions d’investissementsEtablir des priorités d’investissements, autoriser les divisions opérationnelles à prendre localement des décisions éclairées

Intégrer la stratégie aux plans d’activitéEn parallèle de la demande croissante de preuves de la part des régulateurs

Définir une appétence aux risquesDéfinitiond’uneappétenceauxrisquespourchacune des divisions opérationnelles de l’entreprise et des différents types de risques

Adopter une vision globaleCouvrir tous les types de risques, actuels ou à venir

Mesurer et établir des tableaux de bordInclure des éléments qualitatifs et des mesures quantitatives

Se concentrer sur ce qui compte le plusS’aligner sur votre culture d’entreprise et des risques

5

4

3

2

1


Ingénierie sociale avancée (ex : spear phishing, attaque

de « point d’eau »)

Phase de collecte de renseignements durant 6 mois

Parfaite connaissance des faiblesses de l’entreprise – au niveau des personnes,

des processus, des technologies

Impacts sur les décisions stratégiques, les fusions/acquisitions et sur la position concurrentielle

Impact sur la valeurL’entreprise est approchée par des bénéficiaires de l’attaque souhaitant racheter l’entité affectée à une valeur contrainte

Marché La valeur du marché est artificiellement diminuée entraînant l’achat d’actions à une valeur contrainte

Identifier les scénarii catastropheÊtre préparé aux cyberattaques, c’est avant tout avoir une connaissance claire de son environnement (interne et externe) et des dommages potentiels en cas d’incident. Construire des scénarii catastrophe répond à ce besoin, et permet d’établir des priorités parmi les mesures à mettre en place.

Exemple de scénario d’attaque :

Ventes

Altération des chiffres de ventes et du système

de communication provoquant un manque à gagner de 2 à 3% dans la période précédant les reporting trimestriels ou

annuels

Chaînes de distribution

Attaque des chaînes de distribution et de commandes en ligne

conduisant à la dégradation de la production et des

recouvrements de créances. Conséquence : 2 à 3% de

résultat perdu par rapport aux projections

R&D

Vol de projets et de produits à fort potentiel

de développement et à forte marge,

provoquant la perte de ventes et d’avantages

concurrentiels

Comptes fournisseurs

Fraudes récurrentes sur les règlements fournisseurs conduisant à des pertes

financièressechiffrantenmillions de dollars par an.

Perte de données à caractère personnel

conduisant à la perte de confiancedupublic,ainsiqu’à des coûts juridiques

additionnels

Résultatsartificielscontraints >Perte de 30% de valeur comptable

Impact des rumeurs sur les réseaux sociaux >Perte de 50% de la valeur de marché

Les effets cumulés sur une entreprise peuvent être colossaux


Sont-ils déjà présents ?Les cybercriminels peuvent passer des mois au sein de votre entreprise pour collecter des informations utiles à une future attaque. S’entourant de précautions, ils optent souvent pour des tactiques de diversion, afin de détourner votre attention de leurs objectifs. Il leur arrive de conserver les

informations volées, mais aussi de les vendre ou de les utiliser, entraînant une plus grande dispersion du risque. Les signes d’infractions étant très subtils, ils ne sont souvent pas signalés par les opérationnels, ce qui rend la détection d’une faille de sécurité particulièrement difficile.

Organisations criminelles 59%

Employés 56%

Hacktivistes 54%

Hackers isolés 43%

Sous-traitants travaillant sur site 36%

Hackers parrainés par des Etats tiers 35%

Fournisseurs 14%

Autres partenaires commerciaux 13%

Clients 12%

Autres 3%


Selon vous, quelle est la plus grande source d’attaques potentielle ?

59% pensent que les organisations criminelles représentent la source d’attaques la plus probable aujourd’hui, contre 53% en 2014.

54% pensent que les hacktivistes représentent l’une des sources d’attaques les plus probables, contre 46% en 2014.

VS

VS

53%

46%

59%

54%

2014 2015


Détecter les signaux faiblesÊtre capable de détecter les incidents le plus tôt possible est une étape cruciale. Elle n’est rendue possible qu’à l’aide d’un système radar complet qui couvre un ensemble d’indicateurs et qui peut lancer des alertes en cas de dépassement de certains seuils.

Quelques exemples d’événements qu’un radar devrait détecter :

• Attaques très visibles sans but évident, tel que DDoS (Distributed Denial of Service), ou vol d’informations sans utilisation évidente

• Mouvements inattendus du cours des actions

• Lancement concurrent de nouveaux produits dont la similarité en termes de R&D, de propriété intellectuelle et de date de lancement est frappante

• Opérations de fusions/acquisitions perturbées : offres concurrentes qui présentent des similitudes

• Client ou partenaire au comportement inhabituel

• Employé au comportement inhabituel

• Perturbations opérationnelles sans cause évidente

• Anomalies dans le traitement des paiements ou le système de commandes

• Bases de données client ou utilisateur montrant des informations incohérentes

36%n’ontpasconfianceenleurcapacitéàdétecterdes cyberattaques sophistiquées, contre 56% en2014.C’estuneaméliorationsignificative,mais il faut garder à l’esprit que le niveau de sophistication augmente continuellement

VS56% 36%

2014 2015


7%des organisations déclarent avoir un programme de réponse robuste aux incidents

des entreprises interrogées considèrent que la prévention des fuites ou des pertes de données est une priorité majeure dans les 12 prochains mois

56%

des entreprises interrogées considèrent que les risques et menaces internes constituent une priorité moyenne, tandis que 56% déclarent que les salariés représentent l’une des sources les plus probables d’attaques

49%

des entreprises interrogées considèrent les réseaux sociaux comme une priorité faible

50%

Pourquoi rester en alerte ?La révolution digitale impose aux entreprises de se tenir sans cesse sur leurs gardes pour être en mesure de détecter des attaques et de répondre à d’éventuels incidents. Cependant, après plusieurs années de vigilance constante, nombreuses sont les entreprises qui se demandent si leurs investissements seront un jour suffisants.

Certaines d’entre elles pensent avoir résolu le problème grâce des dispositifs permettant de contrer des attaques classiques (comme le phishing par exemple) ou bien de combler les failles les plus importantes (le système de gestion des identités et des accès par exemple). En réalité, la situation peut être en train de se dégrader.

Si la plupart des entreprises ont posé les bases d’une cybersécurité adéquate, elles n’ont pas toutes réalisé que ces mesures ne peuvent constituer que les prémices d’une politique bien plus vaste et proactive, car le monde digital nécessite des investissements continus sur le sujet.

Une entreprise pourra considérer qu’elle a mis en place des mesures de cybersécurité suffisantes lorsqu’elle sera capable de rester en permanence dans les limites de l’appétence aux risques qu’elle aura définies (risk appetite).

Démontrer l’apport des investissements en matière de cybersécurité peut se révéler difficile. Néanmoins, lorsqu’une entreprise atteint un fort degré de maturité en la matière, il lui devient plus aisé de justifier une vigilance continue, en démontrant l’apport et la valeur des investissements : à chaque fois que le centre des opérations de sécurité (SOC) identifie une attaque potentielle, l’évaluation des coûts engendrés par les différents scénarii d’attaques (notamment le moins favorable) permet de justifier les investissements consentis.

49% déclarent qu’une augmentation de 25% de leur budget est nécessaire pour protéger leurs informations les plus sensibles

62% ont prévu un budget identique ou inférieur pour répondre aux incidents

70% ont prévu un budget identique ou inférieur pour la mise en place des dispositifs de sécurité (antivirus, patching, chiffrement, etc.)

84% ont prévu un budget identique ou inférieur pour protéger leur propriété intellectuelle



Pourquoi votre entreprise est-elle toujours aussi vulnérable ?

Activer C’est l’étape durant laquelle une entreprise établit une base solide de cybersécurité pour protéger son environnement immédiat. Quelques exemples d’actions :

• Mener une évaluation de la sécurité et construire une feuille de route

• Obtenir le soutien du comité exécutif

• Revoir et mettre à jour les politiques, les procédures et les standards de sécurité

• Mettre en place un Centre des Opérations de Sécurité (Security Operations Center)

• Tester les plans de continuité de l’activité et les procédures de réponse aux incidents

• Concevoir et mettre en place des dispositifs de cybersécurité

Aujourd’hui, les cyber-risques étant devenus plus sophistiqués, deux tâches fondamentales doivent être poursuivies :

• Définir l’écosystème de l’entreprise

• Sensibiliser les salariés à la cybersécurité

Les « 3 A » (Activer, Adapter et Anticiper) sont les trois piliers d’une démarche proposée par EY pour accroître la maturité des entreprises en matière de cybersécurité.


Où en sont les entreprises en 2015 ?

Pas suffisament de mesures prises dans l’environnement actuel

Pourcentage de répondants qui pensent que leur fonction « sécurité de l’information » répond parfaitement aux besoins de l’entreprise

VS13% 12%

Pourcentage de répondants qui n’ont pas de programme IAM*

VS42% 47%

Pourcentage de répondants qui n’ont pas de SOC*

VS12% 18%

Pourcentage de répondants qui pensent que leur fonction « sécurité de l’information » répond partiellement aux besoins, mais qui tentent de l’améliorer

VS63% 67%

2014 2015 IAM * = Identity and Access Management programSOC * = Security Operations Center


Adapter Considérant que les mesures fondamentales de sécurité vont devenir moins efficaces au fil du temps, cette étape se concentre sur le caractère changeant de l’environnement. Elle met en lumière les actions nécessaires pour que les entreprises puissent tenir le rythme face aux exigences et aux évolutions du marché.

Aujourd’hui, pour les entreprises, s’adapter c’est :

• Concevoir un programme de transformation pour améliorer leur maturité en matière de cybersécurité, en utilisant une aide externe, afin d’accélérer sa mise en place, d’introduire les meilleures pratiques et d’assurer la gestion du projet

• Décider de ce que l’on maintient en interne et de ce que l’on externalise

• Définir une matrice RACI (Responsible Accountable Consulted Informed ou matrice des responsabilités) pour la cybersécurité


Pas assez d’adaptation au changement

54%des entreprises n’ont pas de rôle dédié aux technologies émergentes et à leur impact au sein de leur fonction sécurité

Pourcentagederépondantsquiaffirmentquelemanquederessourcesqualifiéesestunfreinàlacontributiondela fonction sécurité et à l’apport de valeur

VS53% 57%

Pourcentage de répondants qui envisagent d’investir davantage dans la transformation de leurs systèmes de sécurité...

VS25% 28%

VS64% 61%

2014 2015

... ou qui envisagent de conserver un budget équivalent



Une approche proactive trop lente pour neutraliser les cyberattaques sophistiquées

Anticiper Pour cette étape, l’entreprise doit développer de manière proactive des tactiques pour détecter et neutraliser de potentielles cyberattaques. Elle doit se concentrer sur l’environnement futur et avoir davantage confiance en sa capacité à gérer des menaces prévisibles, mais aussi des attaques inattendues.

Peu d’entreprises sont à ce niveau, et aujourd’hui il est nécessaire pour elles de :

• Concevoir et mettre en place une stratégie de veille sur les cyber-menaces (Cyber Threat Intelligence)

• Définir et intégrer un écosystème global de cybersécurité

• Avoir une approche cyber-économique

• Utiliser des techniques d’analyse de données pour les investigations, ainsi que la veille sur les cyber-menaces

• Se préparer au pire en développant une stratégie complète de réponse aux intrusions

36%des répondants n’ont pas de programme de veille dédié à la détection des menaces


Pourcentage des répondants qui étendent leur périmètre de cybersécurité à leurs fournisseurs et au-delà

VS8% 12%

Pourcentagedesrépondantsquiaffirmentquelemanagement de la menace et de la vulnérabilité est une priorité moyenne voire faible

VS66% 63%


Se tourner vers la « défense active »

Qu’est-ce que la « défense active » ?Les pouvoirs publics et l’armée ont la capacité de développer des offensives pour lutter contre les cyberattaques. Ces mesures restent encore inadaptées pour les entreprises : elles les exposeraient à se trouver dans une zone encore mal définie par la loi. Cependant, cela ne signifie pas qu’elles doivent rester passives.

Avoir une connaissance profonde des cyber-risques qui portent sur vos ressources critiques et identifier ce que les assaillants souhaitent obtenir, vous permet d’établir une défense ciblée qui passe par la définition de vos actifs, ressources humaines et domaines/métiers prioritaires, ainsi que par le renforcement de vos systèmes. De plus, l’évaluation des menaces spécifiques à votre organisation vous permet de mieux identifier les acteurs de ces menaces et les méthodes qu’ils pourraient utiliser, afin de les intégrer dans des scénarii, et ainsi mieux juger de leur niveau de préparation.

La mise en place d’un centre des opérations de sécurité avancé (SOC) et d’un programme de veille (Cyber Threat Intelligence) vous permettra de mener une défense active en détectant et éliminant toute anomalie, qu’elle soit le fait de simples « visiteurs » ou de hackers confirmés.

Comment construire une « défense active » ? Contrairement à ce qu’offrent les autres services de sécurité, la « défense active » n’améliore pas une zone fonctionnelle spécifique et ne met pas en place de nouvelles technologies. Elle intègre et renforce les capacités de réponses de l’entreprise pour atteindre une plus grande efficacité contre les attaques persistantes.

La « défense active » devrait inclure une évaluation du risque dans le cadre d’une intrusion majeure, et le développement d’un panel de réponses centralisé.

La « défense active » est-elle appropriée à votre organisation ?

Si la réponse à l’une de ces questions est positive, il vous sera sans doute utile de considérer cette approche :

• Nous avons un centre des opérations de sécurité avancé (SOC), mais ne parvenons toujours pas à détecter les attaquants de haut niveau.

• Nous avons un centre des opérations de sécurité avancé (SOC), mais rencontrons toujours des intrusions importantes.

• Nous avons un centre des opérations de sécurité avancé externalisé, mais notre propriété intellectuelle et nos systèmes ne sont pas parfaitement sécurisés.

24%des entreprises interrogées n’ont pas deprogrammed’identificationdesvulnérabilités

34%possèdent un programme d’identificationdesvulnérabilitésinformel et réalisent régulièrement des tests automatisés

27%affirmentquelespolitiquesdeprotection des données et les procédures sont informelles ou que des politiques ad hoc sont mises en place

Se tourner vers la « défense active »

Qu’est-ce qui doit être amélioré ?


Conduisez votre entreprise sur la voie du progrèsPeu d’entreprises possèdent aujourd’hui les compétences appropriées et les ressources en interne pour sécuriser efficacement leurs informations et optimiser la performance de leurs activités. Quel que soit leur secteur d’activité, elles peuvent tirer profit d’une évaluation objective de leurs structures et de leur programme de sécurité de l’information.

Cette évaluation doit être large, de haut niveau, et intégrer parfaitement toutes les spécificités des domaines spécialisés. C’est à cette étape qu’EY peut vous apporter son soutien : la constitution de tableaux de bord permet de mettre en lumière ce qu’il est nécessaire de faire pour soutenir l’évaluation en cours, la transformation et la durabilité de la stratégie de sécurité de l’information.

L’efficacité de la sécurité de l’information

Quels sont les principaux obstacles à la transformation des systèmes de sécurité ?

62% 57%Contraintes budgétaires Manquederessourcesqualifiées

EY | Audit | Conseil | Fiscalité et Droit | Transactions

EY est un des leaders mondiaux de l’audit, du conseil, de lafiscalitéetdudroit,destransactions.Partoutdanslemonde, notre expertise et la qualité de nos services contribuentàcréerlesconditionsdelaconfiancedansl’économieetlesmarchésfinanciers.Nousfaisonsgrandirlestalentsafinqu’ensemble,ilsaccompagnentlesorganisations vers une croissance pérenne. C’est ainsi que nous jouons un rôle actif dans la construction d’un monde plus juste et plus équilibré pour nos équipes, nos clients et la société dans son ensemble.

EY désigne l’organisation mondiale et peut faire référence à l’un ou plusieurs des membres d’Ernst & Young Global Limited, dont chacun est une entité juridique distincte. Ernst & Young Global Limited, société britannique à responsabilité limitée par garantie, ne fournit pas de prestations aux clients. Retrouvez plus d’informations sur notre organisation sur www.ey.com.

© 2015 Ernst & Young Advisory Tous droits réservés.

Studio EY France - 1511SG316

Crédit photo : GettyImages

DE AucuneDocument imprimé conformément à l’engagement d’EY de réduire son empreinte sur l’environnement. Cette publication a valeur d’information générale et ne saurait se substitueràunconseilprofessionnelenmatièrecomptable,fiscaleouautre.Pourtoutequestionspécifique,vousdevezvousadresseràvosconseillers.

ey.com/fr

ContactsPascal AntoniniAssocié, Ernst & Young et AssociésTél. : +33 1 46 93 70 34Email : [email protected]

Marc AyadiAssocié, Ernst & Young AdvisoryTél. : +33 1 46 93 73 92Email : [email protected]

Documents

EY - Cybersécurité - Créer les conditions de la … · EY publie les résultats de son étude annuelle sur la cybersécurité. Cette 18ème édition, s’appuie sur une enquête