Cybersécurité : créer les conditions de la confiance dans le monde digital
Etude sur la sécurité de
l’information 2015
Page 2
Avant-propos
► Dans un monde de plus en plus digitalisé, où les données ne cessent
de prendre de la valeur, la 18ème édition de l’étude annuelle EY sur la
sécurité de l’information met en évidence le travail qu’il reste à
accomplir dans les entreprises.
► La cybersécurité n’est pas l’affaire d’une seule fonction au sein de
l’entreprise, elle relève bel et bien de la responsabilité de tous ses
acteurs, aucun service n’étant à l’abri d’une cyberattaque.
► Composition du panel :
1755 professionnels pays
67 25 secteurs d’activité
EY’s Global Information Security Survey 2015
Page 4
Un environnement digitalisé qui évolue sans cesse
20% des entreprises interrogées ne peuvent mesurer les dommages financiers causés par les incidents informatiques qui se sont produits au cours des 12 derniers mois
$626mds
seront dépensés via smartphone d’ici 2018 (US $)
Source : Goldman Sachs 2014
85% des relations commerciales seront réalisées sans l’interaction d’un humain d’ici 2020
Source : Gartner Group 2011
99% des objets qui seront connectés ne le sont pas encore
Source : Cisco, Rob Soderbury 2013
36% des entreprises n’ont pas confiance en leur capacité à détecter des cyberattaques sophistiquées
Source : EY Global Info Sec Survey 2015
81% des dirigeants pensent que les données devraient être au cœur de toutes les décisions
Source : EY Becoming an analytics-driven organization to create value 2015
EY’s Global Information Security Survey 2015
Page 5
Quelles menaces et vulnérabilités craindre ?
EY’s Global Information Security Survey 2015
des répondants ont le sentiment d’être vulnérables à cause de salariés non sensibilisés
44% estiment qu’ils sont vulnérables à cause de systèmes obsolètes 34%
considèrent que le phishing constitue la plus grande menace 44%
déclarent que les logiciels malveillants représentent l’une des plus grandes menaces
43%
Page 6
Se concentrer sur ce qui compte le plus
S’aligner sur votre culture d’entreprise
et des risques
Des pistes pour freiner les cyberattaques
EY’s Global Information Security Survey 2015
1 Mesurer et établir des tableaux de bord
Inclure des éléments qualitatifs et des mesures
quantitatives
Adopter une vision globale
Couvrir tous les types de risques, actuels ou à venir
Définir une appétence aux risques
Définition d’une appétence aux risques pour
chacune des divisions opérationnelles de
l’entreprise et des différents types de risques
Intégrer la stratégie aux plans d’activité
En parallèle de la demande croissante de preuves
de la part des régulateurs
2 3 4 5
Déterminer les informations critiques
Identifier les actifs les plus vulnérables aux
cyberattaques
Rendre les cyber-risques plus tangibles
Définir clairement les risques et les métriques
associées
Aligner la stratégie avec la cartographie des
risques existante
Risques financiers, opérationnels, règlementaires,
consommateurs, de réputation, etc.
Rendre les cyber-risques pertinents pour chacun
des métiers
Relier les risques de niveau opérationnel aux divisions
opérationnelles et à leurs informations sensibles
Tenir compte de l’appétence aux risques dans les
décisions d’investissements
Etablir des priorités d’investissements, autoriser les
divisions opérationnelles à prendre localement des
décisions éclairées
Les principes clés de la maîtrise des risques … … appliqués aux cyber-risques
Page 8
Un exemple de scenario catastrophe
Parfaite connaissance des faiblesses de l’entreprise
Phase de collecte de
renseignements durant 6 mois
Ingénierie sociale avancée
Les effets
cumulés
sur une
entreprise
peuvent
être
colossaux
Chaînes de
distribution :
2 à 3% de
résultat perdu
Ventes :
Manque à
gagner de 2 à
3%
R&D :
pertes de
ventes et
d’avantages
concurrentiels
Comptes
fournisseurs :
pertes
financières et
pertes de
données
Impact sur la valeur
Tentatives de rachat de
l’entreprise à une valeur contrainte
Marché
La valeur du marché est
artificiellement diminuée entraînant
l’achat d’actions à une valeur contrainte
Résultats artificiels contraints
> Perte de 30% de la valeur comptable
Impact des rumeurs sur les réseaux sociaux
> Perte de 50% de la valeur de
marché
Impacts sur les
décisions
stratégiques, les
fusions /
acquisitions et
sur la position
concurrentielle
EY’s Global Information Security Survey 2015
Page 9
Quelles sont les principales sources d’attaques ?
56% employés
54% hacktivistes
59% organisations
criminelles
EY’s Global Information Security Survey 2015
Page 10
Pourquoi rester en alerte ?
56 56% des entreprises interrogées considèrent que la prévention des fuites ou des pertes de données est une priorité majeure dans les 12 prochains mois
49% des entreprises interrogées considèrent que les risques et menaces internes constituent une priorité moyenne
50% des entreprises interrogées considèrent les réseaux sociaux comme une priorité faible
7% des organisations déclarent avoir un programme de réponses robuste aux incidents
49% déclarent qu’une augmentation de 25% de leur budget est nécessaire pour protéger leurs informations les plus sensibles
EY’s Global Information Security Survey 2015
Page 11
Pourquoi votre entreprise est-elle toujours aussi vulnérable ?
EY’s Global Information Security Survey 2015
Page 12
Activer
pensent que leur fonction
« sécurité de l’information »
répond parfaitement à leurs
besoins
pensent que leur fonction
«sécurité de l’information »
répond partiellement à leurs
besoins
des répondants n’ont pas de
programme IAM*
des répondants n’ont pas de
SOC*
*IAM : Identify and Access Management program
*SOC : Security Operations Center
► Pas suffisamment de mesures prises dans l’environnement actuel
EY’s Global Information Security Survey 2015
Page 13
Adapter
► Pas assez d’adaptation au changement
des entreprises n’ont pas de rôle dédié aux technologies émergentes et à leur impact au sein de leur fonction sécurité
54% affirment que le manque de ressources qualifiées est un frein à la contribution de la fonction sécurité et à l’apport de valeur
57%
envisagent d’investir davantage dans la transformation de leurs systèmes de sécurité…
28% … envisagent de converser un budget équivalent 61%
EY’s Global Information Security Survey 2015
Page 14
Anticiper
► Une approche proactive trop lente pour neutraliser les cyberattaques sophistiquées
étendent leur périmètre de
cybersécurité à leurs
fournisseurs et au-delà
n’ont pas de programme de
veille dédié à la détection des
menaces
EY’s Global Information Security Survey 2015
affirment que le management
de la menace et de la
vulnérabilité est une priorité
moyenne voire faible
Page 16
Qu’est-ce qui doit être amélioré ?
► La « défense active » intègre et renforce les capacités de réponses de l’entreprise
pour atteindre une plus grande efficacité contre les attaques. La mise en place
d’un SOC et d’un programme de veille permet de mener cette défense.
► Elle implique également la connaissance approfondie des cyber-risques qui
portent sur les ressources critiques de l’entreprise et l’identification de ce que les
assaillants souhaiteraient obtenir en cas d’attaque.
EY’s Global Information Security Survey 2015
24% n’ont pas de programme
d’identification des vulnérabilités
34% ont un programme
informel et réalisent des test automatisés
27% affirment que les
politiques de protection des données et les
procédures sont informelles
Page 17
Les obstacles à la transformation des systèmes de sécurité
EY’s Global Information Security Survey 2015
Contraintes budgétaires
Manque de ressources qualifiées
62% 57%
EY | Audit | Conseil | Fiscalité et Droit | Transactions
EY est un des leaders mondiaux de l’audit, du conseil, de la fiscalité
et du droit, des transactions. Partout dans le monde, notre expertise
et la qualité de nos services contribuent à créer les conditions de la
confiance dans l’économie et les marchés financiers. Nous faisons
grandir les talents afin qu’ensemble, ils accompagnent les
organisations vers une croissance pérenne. C’est ainsi que nous
jouons un rôle actif dans la construction d’un monde plus juste et
plus équilibré pour nos équipes, nos clients et la société dans son
ensemble.
EY désigne l’organisation mondiale et peut faire référence à l’un ou
plusieurs des membres d’Ernst & Young Global Limited, dont chacun
est une entité juridique distincte. Ernst & Young Global Limited,
société britannique à responsabilité limitée par garantie, ne fournit
pas de prestations aux clients. Retrouvez plus d’informations sur
notre organisation sur www.ey.com.
© 2015 Ernst & Young Advisory
Tous droits réservés.
Crédit photo : GettyImages
DE Aucune
Document imprimé conformément à l’engagement d’EY de réduire son
empreinte sur l’environnement. Cette publication a valeur d’information générale
et ne saurait se substituer à un conseil professionnel en matière comptable,
fiscale ou autre. Pour toute question spécifique, vous devez vous adresser à vos
conseillers.
ey.com/fr
Contacts
Pascal Antonini
Associé, Ernst & Young et Associés
Tél : +33 1 46 93 70 34
Email : [email protected]
Sofiane-Maxime Khadir
Directeur Associé, Ernst & Young Advisory
Tél : +33 1 46 93 52 20
Email : [email protected]