The better the question. The better the answer. The better the world works. У вас есть вопрос? У нас есть ответ. Решая сложные задачи бизнеса, мы улучшаем мир. У вас є запитання? У нас є відповідь. Вирішуючи складні завдання бізнесу, ми змінюємо світ на краще. Meilleure la question, meilleure la réponse. Pour un monde meilleur. 問題越好。答案越好。商業世界越美好。 问题越好。答案越好。商业世界越美好。

Cap sur la cyberrésilience : anticiper, résister, réagir

Etude mondiale sur la sécurité de l’information

Cyberrésilience ou cyberagilité ?

Les organisations sont confrontées à de nouveaux défis dans un environnement en constante mutation. Pour y faire face, elles ont dû apprendre à se défendre et à riposter, à passer de mesures préliminaires et de réponses ad hoc à des processus beaucoup plus formalisés, robustes et sophistiqués.

EY - Marc Ayadi« La cybersécurité soulève des questions de plus en plus pressantes pour les DSI, directeurs métier et autres membres du Comex : « Sommes-nous certains d’être bien protégés ? Consacrons-nous suffisamment d’attention et de moyens à la sécurité ? Notre équipe dispose-t-elle des compétences nécessaires ? Utilise-t-elle les meilleurs outils de détection des cyberattaques ? »

Marc Ayadi - Associé EY, responsable des offres Cyber

Cette 19e édition de notre étude annuelle sur la cybersécurité s’appuie sur une enquête menée auprès de 1735 professionnels, formant un panel composé de DSI, de DAF, de PDG et de responsables de programmes de sécurité. Grâce à leurs réponses, nous sommes en mesure d’identifier le degré de maturité et les atouts des dispositifs de cybersécurité existants, mais aussi les améliorations dont ils pourraient bénéficier pour être optimum.

La cyberrésilience est une composante de la résilience économique : elle mesure la résilience d’une organisation confrontée à une cybermenace au cours de trois phases clefs d’action : l’anticipation, la résistance et la réaction.

Trois phases clefs d’action face à une cybermenace : l’anticipation, la résistance et la réaction.

EY - Trois phases clefs d’action face à une cybermenace : l’anticipation, la résistance et la réaction.

Il est essentiel de continuer à rester étroitement connectés, afin de partager les bonnes pratiques et de s’enrichir mutuellement pour faire face à un ennemi commun qui cible toutes les organisations.

Anticiper

Au cours des dernières années, les organisations ont pris confiance en leur capacité à prévoir et à détecter des attaques sophistiquées : 50% d’entre elles déclarent être en mesure de le faire, le niveau de confiance le plus haut depuis 2013.

Malgré ces avancées, notre étude démontre que trop peu d’organisations accordent le niveau d’attention requis aux principes élémentaires de cybersécurité. Ainsi chaque jour, elles placent leurs clients, leurs salariés et même leur propre avenir face à des risques considérables :

  • 44% des répondants n’ont pas de SOC ;
  • 64% n’ont pas de stratégie de veille des cybermenaces, ou seulement de manière informelle ;
  • 55% n’ont pas de programme d’identification des vulnérabilités, ou seulement de manière informelle.

Quatre domaines spécifiques nécessitent une attention particulière :

Un incident s’est produit, mais il n’y a aucun dégât

62% des répondants déclarent qu’ils n’augmenteraient pas leurs dépenses de cybersécurité suite à un incident sans dégâts apparents.

Les cybercriminels conduisent souvent des attaques tests pour endormir la vigilance de leur victime ou créer des diversions pour les orienter dans la mauvaise voie. Chaque attaque cause des dégâts, et s’ils n’apparaissent pas immédiatement, c’est souvent parce qu’ils n’ont pas encore été décelés.

Sécuriser son écosystème

Dans un environnement 100% digital où tout est connecté, les attaques qui se produisent chez les clients, les fournisseurs ou les entités gouvernementales (l’écosystème) peuvent avoir un impact sur votre organisation.

  • 68% des répondants n’augmenteraient pas leur budget de cybersécurité si l’un de leurs fournisseurs était attaqué.
  • 58% n’augmenteraient pas leur budget si l’un de leurs concurrents majeurs était attaqué

La faculté d’anticiper les menaces est bien plus efficace lorsque l’ensemble des incidents affectant l’écosystème est pris en compte.

EY - Infographic
EY - Infographic


EY - Infographic

Assurer la protection des objets connectés

L’émergence des objets connectés et l’explosion du nombre de ces dispositifs accentuent les besoins d’anticipation des organisations et font émerger de nouveaux challenges :

  • Les dispositifs connectés aux réseaux : 73% se déclarent préoccupées par la faible connaissance qu’ont les usagers de leurs failles de sécurité potentielles et par conséquent du risque de certains de leurs comportements.
  • Les données : les organisations doutent de leur capacité à traquer les trafics suspects au-delà de leurs réseaux (49%), à identifier qui a véritablement eu accès à leurs données (44%) ou encore à repérer les attaques « zero day » cachées ou inconnues (40%).
  • L’écosystème : à mesure que les connexions entre organisations et les volumes de données échangés augmentent, l’écosystème s’agrandit. De nombreuses organisations s’attendent à ce qu’il soit de plus en plus difficile de superviser l’ensemble de leur écosystème (34%).

Collaborer pour mieux protéger

Les réglementations sectorielles se multiplient et l’intérêt du législateur s’accentue. De nouvelles législations devraient donc prochainement voir le jour dans ce domaine.

  • 49% des SOC collaborent et partagent leurs données avec d’autres acteurs du même secteur ;
  • 38% des SOC collaborent et partagent leurs données avec d’autres SOC publics.
EY - Infographic




EY - Infographic

Il faut s’attendre à un renforcement des obligations en la matière de cybersécurité, d’autant plus que le contexte devrait pousser le législateur, les parties prenantes, partenaires ou même clients à exiger plus de transparence.

Résister : réévaluer les risques

Les cyberattaques ne cessent de se sophistiquer, et si les protections et mesures de contrôle se révèlent aujourd’hui efficaces contre de simples dénis de service ou virus, elles ne sont souvent pas suffisantes pour lutter contre des attaques sophistiquées réitérées.

L’an dernier, 88% des répondants déclaraient que leur programme de cybersécurité ne répondait pas pleinement aux besoins de leur organisation. Cette année ils sont 86%, signe que les mesures prises par les organisations ne sont toujours pas suffisantes pour faire face.

Près de la moitié des répondants (48%) déclarent que l’obsolescence de leur système de protection est une importante source de vulnérabilité.

EY - Infographic

Quelles priorités pour mieux résister aux nouvelles attaques ?

Activer ses défenses

Notre enquête révèle que 57% des intervenants ont récemment connu un incident de cybersécurité, signe que les protections ne sont pas infaillibles.

Pourcentage de répondants qui jugent matures les processus de gestion de sécurité suivants :

  • Sécurité des applications : 29%
  • Supervision de la sécurité : 38%
  • Gestion des incidents : 38%
  • Gestion des identités et des accès : 38%
  • Sécurité du réseau : 52%
EY - Infographic

Sortir des sentiers battus

Pour résister aux attaques, il est nécessaire d’adopter une ligne de défense multiple. Si les protections traditionnelles comme le chiffrement ou les pare-feux sont généralement perçus comme des obstacles difficilement franchissables, d’autres approches complémentaires existent également pour minimiser l’impact d’une attaque et résister aux assauts :

  • Passer d’un système fail-safe à un système safe-to-fail
  • Accepter de céder des fragments d’information pour une meilleure protection

Les budgets augmentent chaque année : mais est-ce suffisant ?

Les budgets alloués à la cybersécurité ont augmenté régulièrement entre 2013 et 2016 : 53% des répondants affirment ainsi que leur budget s’est accru au cours des 12 derniers mois, contre 43% en 2013. Parallèlement, les montants dépensés suivent une courbe similaire : l’an dernier 76% des intervenants consacraient moins de 2 millions de dollars au total (en incluant les personnes, les processus et les technologies), ils ne sont plus que 64% aujourd’hui.

Les organisations restent nombreuses à estimer qu’elles ont besoin de davantage de financement : 61% des répondants évoquent les contraintes budgétaires comme un obstacle majeur et 69% demandent une augmentation de 50% de leur budget.

EY - Infographic

Le rôle du leadership

Le soutien de la direction est essentiel pour une cyberrésilience efficace. Depuis 2013, l’enquête a révélé que 31% à 32% des répondants admettent se heurter à un manque de sensibilisation et de soutien des dirigeants susceptible de remettre en question l’efficacité de la cybersécurité de l’organisation.

Ce constat, qui reste le même d’année en année, révèle que les mesures prises pour sortir de l’impasse n’ont pas été suffisantes ou qu’elles n’ont pas été suivies d’effets.
EY - Infographic

La nécessité de transmettre l’information au plus haut niveau

Notre enquête montre que 75% des responsables de la sécurité de l’information ne siègent pas au conseil d’administration. Notre enquête a révélé que :

  • Seuls 25% des rapports fournissent une vue d’ensemble des menaces ;
  • Seuls 35% des rapports indiquent précisément les vulnérabilités du système d’information et proposent des mesures pour les corriger ;
  • 89% des organisations n’évaluent pas le préjudice financier de chacune des failles significatives de sécurité subies. Ainsi, parmi celles qui ont connu un incident au cours de l’année, près de la moitié (49%) n’a aucune idée des dommages financiers susceptibles d’être provoqués par cet incident.
Compte tenu de ces marges d’amélioration, il n’est donc pas surprenant que 52% des répondants estiment que leurs dirigeants n’ont pas une connaissance, ni une compréhension complète des risques auxquels leur organisation fait face, ni des mesures mises en place pour les contrer.

 

EY - Infographic

Notre enquête suggère que près de la moitié des comités exécutifs marchent à l’aveugle sans connaître les grandes cybermenaces qui pèsent sur leur organisation.

Réagir

Le plan de continuité d’activité est au coeur de la protection des organisations depuis de nombreuses années. Volet essentiel de tout dispositif de cybersécurité, il figure systématiquement parmi les deux premières priorités des répondants depuis 2013. Cette année encore, 57% d’entre elles l’ont classé en top priorité, au même titre que la prévention des fuites et des pertes de données.

Les systèmes de gestion des informations et des événements de sécurité (SIEM) combinés aux centres des opérations de sécurité (SOC) sont classés 6e : 48% des répondants affirment vouloir dépenser plus dans ces deux domaines dans les 12 prochains mois.
EY - Infographic

Dans la gestion de crise, le Top Management doit faire preuve de leadership

Aujourd’hui, lorsqu’une organisation fait face à une cyberattaque qui a déjà commencé à endommager ses systèmes, le top management est en première ligne. Il est essentiel de communiquer sur l’incident avant que la presse ou les médias sociaux ne s’en emparent. Or, encore trop d’organisations ne sont pas encore préparées à cette éventualité.

  • 42% des répondants ne disposent pas d’une stratégie ou d’un plan de communication établi en cas d’attaque significative.
  • Dans les 7 premiers jours après une attaque :
    • 39% feraient une déclaration publique dans les médias ;
    • 70% tiendraient informés les organismes de régulation et compliance ;
    • 46% ne tiendraient pas informés leurs consommateurs, même si les données compromises les concernaient ;
    • 56% ne tiendraient pas informés leurs fournisseurs, même si les données compromises les concernaient.
    EY - Infographic
    EY - Infographic

    Comment rapidement rétablir les services de l’organisation ?

    Les directions informatiques et de la sécurité ont besoin d’acquérir une connaissance parfaite de la stratégie de l’organisation, de son appétence au risque et des dispositifs mis en place.

    En faisant collaborer les stratèges de l’organisation et l’équipe sécurité, la stratégie de cybersécurité peut être alignée sur la stratégie globale de l’organisation.

    Notre étude montre que les connexions entre cybersécurité et stratégie demeurent insuffisantes.

    • Seuls 5% des répondants affirment avoir changé récemment et significativement leurs plans stratégiques après avoir pris conscience qu’ils étaient exposés à de trop nombreux risques ;
    • Seuls 22% affirment qu’ils ont intégralement pris en compte les impacts des plans stratégiques actuels sur la sécurité de l’information.
    EY - Infographic

    Gestion interne des systèmes de cybersécurité : quels défis ?

    Notre enquête révèle que les organisations préfèrent tester et assurer elles-mêmes la maintenance de leur système de cybersécurité :

    • 79% pratiquent l’auto-hameçonnage (self-phishing) ;
    • 64% déploient leurs propres tests d’intrusion ;
    • 81% effectuent leurs propres recherches d’incidents ;
    • 83% analysent eux-mêmes les menaces et vulnérabilités.
    D’autre part, bien que la négligence des collaborateurs, le hameçonnage et les logiciels malveillants comptent parmi les menaces d’envergure bien connues, seuls 24% des répondants déclarent avoir mis en place des plans de défense pour y faire face.
    EY - Infographic

    Même si les répondants font de la phase de réaction une priorité majeure, les investissements financiers dans ce domaine restent relativement faibles. L’intérêt lié à cette phase de protection devrait donc prendre de l’ampleur à mesure que les organisations prendront conscience que toutes les menaces ne peuvent être anticipées.

    Les 7 points clefs d’une organisation cyberrésiliente

    1. Acquérir une fine connaissance de l’organisation pour mieux la mobiliser en cas d’attaque
    2. Cartographier l’écosystème
    3. Identifier les informations prioritaires et actifs stratégiques
    4. Collaborer pour réduire les facteurs de risque
    5. Faire preuve d’un leadership exceptionnel dans l’encadrement de ses équipes
    6. Instaurer une culture du changement
    7. Mener des investigations formelles et préparer d’éventuelles poursuites judiciaires

    Contact

    Marc Ayadi
    Associé EY, responsable des offres Cyber
    Tél. : +33 1 46 93 73 92



    Méthodologie

    Cette 19e édition de l’étude EY sur la sécurité de l’information s’appuie sur une enquête réalisée entre juin et août 2016 auprès de 1735 professionnels de la sécurité de l’information et de l’IT issus des plus grandes organisations du monde.