RAPPORT SUR LES RÉPERCUSSIONS DE LA TRANSFORMATION NUMÉRIQUE SUR LA SÉCURITÉ EN 2018

2

RAPPORT : RÉPERCUSSIONS DE LA TRANSFORMATION NUMÉRIQUE SUR LA SÉCURITÉ EN 2018

TABLE DES MATIÈRES

Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3

Infographie : Principales constatations . . . . . . . . . . . . . . . . . . . . . . . . . .4

Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

Les tendances de la transformation numérique . . . . . . . . . . . . . . . . . . . .7

Les bonnes pratiques des grandes entreprises . . . . . . . . . . . . . . . . . .12

Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14

3

RAPPORT : RÉPERCUSSIONS DE LA TRANSFORMATION NUMÉRIQUE SUR LA SÉCURITÉ EN 2018

RÉSUMÉ

L’enquête de Fortinet sur les implications de la sécurité de la transformation numérique en 2018 examine l’état de la cybersécurité dans les entreprises du monde entier sous l’angle de la transformation numérique (Digital Transformation, appelée : DX) . Trois cents réponses de RSSI et de Responsables de la Sécurité de grandes entreprises nous ont aidé à identifier plusieurs tendances actuelles :

nn La transformation numérique est la tendance informatique qui a le plus d’impact sur les entreprises aujourd’hui, 92% des participants indiquant qu’elle a un grand impact aujourd’hui .

nn La sécurité est de loin le plus grand défi de la transformation numérique, 85% des participants affirmant qu’elle a un impact important .

nn L’entreprise type a subi quatre attaques qui ont entraîné une perte de données, des pannes ou des incidents de conformité sur une période de deux ans .

nn De nombreuses entreprises ont automatisé certaines de leurs procédures de sécurité, mais elles sont encore plus en retard sur d’autres bonnes pratiques en matière de sécurité .

nn Dans une entreprise type, une grande partie de l’infrastructure reste vulnérable, 25% de l’infrastructure étant insuffisamment protégée .

En examinant plus en profondeur les données, nous avons identifié un sous-ensemble de « grandes entreprises » n’ayant subi aucune attaque dommageable au cours des deux dernières années . En comparant les pratiques de sécurité de ces entreprises avec celles de plus petites entreprises, nous avons constaté qu’elles sont plus susceptibles de suivre ces pratiques :

1 . Intégrer les systèmes pour créer une architecture de sécurité unifiée

2 . Partager les renseignements sur les menaces à l’échelle de l’entreprise

3 . Veiller à ce que les protections fonctionnent sur l’ensemble du réseau

4 . Utiliser des contrôles de conformité intégrés

5 . Avoir une visibilité de bout en bout en matière de sécurité

6 . Automatiser plus de la moitié des pratiques de sécurité

Les implications sont claires . Les stratégies de sécurité holistiques et intégrées sont plus efficaces que les stratégies réactives spécialisées . Une approche stratégique devient de plus en plus importante à mesure que la surface d’attaque d’une organisation augmente avec la prolifération des appareils de l’Internet des objets (IoT), de la connectivité mobile et des solutions cloud . Une stratégie globale qui unifie les outils et les processus informatiques sur l’ensemble du réseau est nécessaire pour faire face aux menaces avancées comme les attaques polymorphes, ainsi qu’aux nouvelles vulnérabilités qui se faufilent à cause de DevOps . En parallèle, l’intégration des éléments de sécurité est un prérequis fondamental pour une entreprise qui cherche à automatiser les flux de travail et le partage des renseignements sur les menaces .

4

RAPPORT : RÉPERCUSSIONS DE LA TRANSFORMATION NUMÉRIQUE SUR LA SÉCURITÉ EN 2018

INFOGRAPHIE : PRINCIPALES CONSTATATIONS

92%

des RSSI affirment que la DX a un

impact important sur l’activité.

85%

des RSSI affirment que la sécurité est un obstacle majeur à la mise en œuvre de

la DX. Principales menaces pour la sécurité : attaques polymorphes et DevOps.

Les grandes entreprises n’ont connu AUCUNE attaque ayant engendré des dommages en 2 ans.Les petites entreprises en ont subi 16 !

Les grandes entreprises sont :

plus susceptibles d’utiliser une approche d’architecture de sécurité unifiée

plus susceptibles de partager les renseignements sur les menaces en interne

plus susceptibles de s’assurer que les mesures de protection fonctionnent partout

plus susceptibles d’automatiser la plupart des pratiques de sécurité.

76%38%34%24%

5

RAPPORT : RÉPERCUSSIONS DE LA TRANSFORMATION NUMÉRIQUE SUR LA SÉCURITÉ EN 2018

INTRODUCTION

QU’EST-CE QUE LA TRANSFORMATION NUMÉRIQUE ?

Le concept de DX est aujourd’hui un moteur clé de la stratégie informatique pour la plupart des entreprises. Mais la définition du terme est moins claire qu’on ne pourrait le croire. Indépendamment des détails stratégiques et tactiques, le mot « transformation » implique toutefois un objectif ambitieux : un changement fondamental dans la manière dont une entreprise fait des affaires en utilisant la technologie numérique.

Les éléments suivants sont largement acceptés pour la DX :

nn Il s’agit d’un cheminement plutôt que d’un produit ou d’une solution. La stratégie « tient compte du fait que les objectifs finaux continueront d’évoluer, puisque la transformation numérique est de fait un cheminement continu, tout comme le changement et l’innovation numérique »1.

nn Elle se focalise sur le client. La DX implique souvent d’optimiser l’expérience en ligne des clients et de les engager à un niveau plus individuel, ce qui à son tour fournit des informations précieuses qui peuvent aider la fidélisation et l’augmentation des opportunités de monétisation. En bref, DX « comble l’écart entre ce que les clients numériques attendent déjà et ce que les entreprises analogiques offrent réellement »2.

nn Elle nécessite plus que la simple mise en œuvre d’une technologie. La DX demandera probablement des modifications majeures des processus internes et « un changement culturel qui requiert des entreprises qu’elles remettent continuellement en question le statu quo, expérimentent souvent et acceptent l’échec »3.

nn Elle intègre la capacité d’apporter des modifications rapides. Les entreprises adoptent la DX pour les aider à être plus agiles dans un marché en évolution rapide, l’approche DX signifiant que « vous concevez les éléments de façon à ce qu’ils puissent facilement changer alors qu’une grande partie du travail de numérisation [antérieur] des services informatiques a été d’empêcher tout changement »4.

nn Elle concerne la convergence de nombreuses technologies variées. « Dans l’entreprise numérique, la fusion stratégique d’anciens silos (informatique, technologie industrielle ou opérationnelle [OT], audio-vidéo [AV]) avec des technologies de transformation (cloud, Internet des objets, IA, analyse, traitement en périphérie) permet d’enrichir l’expérience client, l’accélération de l’activité et l’agilité opérationnelle »5.

Bien que le potentiel de la DX soit passionnant d’un point de vue commercial, les changements qui en découlent peuvent être une source d’anxiété pour l’équipe de cybersécurité et les entreprises informatiques en général. La prolifération des points finaux, les réseaux de plus en plus distribués sur plusieurs clouds et l’augmentation exponentielle des volumes de données et du trafic réseau ont tous pour effet d’étendre la surface d’attaque d’une entreprise. Les modifications de l’infrastructure et des processus qui permettent aux entreprises de tirer parti des nouvelles technologies par l’intermédiaire de la DX ajoutent souvent un autre niveau de risque. C’est peut-être vrai en particulier pour les modifications en pratique qui sont censées accélérer un processus commercial tel que DevOps.

6

RAPPORT : RÉPERCUSSIONS DE LA TRANSFORMATION NUMÉRIQUE SUR LA SÉCURITÉ EN 2018

MÉTHODOLOGIE DE CETTE ÉTUDE

Pour cette analyse, nous avons interrogé 300 responsables de la sécurité d’entreprises du monde entier. Quelques informations sur nos participants :

nn Tous occupent le rôle de RSSI/Responsable Sécurité au sein d’entreprises comptant > 2500 employés.

nn Ils sont répartis géographiquement à travers l’Amérique du Nord, l’Europe, l’Asie et l’Australie.

nn Ils représentent une grande variété d’industries — dont le secteur de l’éducation, le gouvernement, la finance, la vente au détail, le secteur de la santé, la technologie et l’énergie.

Cette étude utilise les données de l’enquête pour identifier un certain nombre de tendances actuelles autour de la DX, en particulier en ce qui concerne la sécurité. Nous approfondissons ensuite les données pour identifier un sous-ensemble d’entreprises qui n’ont pas subi de temps d’arrêt, de perte de données ou d’incidents de conformité dûs à des intrusions au cours des deux dernières années. Nous regardons alors ce que ces équipes font différemment.

ÉTATS-UNIS/CANADA

ROYAUME-UNI

ALLEMAGNE

AUSTRALIE

SINGAPOUR

300 participants

RSSI/ Responsables de la Sécurité

> 2 500 employés

PERSONNES PARTICIPANT À L’ENQUÊTE

7

RAPPORT : RÉPERCUSSIONS DE LA TRANSFORMATION NUMÉRIQUE SUR LA SÉCURITÉ EN 2018

LES TENDANCES DE LA TRANSFORMATION NUMÉRIQUE

TENDANCE : LA TRANSFORMATION NUMÉRIQUE EST CONSIDÉRÉE COMME LA TENDANCE INFORMATIQUE QUI A LE PLUS D’IMPACT SUR L’ENTREPRISE

Lorsqu’il leur a été demandé d’évaluer plusieurs tendances actuelles de l’informatique en termes d’impact sur l’entreprise, 92% des participants ont indiqué que la DX avait un effet « assez important » ou « extrêmement important ». Il est intéressant de noter que les deuxième et troisième notes les plus élevées pour l’impact sur l’entreprise ont été attribuées à deux tendances qui sont souvent considérées comme des éléments de la DX — l’IoT (78%) et l’intelligence artificielle (IA)/le machine learning (56%).

IMPACT COMMERCIAL DES TENDANCES INFORMATIQUES ACTUELLES

Transformation numérique IoT IA/Machine Learning

92%

6%2%

78%

16%

6%

56%

34%

10%

28%

55%

17%

11%

32%

57%

10%

25%

66%

SD-WAN Du cloud au datacenter

Blockchain

Assez/extrêmement insignifiant Ni insignifiant, ni important Assez/extrêmement important

8

RAPPORT : RÉPERCUSSIONS DE LA TRANSFORMATION NUMÉRIQUE SUR LA SÉCURITÉ EN 2018

Pourquoi la DX revêt-elle une telle importance ? Lorsqu’on leur demande d’évaluer l’impact qu’ils ont eu sur la décision de se lancer dans la DX, les participants indiquent que le cloud, l’IoT et la mobilité sont les moteurs commerciaux potentiels qui ont eu le plus d’impact. Les trois quarts des participants estiment que chacun de ces éléments a un impact « assez important » ou « extrêmement important », ce qui suggère que, plutôt que d’intégrer ces éléments dans une stratégie DX, ils existaient déjà (et étaient probablement en croissance) dans l’infrastructure de nombreuses entreprises. Les Responsables Informatiques et les Responsables Sécurité cherchent à maximiser leur valeur en définissant un cadre stratégique sur lequel s’appuyer. Une grande majorité des participants évaluent l’augmentation de l’agilité de l’entreprise, les efficacités opérationnelles, la connaissance des clients et l’augmentation de la part de marché comme des objectifs importants de leurs efforts de DX.

Les participants au sondage sont assez optimistes quant aux progrès qu’ils ont réalisés et qu’ils font en ce qui concerne la DX. 67% rapportent que leur entreprise a commencé à mettre en œuvre la DX il y a plus d’un an, et 95% disent qu’ils sont au moins en train de tester une solution aujourd’hui. Bien que l’étude n’ait pas approfondi, les entreprises considèrent avoir bien engagé les efforts de DX.

76%

23%

2%

Cloud IoT La mobilité

74%

23%

2%

74%

19%

7%

89%

11%

1%

85%

14%

1%

82%

14%

4%Augmenter l’agilité

de l’entrepriseRéaliser des gains

d’efficacité opérationnelleObtenir des informations

sur les clients

81%

15%

4%Augmenter la part

de marché

Assez/extrêmement insignifiant Ni insignifiant, ni important Assez/extrêmement important

MOTEURS ET OBJECTIFS DE LA DX

9

RAPPORT : RÉPERCUSSIONS DE LA TRANSFORMATION NUMÉRIQUE SUR LA SÉCURITÉ EN 2018

TENDANCE : LA SÉCURITÉ EST DE LOIN LE PLUS GRAND DÉFI DES EFFORTS DE TRANSFORMATION NUMÉRIQUE

Alors que de nombreux articles en ligne traitent des problèmes organisationnels et des limites des technologies existantes comme étant les plus grands défis pour la DX6, nos RSSI participant sont très clairs sur le fait que les problèmes de sécurité sont les plus grands obstacles aux efforts de DX. 85% considèrent les problèmes de sécurité comme ayant un impact « assez grand » ou « extrêmement grand », tandis que la deuxième réponse la plus courante (56%) est liée à la conformité.

Deux sources de risque sont particulièrement préoccupantes pour les RSSI, l’une externe et l’autre interne. L’augmentation des attaques polymorphes — menaces qui se transforment ou changent constamment pour éviter la détection — est classée comme un défi « assez grand » ou « extrêmement grand » par 85% des participants. Non loin derrière, à 81%, le développement de Devops, qui permet selon les participants l’apparition de vulnérabilités dûes au rythme plus rapide du développement — tendance qui commence à être documentée7. Ces deux menaces peuvent potentiellement s’intensifier à mesure que la surface d’attaque devient plus complexe dans le contexte de la DX.

Une autre grande préoccupation est le manque de visibilité totale de l’équipe de sécurité (70%), étant donné le cadre informatique de plus en plus complexe que la DX permet d’envisager. Même avant la DX, l’état par défaut de la sécurité dans l’entreprise d’aujourd’hui implique de multiples spécialités, avec des services sur site et des déploiements multi-clouds avec différents outils de sécurité. Une stratégie de DX peut aboutir à un environnement encore plus complexe, avec encore plus de clouds et une prolifération d’appareils IoT — dont beaucoup n’ont pas été conçus avec la sécurité en tête.

51%

44%

30%

24%

21%

13%

2%

Les problèmes de sécurité

La conformité

La résistance organisationnelle au changement

Notre matériel et nos logiciels actuels limitent notre flexibilité

Obtenir l’adhésion des fournisseurs et des partenaires

Le coût

Absence d’une stratégie claire de transformation numérique

Un déficit de compétences

Un manque de ralliement des cadres supérieurs

56%

85%

L’IMPACT DES DÉFIS SUR LES EFFORTS DE DX

70%

68%

57%

47%

34%

28%

23%

Les attaques polymorphes

DevOps

Menaces non visibles

Sophistication de la cybercriminalité

L’utilisation accrue de SSL

Les appareils IoT

Une surface de menace accrue

L’ exposition des données clients

L’augmentation du coût des temps d’arrêt

81%

85%

LES EFFETS DE LA DX AYANT UN IMPACT ASSEZ/EXTRÊMEMENT IMPORTANT

10

RAPPORT : RÉPERCUSSIONS DE LA TRANSFORMATION NUMÉRIQUE SUR LA SÉCURITÉ EN 2018

TENDANCE : L’ENTREPRISE TYPE A SUBI DES ATTAQUES QUI ONT ENTRAÎNÉ DES PERTES DE DONNÉES, DES INTERRUPTIONS DE SERVICE OU DES INCIDENTS DE CONFORMITÉ AU COURS DES DEUX DERNIÈRES ANNÉES

L’entreprise « moyenne » de notre enquête a connu 20 intrusions au cours des 24 derniers mois. Quatre d’entre elles ont entraîné des interruptions de service, des pertes de données ou des incidents de conformité, dont deux dûes à des rançongiciels et une à une attaque de déni de service distribué (DDoS).

1

2

1

Intrusions sans conséquences

Intrusions qui ont entraîné la perte de données

Intrusions qui ont entraîné une interruption de service

Intrusions qui ont déclenché un incident de conformité

16

NOMBRE MOYEN D’INTRUSIONS SUR UNE PÉRIODE DE 24 MOIS

Bien que ce résultat soit troublant, il y a aussi des raisons d’être optimiste : un tiers des entreprises interrogées n’ont pas subi d’attaques qui ont causé des temps d’arrêt, des pertes de données ou des incidents de conformité au cours des deux dernières années. Nous analyserons les actions qui différencient ces entreprises dans le prochain paragraphe.

TENDANCE : LES ENTREPRISES N’ONT AUTOMATISÉ QU’UNE PARTIE DE LEURS PRATIQUES DE SÉCURITÉ ET SONT ENCORE PLUS EN RETARD SUR D’AUTRES BONNES PRATIQUES EN MATIÈRE DE SÉCURITÉ

Les entreprises peuvent interpréter l’automatisation de différentes manières, et l’étude ne définissait pas le terme. Bien que plusieurs entreprises (les deux tiers) indiquent qu’elles ont automatisé certaines pratiques de sécurité, plus de la moitié de ces processus demeurent manuels dans l’entreprise type. Cette estimation est probablement basse, car une véritable automatisation n’est pas possible sans intégration sur toute la surface d’attaque et sur tous les éléments de sécurité. Par exemple, de récentes recherches de l’ESG indiquent que si 58% des entreprises avaient déployé une certaine automatisation de la sécurité, seules 19% l’avaient fait de façon approfondie8.

Près de la moitié des participants indiquent que leurs dispositifs de protection fonctionnent maintenant sur toutes les surfaces d’attaque (sur site, cloud, mobile, IoT, etc.), et 30% supplémentaires déploient des solutions qui les mèneront à ce point. Dans de nombreux cas, ces solutions restent toutefois probablement spécialisées et manquent d’intégration.

67%

18%

8%

6%1%

48%

30%

13%

6%1%

30%

40%

18%

10%2%

29%

41%

19%

9%2%

21%

35%

33%

10%1%

18%

46%

25%

9%1%

16%

13%

30%

30%

1%

10%

14%

44%

28%

9%

4%

Automatisation de notre système de sécurité pour augmenter la

vitesse de détection et de neutralisation,

et l’agilité

Vérification du fonctionnement de nos dispositifs de protection partout

(sur site, cloud, mobile, IoT, etc.)

Contrôles de conformité intégrés pour un

suivi et des rapports centralisés pour les

normes industrielles et de sécurité

Vérification que nous avons une visibilité de bout en bout sur tous les environnements

Ajout de défenses contre les menaces

avancées telles que les attaques polymorphes

Partage des renseignements sur les menaces à l’échelle de

l’entreprise

Partage des renseignements

sur les menaces en temps réel sur toute la

surface d’attaque

Intégration de vos systèmes de sécurité

pour former une architecture de sécurité unifiée

Aucune discussion et pas de discussion prévue

Pas encore en discussion, mais discussion prévue

Discussion en cours

Évaluations en cours

Mise en œuvre en cours

Mise en œuvre déjà effectuée

NIVEAU D’ENGAGEMENT À L’ÉGARD DES PRATIQUES DE SÉCURITÉ POUR LA DX

11

RAPPORT : RÉPERCUSSIONS DE LA TRANSFORMATION NUMÉRIQUE SUR LA SÉCURITÉ EN 2018

Les entreprises sont moins avancées dans la mise en œuvre de plusieurs autres pratiques de sécurité mentionnées dans l’enquête. Les projets d’intégration de solutions de sécurité, de mise en œuvre d’une visibilité de bout en bout et d’automatisation des contrôles de conformité sont encore en cours dans 30% à 40% des entreprises, et terminés dans moins d’un tiers. Le déploiement en cours chez un si grand nombre d’entre elles indique que les entreprises agissent rapidement pour tenter de garder une longueur d’avance sur l’évolution des menaces.

TENDANCE : UNE GRANDE PARTIE DE L’INFRASTRUCTURE DEMEURE VULNÉRABLE

Le participant « moyen » estime que 25% de son infrastructure ne sont pas protégés contre les menaces actuelles de sécurité. Avec l’extension de la surface d’attaque, les architectures de sécurité existantes sont souvent incapables de s’adapter à la nouvelle demande. Même si des solutions ponctuelles sont déployées pour fournir une certaine protection, la prolifération de systèmes spécialisés qui en résulte signifie que le profil général de sécurité de l’entreprise ne peut pas être beaucoup amélioré.

Les vulnérabilités qui peuvent être résolues par des mises à jour logicielles et des correctifs demeurent un problème potentiel pour certaines entreprises. Alors que presque toutes les entreprises dans notre enquête signalent que les correctifs sont « relativement à jour », seulement un tiers indiquent qu’ils sont « extrêmement à jour ».

80–100

60–79

40–59

20–39

0–19

0%

14%

26%

45%

15%

POURCENTAGE DE L’INFRASTRUCTURE QUI N’EST PAS ENTIÈREMENT PROTÉGÉE CONTRE LES MENACES DE SÉCURITÉ ACTUELLES

12

RAPPORT : RÉPERCUSSIONS DE LA TRANSFORMATION NUMÉRIQUE SUR LA SÉCURITÉ EN 2018

LES BONNES PRATIQUES DES GRANDES ENTREPRISES

En approfondissant davantage le degré de réussite des participants en matière de sécurité, nous avons constaté une grande diversité de résultats relatifs aux paramètres opérationnels. Nous avons alors regroupé les résultats en niveaux supérieur et inférieur, chacun d’entre eux représentant environ un tiers des participants. Les différences de résultats entre les niveaux supérieur et inférieur sont remarquables :

GRANDES ENTREPRISES PETITES ENTREPRISES

20% à 39% de l’infrastructure n’est pas entièrement protégée

40% à 59% de l’infrastructure n’est pas entièrement protégée

11 intrusions en 2 ans, PAS d’interruption de service, de perte de

données ou d’incident de conformité

56 intrusions en 2 ans,16 entraînant une interruption de service, une perte de données ou un incident de conformité

ZÉRO attaque par rançongiciel5 attaques par rançongiciel,

3 entraînant une interruption de service, une perte de données ou un incident de conformité

2 attaques de déni de service (DDoS),PAS d’interruption de service, de perte de

données ou d’incident de conformité

9,5 attaques de déni de service (DDoS),3 entraînant des temps d’arrêt

56% des RSSI se sentent en sécurité dans leur entreprise

33% des RSSI se sentent en sécurité dans leur entreprise

13

RAPPORT : RÉPERCUSSIONS DE LA TRANSFORMATION NUMÉRIQUE SUR LA SÉCURITÉ EN 2018

Il n’est peut-être pas surprenant de constater que les grandes entreprises ont tendance à adopter une approche plus holistique et stratégique en matière de sécurité. Nous avons découvert, entre autres :

01Les grandes entreprises sont 76% plus à même d’intégrer leurs systèmes de sécurité pour former une architecture de sécurité unifiée.

Adopter une approche stratégique signifie briser les systèmes spécialisés et déployer une technologie et des processus cohérents dans l’ensemble du réseau, depuis les terminaux de l’IoT jusqu’aux infrastructures multi-clouds. Les grandes entreprises sont bien plus avancées dans cette stratégie que leurs homologues les petites entreprises.

02Les grandes entreprises sont 38% plus à même de partager des renseignements sur les menaces à l’échelle de leur entreprise.

L’une des conséquences d’avoir des systèmes de technologie et de processus en silos est que toute l’étendue des renseignements sur les menaces accessibles à une entreprise n’est pas utilisée dans l’ensemble de l’infrastructure. Les entreprises les plus performantes sont beaucoup plus susceptibles d’avoir réglé ce problème.

03Les grandes entreprises sont 34% plus à même de s’assurer que leurs mesures de protection fonctionnent partout (sur site, cloud, IoT, mobile, etc.).

À mesure que la surface d’attaque d’une organisation augmente avec la prolifération de différents types de terminaux et de systèmes basés sur le cloud, les outils de sécurité existants ne suivent pas toujours. Résoudre ce problème et s’assurer que les outils sont intégrés dans toute l’infrastructure améliore considérablement la politique de sécurité d’une entreprise.

04Les grandes organisations sont 24% plus à même d’intégrer des contrôles de conformité pour un suivi et des rapports centralisés, tant pour les normes de l’industrie que pour celles de sécurité.

Cela fait plusieurs années que les industries fortement réglementées ont ouvert la voie de l’adoption de contrôles de conformité automatisés. Plus récemment, d’autres industries ont rattrapé leur retard à la suite d’une vague de nouvelles réglementations et normes, d’énormes changements de l’infrastructure informatique et de l’évolution du paysage des menaces.

05Les grandes entreprises sont 20% plus à même d’avoir une visibilité de bout en bout dans tous les environnements.

La visibilité de bout en bout est pratiquement impossible avec des outils de sécurité en silos. Sans cette transparence, les organisations ne peuvent tout simplement pas suivre le rythme de l’évolution des menaces. Bien que la définition de « bout en bout » évolue rapidement, les entreprises qui ont bien progressé dans ce processus obtiennent les meilleurs résultats.

06Les grandes entreprises sont 24% plus à même d’avoir automatisé plus de la moitié de leurs pratiques de sécurité.

Le volume de menaces observé dans la plupart des entreprises aujourd’hui signifie que la surveillance et les mesures correctives manuelles sont passées du stade de perte de temps du personnel à celui de mission impossible. La mise en place de l’automatisation des flux de travail exige cependant du temps et des tests. Les entreprises les plus sécurisées sont plus avancées dans leur automatisation que leurs homologues qui connaissent moins de succès.

14

RAPPORT : RÉPERCUSSIONS DE LA TRANSFORMATION NUMÉRIQUE SUR LA SÉCURITÉ EN 2018

CONCLUSION

Les principales conclusions de notre enquête sont assez simples. Pour résumer :

nn La DX est la tendance informatique dominante du marché.

nn La sécurité est le plus grand obstacle à sa réalisation.

nn Il existe des menaces à la fois internes et externes pour la sécurité, notamment :

n¡ Les menaces polymorphes

n¡ Les vulnérabilités introduites par DevOps

nn L’entreprise type subit des attaques dommageables.

nn La plupart des entreprises s’efforcent d’assembler un cadre de sécurité adéquat qui tient compte des nouvelles réalités informatiques introduites par la DX.

Bien que ces découvertes fassent certainement réfléchir, il s’en dégage des éléments positifs pour la DX. Malgré des défis tels qu’une surface d’attaque étendue, une complexité accrue dans la gestion de tous les éléments mobiles et un paysage de menaces évolutif, certaines entreprises ont réussi à prévenir les attaques dommageables, notamment grâce à une approche proactive de la gestion des risques qui protège contre les attaques malveillantes et les intrusions. En particulier, les entreprises qui adhèrent à quelques principes directeurs sont beaucoup plus sécurisées que les autres et n’ont pas connu d’interruption de service, de perte de données ou d’incident de conformité. On compte parmi ces bonnes pratiques :

nn Une architecture de sécurité qui offre une visibilité transparente et des contrôles centralisés.

nn Une stratégie qui utilise l’intégration pour débloquer l’automatisation des flux de travail et le partage des renseignements sur les menaces.

nn Des contrôles de conformité intégrés pour un suivi et des rapports centralisés et une réduction des risques.

15

RAPPORT : RÉPERCUSSIONS DE LA TRANSFORMATION NUMÉRIQUE SUR LA SÉCURITÉ EN 2018

1 « Digital transformation: online guide to digital business transformation », iSCOOP, consulté le 7 juillet 2018, https://www .i-scoop .eu/digital-transformation/.

2 Greg Verdino, « What Is Digital Transformation, Really? » 5 mars 2015, http://www .gregverdino .com/digital-transformation-definition/.

3 « What is digital transformation? » The Enterprisers Project, consulté le 7 juillet 2018, https://enterprisersproject .com/what-is-digital-transformation.

4 Galen Gruman, « What digital transformation really means », InfoWorld, 14 juin 2016, https://www .infoworld .com/article/3080644/it-management/what-digital-transformation-really-means .html.

5 Benson Chan, « Digital transformation reimagines everything », Strategy of Things, 7 septembre 2017, https://strategyofthings .io/digital-transformation.

6 Maarten van Montfoort, « 3 Key Barriers to Digital Transformation », COMPAREX, 12 août 2017, https://www .comparex-group .com/web/com/about/press/2017/3-key-barriers-to-digital-transformation .htm#; Jeremy Deaner, « How to Overcome Barriers to Digital Transformation (& Reach Your Customer Engagement Potential) », Engage Hub, consulté le 7 juillet 2018, https://engagehub .com/blog/how-to-overcome-barriers-to-digital-transformation.

7 Cameron McKenzie, « Avoiding the most common DevOps security vulnerabilities in the cloud », TheServerSide, consulté le 7 juillet

2018, https://www .theserverside .com/feature/Avoiding-the-most-common-DevOps-security-vulnerabilities-in-the-cloud.

8 Jon Oltsik, « Enterprise plans for security automation and orchestration », CSO, 30 janvier 2018, https://www .csoonline .com/article/3252230/security/enterprise-plans-for-security-automation-and-orchestration .html.

Copyright © 2018 Fortinet, Inc. Tous droits réservés. Fortinet®, FortiGate®, FortiCare®, FortiGuard® et certaines autres marques sont des marques déposées de Fortinet, Inc., et les autres noms Fortinet mentionnés dans le présent document peuvent également être des marques déposées et/ou des marques de droit commun de Fortinet. Tous les autres noms de produit ou d’entreprise peuvent être des marques commerciales de leurs détenteurs respectifs. Les données de performances et autres indicateurs de mesure figurant dans le présent document ont été obtenus au cours de tests de laboratoire internes réalisés dans des conditions idéales, et les performances et autres résultats réels peuvent donc varier. Les variables de réseau, les différents environnements réseau et d’autres conditions peuvent affecter les performances. Aucun énoncé du présent document ne constitue un quelconque engagement contraignant de la part de Fortinet, et Fortinet exclut toute garantie, expresse ou implicite, sauf dans la mesure où Fortinet conclut avec un acheteur un contrat écrit exécutoire, signé par le directeur des affaires juridiques de Fortinet, qui garantit explicitement que les performances du produit identifié seront conformes à des niveaux de performances donnés expressément énoncés et, dans un tel cas, seuls les niveaux de performances spécifiques expressément énoncés dans ledit contrat écrit exécutoire ont un caractère obligatoire pour Fortinet. Dans un souci de clarté, une telle garantie sera limitée aux performances obtenues dans les mêmes conditions idéales que celles des tests de laboratoire internes de Fortinet. Fortinet rejette intégralement toute convention, déclaration ou garantie en vertu des présentes, qu’elle soit expresse ou implicite. Fortinet se réserve le droit de changer, de modifier, de transférer ou de réviser par ailleurs la présente publication sans préavis, et c’est la version la plus à jour de la publication qui est applicable. Fortinet rejette intégralement toute convention, déclaration ou garantie en vertu des présentes, qu’elle soit expresse ou implicite. Fortinet se réserve le droit de changer, de modifier, de transférer ou de réviser par ailleurs la présente publication sans préavis, et c’est la version la plus à jour de la publication qui est applicable.

AMÉRIQUE LATINE — SIÈGE SOCIALSawgrass Lakes Center13450 W. Sunrise Blvd., Suite 430Sunrise, FL 33323Tél. : +1.954.368 9990

FRANCE TOUR ATLANTIQUE11ème étage, 1 place de la Pyramide92911 Paris La Défense CedexFranceVentes: +33-1-8003-1655

SUCCURSALE APAC300 Beach Road 20-01The ConcourseSingapour 199555Tél. : +65 6513 3730

SUCCURSALE EMEA905 rue Albert Einstein06560 ValbonneFranceTél. : +33 4 8987 0500

SIÈGE SOCIAL INTERNATIONALFortinet Inc.899 Kifer RoadSunnyvale, CA 94086États-UnisTél. : +1.408.235 7700www.fortinet.com/sales