The better the question. The better the answer. The better the world works. У вас есть вопрос? У нас есть ответ. Решая сложные задачи бизнеса, мы улучшаем мир. У вас є запитання? У нас є відповідь. Вирішуючи складні завдання бізнесу, ми змінюємо світ на краще. Meilleure la question, meilleure la réponse. Pour un monde meilleur. 問題越好。答案越好。商業世界越美好。 问题越好。答案越好。商业世界越美好。

Et si vous subissiez une cyberattaque sans même vous en rendre compte ?

Cybersécurité

Vos enjeux

La digitalisation de notre économie modifie en profondeur l’environnement dans lequel les entreprises évoluent. De nouvelles technologies apparaissent, produisant des données en grande quantité et révolutionnant les usages. La généralisation de l’utilisation des médias sociaux, le passage sur les applications cloud, l’accessibilité de plus en plus marquée des systèmes opérationnels dont le pilotage informatique de systèmes industriels et l’explosion de l’utilisation du mobile ne sont que quelques exemples de cette révolution digitale.

EY Advisory – Cybersécurité : exemple de scénario d’une cyberattaque

Ces nouvelles technologies et les usages qui y sont associés s’accompagnent inévitablement de l’apparition de nouveaux risques. L’exposition est d’autant plus importante pour les entreprises et organisations qui se concentrent sur le développement de nouveaux services, disposant de moins de temps pour appréhender les risques engendrés. La cybercriminalité fait désormais partie du quotidien des entreprises. Elle n’est plus seulement une menace, il s’agit d’une industrie organisée et structurée, une réalité dont l’impact est considérable : vol de données confidentielles relevant de la propriété intellectuelle, logiciels de type ransomware, piratage des systèmes de trésorerie, attaque d’une chaîne de production à distance, etc. Autant de nouveaux incidents qui viennent alourdir les tâches des équipes sécurité et informatiques des organisations.

La globalisation de la menace se ressent au niveau des organisations. La cybersécurité n’est plus l’affaire d’une seule fonction, elle relève bel et bien de la responsabilité de tous les acteurs d’une entreprise : chaque donnée peut présenter un risque et chaque collaborateur peut faire l’objet d’une tentative d’intrusion. Des mesures de sécurité basiques sont encore trop fréquemment négligées transformant les salariés non sensibilisés en vulnérabilités pour l’entreprise.

Ces nouveaux défis obligent les entreprises et organisations à se poser les bonnes questions : quelles menaces faut-il craindre ? Comment les anticiper ? Notre système de sécurité est-il efficace pour lutter contre les risques et comment le savoir ?

EY Experience Lab

EY Experience Lab
EY enrichit ses compétences et se dote d’un espace collaboratif unique dédié à l’innovation et la production de services en Analytics, Cyber, Digital.

Notre expertise

Face à la sophistication des cyberattaques et des techniques utilisées par les cybercriminels, les entreprises doivent agir dès à présent pour se protéger. En réponse, de nouvelles tendances en matière de sécurité émergent : la défense active en fait partie. Pour rester en alerte, il est impératif d’anticiper au travers d’un processus de veille permanente, d’identifier, de comprendre et de prévenir ses failles pour mieux appréhender les attaques et être capable d’y répondre. A cette fin, l’entreprise doit s’appuyer sur les bonnes compétences, dotées à la fois d’une vision exhaustive des menaces et d’une forte technicité. Malheureusement, de telles compétences sont rares sur le marché.

Cela impacte directement la capacité des entreprises à répondre efficacement et concrètement aux risques.

Dans ce contexte, fort d’une expérience de plus 25 ans en matière de sécurité, EY a développé des expertises pointues pour vous aider à élaborer votre stratégie de cybersécurité ainsi qu’à la mettre en œuvre :

  • Security strategy and transformation : définition de la stratégie sécurité, mise en œuvre opérationnelle (operating model, organisation cible, KPIs) et pilotage du programme de transformation adapté.
  • Cyber education : conception et pilotage de programmes de formation, sensibilisation et simulation d’incidents de sécurité.
  • Cyber defense : mise en place d’outils concrets dédiés à la cyber défense (gestion des accès, tests d’intrusion, création d’infrastructures sécurisées).
  • Cyber operations : prise en charge de la surveillance constante d’infrastructures, détection et mise en place de réponses efficaces aux incidents.

Ils nous ont fait confiance

img01

Réalisation d’audit sécurité

Analyse du niveau de sécurité d’un ensemble de 33 entités publiques (ministères, universités et opérateurs d’Etat).

img02

Renforcement de la sécurité de SI

Réalisation d'audit de sécurité des SI d’un leader de l’énergie et tests d'intrusion à destination des applications de l'entreprise. Accompagnement au renforcement de la sécurité des systèmes gérant des applications métiers.

img03

Réalisation de tests d’intrusion

Dans le cadre de la certification d’une société d’exploitation de réseaux routiers, réalisation de tests d’intrusion réguliers sur une période de 5 ans.

Exemple d’un cas client

Contexte

Pour un leader de l’énergie en France, disposant de nombreux sites de production exposés, nous avons réalisé une analyse du niveau de sécurité d’ensemble basée sur une campagne de tests d'intrusion et d’audits de sécurité pouvant cibler, par exemple, des systèmes de maintenance des sites de production, des systèmes de gestion de la relation client, des applications de trading ainsi que des sites Web.

Notre rôle

Nous avons aidé notre client à identifier les vulnérabilités potentielles des applications (au travers de tests externes et internes) et à améliorer son niveau de sécurité. En s’appuyant sur notre méthodologie pour la mise en place d’une défense active, nous avons revu dans son intégralité la sécurité des processus opérationnels clés de l’organisation et renforcé les dispositifs d’alerte et de réaction.

Principaux résultats

  • Découverte de faiblesses dans la conception d’applications, le déroulement de projets ou l’organisation de la sécurité au sein de l’entreprise.
  • Aide à la décision concernant la sécurité avant la publication de services sur Internet.
  • Assistance à la mise en œuvre d’un plan de remédiation.
  • Mise en place de notre méthodologie de défense active et adaptation des processus opérationnels.

Proposition de valeur : une meilleure maîtrise de la sécurité du SI au travers d’un dispositif de défense active plus adapté au niveau réel d’exposition de l’organisation.

Bénéfices pour notre client

  • Assistance à la réaction après incident de sécurité publié dans la presse.
  • Plan d’action d’amélioration de la sécurité qui a permis d’identifier rapidement les constats, risques et recommandations sur les deux applications critiques.
  • Une approche de type défense active mise en œuvre et intégrée.

Contacts

Nos publications