Un Rapport Steria

Les entreprises européennes
sont-elles bien armées pour
affronter les cyber attaques ?

Réalisé en coll...
2 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ?

www.steria.com

www.steria.com...
www.steria.com

4 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ?

www.steria.com...
6 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ?

La révolution digitale a ouver...
8 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ?

3.

Entre la confiance affichée ...
10 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ?

5.

www.steria.com

www.steri...
www.steria.com

12 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ?

Les entrepris...
www.steria.com

14 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ?

www.steria.co...
16 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ?

www.steria.com

www.steria.co...
www.steria.com

18 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ?

www.steria.co...
20 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ?

www.steria.com

www.steria.co...
22 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ?

www.steria.com

www.steria.co...
24 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ?

www.steria.com

PARTIE 4

La ...
www.steria.com

21%

14%

Figure 13 : Les solutions de sécurité déjà mise en place (choix multiple)

14%

France

14%

17%...
www.steria.com

28 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ?

La mesure des...
30 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ?

www.steria.com

L’externalisa...
www.steria.com

32 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ?

Les modes d’a...
34 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ?

PARTIE 7

La sécurité en ques...
36 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ?

www.steria.com

www.steria.co...
38 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ?

Pour pouvoir saisir toutes le...
40 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ?

www.steria.com

A propos de P...
42 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ?

www.steria.com

www.steria.co...
www.steria.com
www.steria.com

Groupe Steria SCA
43-45 Quai du Président Roosevelt
92130 Issy-les-Moulineaux
France

Steri...
Upcoming SlideShare
Loading in …5
×

Les entreprises européennes sont elles bien armées pour affronter les cyber attaques

1,530 views
1,408 views

Published on

Réalisée par Steria, cette étude présente les nouvelles attaques informatiques et leur impact en termes business, financier et d’atteinte à la réputation.

Published in: Technology, News & Politics
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,530
On SlideShare
0
From Embeds
0
Number of Embeds
99
Actions
Shares
0
Downloads
25
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Les entreprises européennes sont elles bien armées pour affronter les cyber attaques

  1. 1. Un Rapport Steria Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ? Réalisé en collaboration avec Pierre Audoin Consultant www.steria.com
  2. 2. 2 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ? www.steria.com www.steria.com Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques? | 3 Sommaire AVANT-PROPOS 03 OBJECTIFS ET METHODOLOGIE 04 EXECUTIVE SUMMARY 06 PARTIE 1 : L’ECOSYSTÈME DES MENACES, QUELS CHANGEMENTS ? Les entreprises européennes redoutent bien plus les attaques internes Le crime organisé et les attaques d’Etat inquiètent encore peu les entreprises européennes Les vols de données sont au centre de toutes les préoccupations et le resteront 11 12 PARTIE 2 : LES STRATÉGIES DE SÉCURITÉ DEVIENNENT GLOBALES Les stratégies de sécurité sont définies et ont des ambitions étendues Le positionnement à haut niveau de la sécurité dans les entreprises favorise des stratégies ambitieuses 16 17 PARTIE 3 : LA SÉCURITÉ DISPOSE DE TOUJOURS PLUS DE MOYENS Les arbitrages budgétaires restent en faveur de la sécurité Les entreprises restent optimistes sur leur capacité à attirer des talents 19 21 22 PARTIE 4 : LA MISE EN PLACE DES SOLUTIONS DE SÉCURITÉ EST EN PLEINE EXPANSION 24 PARTIE 5 : LA MESURE DE LA PERFORMANCE DOIT ENCORE PROGRESSER 27 PARTIE 6 : L’EXTERNALISATION DEVIENT UNE ALTERNATIVE L’externalisation gagne des adeptes, même si aucun modèle ne s’impose à ce jour Perspectives Face à la sensibilité des activités de sécurité, les industriels sont invités à réviser leur copie 29 13 15 30 31 33 PARTIE 7 : LA SÉCURITÉ EN QUESTION : LES ENTREPRISES SONT-ELLES MIEUX PROTÉGÉES ? Les entreprises assurent peu leurs risques de cyber sécurité CONCLUSIONS ET RECOMMANDATIONS 34 36 37 La révolution digitale a ouvert de nouveaux espaces. Elle a superposé à nos environnements physiques des environnements virtuels ouverts, collaboratifs et connectés. Elle a permis la dématérialisation, la mobilité, le cloud et les réseaux sociaux. Mais elle a aussi ouvert de nouveaux horizons aux malveillances. Les cyber risques sont plus importants que jamais. Les types d’attaques se diversifient, se complexifient, se professionnalisent et se multiplient de jour en jour, avec des impacts de plus en plus lourds en termes business, financiers, d’atteinte à la compétitivité ou à la réputation des entreprises. Ainsi, le nombre mondial d’attaques ciblées a crû de plus de 40% en 2012. Les cyber attaques et la fraude en ligne ont généré respectivement 110 milliards de dollars et plus de 200 milliards de dollars de pertes financières. Dans ce contexte, nos entreprises ont-elles pris la pleine mesure des attaques auxquelles elles vont de plus en plus avoir à faire face? Sont-elles correctement armées pour supporter des crises majeures ? Même s’il est illusoire d’envisager une protection totale, ont-elles mis en place les moyens, solutions et gouvernances nécessaires pour être au mieux à même de prévenir, détecter et protéger leur patrimoine informationnel et leurs avantages compétitifs? Ont-elles accès aux bonnes ressources et aux bonnes offres de la part des industriels de la sécurité ? L’Etude réalisée par Steria auprès de 270 entreprises et entités publiques en Europe révèle comment les entreprises européennes se situent aujourd’hui en matière de cyber sécurité et anticipent leurs évolutions à court et moyen termes. Etre correctement armés pour affronter la cyber guerre sans pour autant tout alourdir et complexifier, est devenu essentiel pour saisir toutes les opportunités offertes par l’univers digital sous toutes ses formes. Patricia Langrand Executive Vice President Group Business Development & Marketing, Steria Florent Skrabacz Reponsable de l’Activité Sécurité, Stéria
  3. 3. www.steria.com 4 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ? www.steria.com Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques? | 5 2% 33% 22% 40% 36% Entre 500 et 1000 salariés Entre 1000 et 5000 salariés Plus de 5000 salariés 62% Steria, leader européen des services numériques aux entreprises et aux administrations, accompagné par Pierre Audoin Consultant (PAC), a publié un rapport indépendant sur la cyber sécurité. Ce rapport est basé sur une étude menée auprès de 270 décideurs en sécurité. Ils représentent des petites et moyennes entreprises ainsi que des Grands Comptes de tous secteurs d’activité situés en France, au Royaume-Uni, en Allemagne et en Norvège. Nous entendrons par « entreprises » à la fois des structures privées et publiques. Les « grandes entreprises » comptent plus de 5000 collaborateurs. L’ensemble des données chiffrées utilisées dans ce rapport est issu de cette étude, sauf mention contraire. L’étude se compose d’une phase quantitative et d’une phase qualitative. La phase quantitative repose sur 250 entretiens téléphoniques répartis de la manière suivante : 70 interviews en France, 70 au Royaume-Uni, 70 en Allemagne et 40 en Norvège. Par ailleurs, PAC a procédé à 20 entretiens approfondis en face-à-face. Basés sur le même questionnaire que les entretiens quantitatifs, ils ont pu permettre aux décideurs en sécurité de grandes entreprises et d’organisations gouvernementales spécialisées, de développer leur stratégie de cyber sécurité et les modalités de sa mise en œuvre. 67% Norvège 78% France 60% Royaume-Uni Figure 2 : Répartition par taille d’entreprise et par pays (n = 270) Ce rapport met en perspective les stratégies et modèles de cyber sécurité à un horizon de trois ans. L’objectif est de montrer la réalité de la perception des menaces par les entreprises européennes et l’adéquation des moyens mis en œuvre pour y faire face. Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ? 6% 6% 11% 6% 6% Entre 500 et 1000 salariés Entre 1000 et 5000 salariés Plus de 5000 salariés 12% 21% 12% 20% 27% 63% 10% Banque Assurance Industrie Secteur public Distribution Services Telecom Transport Énergie Figure 3 : Répartition par secteur d’activités (n = 270) Figure 1 : Répartition par taille d’entreprise (n = 270) Allemagne
  4. 4. 6 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ? La révolution digitale a ouvert de nouveaux espaces. Mais elle a aussi donné de nouveaux horizons aux malveillances et les cyber risques sont plus grands que jamais. Dans ce contexte, nos entreprises ont-elles pris la pleine mesure des attaques auxquelles elles vont de plus en plus avoir à faire face? Sont-elles correctement armées pour supporter des crises majeures? Ont-elles accès aux bonnes ressources et aux bonnes offres de la part des industriels de la sécurité ? Steria, leader européen des services numériques aux entreprises et aux www.steria.com administrations, accompagné par Pierre Audoin Consultant (PAC), publie un rapport indépendant sur la cyber sécurité. Ce rapport, basé sur une enquête menée auprès de 270 décideurs en sécurité en France, au Royaume-Uni, en Allemagne et en Norvège, lève le rideau pour révéler comment les entreprises européennes se situent aujourd’hui en matière de cyber sécurité et anticipent leurs évolutions à court et moyen termes. Les principaux enseignements issus de l’enquête sont les suivants : www.steria.com 2. Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques? | 7 Les entreprises européennes sont confiantes n r p n o t sur leur avenir en matière de sécurité a é tant sur le plan de la disponibilité des o i e ressources que des budgets et de leur u t u capacité à supporter des risques majeurs c j Les entreprises européennes affichent une sérénité élevée dans l’éventualité d’une crise majeure de sécurité, 91% d’entre elles s’estiment prêtes à y faire face. Les entreprises européennes n’ont pas encore u e n pris la pleine mesure des attaques auxquelles e s e a u elles vont de plus en plus avoir à faire face e s o a a Alors même que les attaques externes se multiplient, les attaques internes restent encore les plus redoutées par les entreprises européennes. Ainsi, encore plus de 50% des entreprises considèrent que les attaques externes représentent moins de 20% des menaces. Alors que pourtant ce type d’attaques constitue de plus en plus une vraie menace, le crime organisé et les attaques d’Etat inquiètent encore peu les entreprises européennes à court et moyen termes. Globalement, moins de 15% des entreprises considèrent qu’elles font face aujourd’hui ou qu’elles auront à faire face dans les trois prochaines années à du crime organisé et moins de 6% à des attaques d’Etats. Seules les grandes structures commencent à être interpelées par ce type d’attaques: 19% estiment qu’elles seront confrontées à des attaques issues du crime organisé dans les trois ans et 18% à des attaques instruites par des Etats. Les vols de données sont au centre de toutes les préoccupations et devraient le rester. Pour 60% des entreprises interrogées, le vol de données est l’un des trois plus gros risques qui les empêchent de dormir et devrait l’être encore dans trois ans. L’effet Prism, Bullrun, Mandiant est bien présent. Les « APT » (Advanced Persistent Threat), la menace en trois lettres qui devrait faire trembler les responsables sécurité n’est pas encore identifiée parmi les risques majeurs. Les APT ne font partie des trois principales menaces que pour 12% des entreprises. Les APT sont néanmoins craintes par les grandes entreprises pour 35% d’entre-elles. Une grande entreprise sur cinq positionne le manque de ressources expérimentées en sécurité parmi ses principaux risques mais 85% des répondants anticipent un accès favorable aux compétences requises d’ici trois ans. Les budgets sécurité restent et devraient rester préservés avec moins d’un tiers des entreprises interrogées anticipant une baisse. 85% des répondants considèrent qu’ils auront le budget sécurité adéquat dans les trois prochaines années. Cette préservation des budgets s’accompagne d’un contrôle des coûts, avec des KPI sur les coûts mis en place pour plus de la moitié des entreprises interrogées.
  5. 5. 8 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ? 3. Entre la confiance affichée et la réalité des n c c é pratiques, la cohérence reste à démontrer – q a é e e é t n i r Les entreprises n’ont pas pris les mesures c n s r e ad hoc les plus élémentaires pour traiter les crises lorsqu’elles surviennent o e La sécurité opérée en 24/7 n’est pas encore la référence, seul le quart des entreprises interrogées l’a mise en place. Et même les plus grandes entreprises sont moins de la moitié à en bénéficier. Les entreprises ont encore peu recours aux assurances pour les risques de cyber sécurité et ne se tournent pas vers ces produits, deux tiers d’entre elles ne prévoyant pas de s’assurer dans un avenir proche. L’assurance des cyber risques, trop complexe et avec des exclusions multiples, n’a pas encore séduit. L’évolution des cyber risques et la couverture des cyber menaces ne sont pas les premiers éléments qui influencent l’élaboration des stratégies de cyber sécurité. La priorité stratégique est davantage accordée aux risques liés aux usages des NTIC dans les organisations, notamment la mobilité et le BYOD (Bring Your Own Device). www.steria.com www.steria.com 4. Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques? | 9 Face aux risques, les entreprises comptent e s e o e encore beaucoup sur elles-mêmes r a u e Les entreprises européennes identifient des freins structurels à l’externalisation (criticité de la sécurité, priorité aux ressources internes, etc.). Seulement une grande entreprise sur cinq ne voit pas d’obstacle à l’externalisation. Lorsqu’elles se projettent, les entreprises considèrent néanmoins plus facilement l’externalisation, et plus de deux-tiers d’entre elles considèrent qu’elles externaliseront une partie de leur activité de sécurité dans le futur. Les offres des industriels semblent manquer de maturité: 20% des entreprises (une grande entreprise sur quatre) ne trouvent pas encore d’offre d’externalisation adaptée à leurs besoins. C’est d’abord la réduction des coûts qui parle pour l’outsourcing. Mais l’amélioration de la détection des attaques arrive en deuxième raison d’externaliser chez les plus de 5000 employés.
  6. 6. 10 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ? 5. www.steria.com www.steria.com www.steria.com Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques? | 11 PARTIE 1 La relation entre les entreprises et a t s leurs partenaires de sécurité devrait c évoluer dans les années à venir e s s n D’ici cinq ans, la sécurité devrait être principalement traitée par des prestataires externes pour plus d’une entreprise sur quatre et plus d’une entreprise sur trois pour les plus grandes. À même échéance, la coopération entre entreprises de mêmes secteurs d’activité devrait commencer à devenir une réalité ; ainsi 15% des entreprises considèrent qu’elles seront amenées à mutualiser des moyens de sécurité avec d’autres acteurs de leur secteur. La sécurité « as a service » n’a pas encore atteint une maturité de marché. Moins de 10% des entreprises achètent déjà ou prévoient d’acheter en 2014 la sécurité « as a service ». En revanche, les entreprises de toutes tailles y sont ouvertes pour le futur. La moitié des entreprises l’ont déjà fait ou prévoient de le faire plus tard (+ de 40%). L’Ecosystème des menaces, quels changements ?
  7. 7. www.steria.com 12 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ? Les entreprises européennes redoutent e u n u bien plus les attaques internes s q e L’adage selon lequel 80% des menaces viennent de l’intérieur est toujours bien valable malgré le développement des attaques externes. 54% des entreprises européennes considèrent que 80% des menaces sont d’origine interne La circulaire « Menaces sur le système informatique », publiée le 12 septembre 2006 par le Secrétariat Général de la Défense Nationale en France affirme que « 70 à 80% des cas connus des éléments menaçants […] sont de nature interne ». Une autre étude menée en 2012 (Global State of Information Security 2012 de PwC) montrait que 31% des incidents de sécurité d’origine interne étaient attribués à des employés, 27% à des anciens collaborateurs et 16% à des prestataires de l’entreprise. www.steria.com Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques? | 13 Le crime organisé et les attaques d’État inquiètent é q encore peu les entreprises européennes e n s La quasi-totalité des entreprises craignent majoritairement les attaques internes. Les menaces internes concernent en effet toutes les entreprises qui sont amenées à suivre et contrôler leurs employés pour prévenir ces menaces. C’est seulement dans les grandes entreprises très exposées que le poids des attaques externes est considéré comme important : 17% des entreprises de plus de 5000 employés estiment le poids des attaques externes à plus de 50%. Aujourd’hui encore, bien que les attaques externes se soient multipliées, à la fois en terme de diversité avec des attaques de plus en plus complexes et en nombre, les attaques internes ont encore un poids très dominant dans les menaces sécuritaires que les entreprises redoutent – surtout chez les petites. En effet, plus de 50% des entreprises (62% parmi les petites) considèrent que les attaques externes représentent moins de 20% des menaces qu’elles redoutent. Bien que ce type d’attaques constitue de plus en plus une menace avérée, le crime organisé et les attaques d’Etat inquiètent encore peu les entreprises européennes à court et moyen termes, en particulier pour les petites entreprises. L’hacktivism est de loin la principale attaque externe qui inquiète les entreprises, aujourd’hui comme pour les trois prochaines années. 64% des grandes entreprises s’attendent à y être confrontées dans les trois ans qui viennent contre 51% pour l’ensemble des répondants. Le contraste est plus vif si l’on considère spécifiquement deux types de menaces qui mobilisent des moyens dont seuls peuvent bénéficier des groupes d’intervention soutenus par des Etats ou des groupes issues du crime organisé. En effet, malgré l’ampleur de la menace, 18% des grandes entreprises estiment qu’elles seront confrontées à des attaques soutenues par des Etats dans les trois ans qui viennent et 19% d’entre elles estiment qu’elles seront confrontées à celles menées par des groupes issus du crime organisé. Ces chiffres étant respectivement de 6% et de 14% pour l’ensemble de l’échantillon. Il est intéressant de souligner que les attaques menées par des concurrents sont perçues comme significatives par l’ensemble des entreprises (22% estiment y être exposées). 15% 3% Les vols de données sont au centre de toutes les préoccupations et devraient le rester pour 50% 32% 60% moins de 20% entre 20 et 50% entre 50 et 80% plus de 80% Figure 4 : Estimation du pourcentage d’attaques externes parmi les menaces de sécurité informatique craintes par les grandes entreprises des entreprises intérrogées Pourtant, dans un contexte de conflits économiques violents, les grandes entreprises sont confrontées à des actions de plus en plus offensives, comme en témoigne le responsable sécurité d’un groupe énergétique français lorsqu’il indique les menaces externes auxquelles fera face son organisation dans les trois ans à venir : « Comme nous disputons des contrats de plusieurs milliards à travers le monde, je dirais les attaques soutenues par des Etats, le crime organisé et de plus en plus les attaques issues de concurrents, les frontières entre L’affaire Prism a aussi mis au grand jour un nouveau type de cyber attaque qui participe à des opérations de renseignement. Elle a soulevé le problème de la confidentialité des données privées et professionnelles sur internet, et plus encore, de la maitrise de leur stockage et des accès. Suite à ces affaires, l’augmentation des cyber menaces est une tendance prise très au sérieux par les plus hautes institutions internationales. L’édition 2013 du rapport « Global Risks » du Fond Monétaire International (FMI) a ainsi révélé que les cyber menaces représentaient le risque technologique mondial Numéro 1. Parmi elles, les cyber attaques et le vol massif de données sont les plus importants.
  8. 8. www.steria.com 14 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ? www.steria.com Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques? | 15 Les vols de données sont au centre de toutes les é r t préoccupations et le resteront p t e Hacktivistes Concurrents Criminels isolés Crime organisé États Autre Aucune d’entre elles Aujourd’hui Aujourd’hui Dans 3 ans Aujourd’hui 19% 23% 8% 4% 2% 4% 11% 15% 15% 15% 1% 14% 27% 42% 31% Entre 500 et 1000 employés 84% 64% 46% Entre 1000 et 5000 employés Plus de 5000 employés Figure 5 : Répartition par taille d’entreprise des sources d’attaques externes auxquelles Aujourd’hui L’effet Prism, Bullrun, Mandiant est bien présent Moins élevé, ce taux s’élève tout de même à 45% pour les grandes entreprises. Les résultats de l’étude restent homogènes quant à la perception des risques majeurs de sécurité par les entreprises. Les risques de vols de données sont suivis par l’atteinte à la réputation (30%) et l’espionnage IT (26%). Ces résultats montrent que les préoccupations des entreprises européennes sont centrées sur la protection de leur patrimoine, que ce soit leurs informations, leur image ou leur savoir-faire. Les risques pouvant être qualifiés de techniques, c’est-à-dire sans lien direct avec les processus métiers, sont perçus comme étant moins prédominants. A titre d’illustration, le manque de ressources qualifiées en sécurité (14%), les APT (Advanced Persistent Threat : 12%) et la dépendance vis-à-vis de tiers prestataires de sécurité (8%) sont les risques les moins fréquemment cités. 23% 60% 35% 16% 15% 14% 24% 18% 19% 22% 12% 26% 42% 31% 1% 8% 4% 9% 2% Dans 3 ans 15% Dans 3 ans 14% Suite aux affaires Prism, Bullrun et Mandiant, les vols de données sont au centre de toutes les préoccupations et devraient le rester. 60% des entreprises considèrent les vols de données comme étant le risque majeur qui les empêche de dormir. Dans 3 ans 48% 22% 22% 15% 12% 5% 2% 51% 24% 24% 30% 14% 6% 1% Hacktivistes Concurrents Criminels isolés Aucune d’entre elles Crime organisé Etats Les APT, ces cyber menaces ultrasophistiquées et ultra-ciblées, qui devraient faire trembler les responsables sécurité des entreprises. Menées par des criminels particulièrement organisés, elles permettent d’accéder silencieusement aux réseaux les mieux protégés, pour en exfiltrer les informations les plus sensibles ou procéder à la destruction massive de données. Bien qu’elles soient les plus dangereuses, les APT n’apparaissent pas encore parmi les risques majeurs identifiés par les entreprises. Elles arrivent dans le top 3 des menaces pour seulement 12% d’entre-elles. Pour les grandes entreprises, l’analyse est toutefois à pondérer: les APT ressortent comme étant le deuxième risque majeur (cité dans le top 3 pour 35% d’entre-elles). En effet, les APT peuvent avoir deux objectifs: nuire dans une logique de destruction d’intérêts vitaux ou donner un avantage compétitif à un tiers. La frontière entre les intérêts vitaux et les intérêts métiers est très floue pour les grandes entreprises et l’attaque de ces intérêts est clairement l’un des principaux risques perçus par ces acteurs. Il s’agit en général de grands champions nationaux, parfois soutenus par les Etats, comme en témoigne la notion d’Opérateur d’Importance Vitale introduite en France: « Les attaques fomentées par les Etats, les APT et les attaques ciblées sur nos systèmes de production et de distribution sont nos principaux risques », confirme le Responsable des Services de Sécurité Informatique (RSSI) d’une grande société de transport française. L’étude nous apprend aussi que pour deux types d’attaques, il existe des disparités élevées entre les pays : - Le Royaume-Uni est le pays pour lequel l’espionnage IT s’avère être le risque le moins prévalent avec 15%, alors qu’en France ce pourcentage est le plus élevé (37%). - Le risque d’atteinte à la disponibilité du SI est perçu très significativement en Norvège et au Royaume-Uni avec respectivement 28% et 26% des réponses, tandis qu’en France ce risque n’empêche de dormir que seulement 9% des répondants. Autre Le vol de données L’atteinte à la réputaion L’espionnage informatique Les fraudes internes L’indisponibilité du système d’informations Le manque de ressources spécialisées Les APT La dépendance vis-à-vis des tiers Autre France 54 18 26 37 32 6 6 % Royaume-Uni 68 42 29 15 16 26 18 10 11 4 % 7 4 % 10 5 % 9 6 12 Allemagne 54 21 35 28 17 18 24 21 Norvège 65 45 25 23 15 28 8 0 Figure 7 : Répartition par pays des principaux risques qui empêchent les entreprises de dormir
  9. 9. 16 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ? www.steria.com www.steria.com Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques? | 17 et ont des ambitions étendues e o n PARTIE 2 Les stratégies de sécurité deviennent globales Dans un environnement mondialisé soutenu par la révolution numérique et les technologies mobiles, les stratégies de sécurité ne sont plus uniquement IT mais viennent également répondre à des enjeux business et stratégiques, positionnés dans les plus hautes fonctions de l’organisation. Plus de 80% des décideurs ont mis en place une stratégie et des solutions de sécurité afin de limiter les fuites d’informations entre autres La quasi-totalité des entreprises ont formalisé une stratégie en matière de sécurité (80% l’ont déjà fait et pour plus de 11%, c’est en cours) et cela se vérifie pour les moyennes comme pour les grandes. La stratégie de sécurité est pensée pour répondre d’abord aux enjeux de mobilité et BYOD. Les stratégies de sécurité ne sont pas, comme il pourrait être instinctif de le présumer, guidées en priorité par la couverture des menaces et l’évolution des cyber risques. Elles sont pensées pour répondre aux problèmes de sécurité spécifiques au secteur d’activité (35%), mais avant tout pour répondre aux évolutions des usages des NTIC dans les entreprises comme la mobilité et le BYOD (57%) pour l’ensemble des entreprises, quels que soient leur taille, leur secteur et le pays. Etonnement, le phénomène est particulièrement prégnant dans le secteur public où la mobilité est citée par 59% des répondants et les enjeux business à hauteur de 37%. Les politiques de sécurité doivent permettre de renforcer la protection des infrastructures mobiles. Celles-ci viennent répondre aux enjeux de maintien de la qualité de service dans un contexte de réduction des coûts et d’effectifs dans les instances d’Etat, comme le précise le responsable sécurité d’un grand département de la police britannique. Mais avant toute autre chose, il met en avant la confiance du citoyen liée à la confidentialité de l’information, comme étant le principal objectif des stratégies de sécurité de la sphère publique : « Le dommage de réputation pourrait être de loin l’enjeu numéro un car il pourrait altérer les relations avec notre complète-il. Les enjeux spécifiques aux métiers sont le deuxième élément principal d’influence des stratégies de sécurité qui, avec 35% devancent les cyber menaces (27%). La variabilité des résultats entre les pays sur la place des enjeux spécifiques métiers est élevée: ainsi la Norvège ne lui accorde que 15% tandis que la France lui accorde 49%. Le Cloud Computing arrive en quatrième position des éléments d’influence de la stratégie avec 26% et là encore, les écarts sont très forts entre les pays: le RoyaumeUni, très engagé dans les démarche de Cloud Computing, affiche 44%. Par ailleurs, le coût est un facteur d’influence relativement faible des stratégies de sécurité (seulement 21% des entreprises classent la pression sur les coûts parmi les trois plus importants facteurs influençant leur stratégie en matière de sécurité - seulement 10% des entreprises de plus de 5000 personnes). La France est le pays qui affiche l’influence la plus faible avec 8% et la Norvège l’influence la plus élevée avec 33%. Enfin, dans les grandes structures, le Cloud apparaît en deuxième position juste devant les problèmes de sécurité spécifiques aux métiers. La confidentialité des données fonde en effet toujours l’une des principales réticences de certaines entreprises à l’adoption du Cloud. Donner aux employés un accès aux applications de l’entreprise en situation de mobilité à travers le Cloud est de plus en plus prisé par les entreprises. Mais en contrepartie, cela crée une porte d’accès beaucoup plus importante avec les risques de failles qui l’accompagnent. Les systèmes de sécurité doivent s’adapter à cette transformation.
  10. 10. www.steria.com 18 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ? www.steria.com Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques? | 19 Le positionnement à haut niveau o n t de la sécurité dans les entreprises n t favorise des stratégies ambitieuses é m s 11% 11% 9% Dans les entreprises de plus de 5000 collaborateurs, la sécurité est sponsorisée par la Direction Générale (40%) devant les fonctions informatiques (38%). 80% stratégie en place aucune stratégie Pour l’ensemble des répondants, la sécurité reste globalement sponsorisée par une direction informatique (54 %), mais dans les entreprises de plus de 5000 collaborateurs, la Direction Générale est le principal sponsor de la sécurité (40%). mise en place d’une stratégie en cours Cybermenaces Cloud computing Préssion budgétaire Pratiques d’achat Cette appropriation du sujet de la cyber sécurité par les directions générales peut également s’expliquer par la nature stratégique des impacts de la cyber criminalité en termes juridique, d’image (notoriété, réputation) de business et financier. En effet, dans un contexte où les pertes financières dues aux événements de sécurité s’élève à 110 milliards de dollars d’après une étude menée en 2012, la protection des patrimoines publics et privés devient une priorité absolue au plus haut niveau d’un Etat ou d’une entreprise. Cette évolution est d’ailleurs soutenue par les responsables sécurité eux-mêmes, comme celui d’une grande société de l’énergie allemande : « Je suis surpris que la plupart des gens disent que leur sponsor vient de l’informatique, je pense Figure 8 : Part des entreprises ayant formalisé une stratégie de sécurité informatique Mobilité / BYOD . Pour atteindre les objectifs ambitieux de leur stratégies de sécurité, les responsables exécutifs préservent voire renforcent les moyens et investissements dans le domaine. Réseaux sociaux Accès à des ressources compétentes Législation et conformité Autres 60% 51% 58% 58% 49% 34% 31% 15% 35% 16% 22% 38% 15% 44% 22% 23% 8% 27% 24% 33% 15% 18% 22% 25% 13% 16% 19% 23% 12% 19% 17% 3% 6% 5% 11% 3% 3% 5% Allemagne Norvège France Royaume-Uni Entre 500 et 1000 salariés 58% Entre 1000 et 5000 salariés Plus de 5000 salariés 58% 40% 38% 31% 29% 11% 11% 6% Direction informatique Direction générale RSSI au sein de la DSI 8% 8% 1% Direction sécurité/sureté Figure 10 : Principaux sponsors de la sécurité informatique par taille d’entreprise 2% Direction métier 3% Autre
  11. 11. 20 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ? www.steria.com www.steria.com Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques? | 21 Les arbitrages budgétaires restent r e t en faveur de la sécurité r é PARTIE 3 La sécurité est devenue une priorité pour les entreprises et les budgets sécurité restent et devraient rester préservés. Face aux restrictions budgétaires que subissent la majorité des activités, la sécurité reste préservée. 68% des répondants et 74% parmi les grandes entreprises estiment que leur budget va croitre fortement ou modérément. Moins d’un tiers anticipe une baisse (un quart pour les grandes entreprises). La sécurité dispose de toujours plus de moyens 87% des répondants considèrent qu’ils auront le budget de sécurité adéquat dans les trois prochaines années. Les Français sont les plus optimistes (90%) et les Norvégiens les moins optimistes (80%). Ces résultats peuvent s’expliquer par les mesures législatives prises en France pour augmenter le niveau de protection des entreprises et des administrations. Toutefois, ces chiffres encourageants sont à rapprocher du nombre de cyber attaques en forte augmentation. La sécurité n’est plus seulement une option mais une véritable priorité qui reste difficile à appréhender. Le RSSI de l’un des grands groupes industriels britannique résume le casse-tête des RSSI en matière de budgets: « Les budgets sont une chose assez drôle, si nous avons beaucoup d’incidents, nous l’état de l’art et qu’il n’y a aucun incident, vos budgets ont tendance à être coupés… et les choses deviennent plus compliquées, donc les incidents augmentent et vous Cette préservation des budgets s’accompagne d’un contrôle des coûts : des indicateurs de performance (KPI) sur le contrôle des coûts ont été mis en place pour plus de la moitié des entreprises interrogées. 27% France 69% 26% 4% Royaume-Uni 54% 11% en forte hausse 5% 3% 9% en hausse modérée 30% Allemagne 56% 35% 11% en baisse modérée Norvège 12% en forte baisse Figure 11 : Évolution du budget sécurité par pays entre 2012 et 2013 48%
  12. 12. 22 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ? www.steria.com www.steria.com Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques? | 23 Les entreprises restent optimistes sur leur e e p capacité à attirer des talents e La question des compétences en sécurité n’est pas LA priorité des entreprises européennes qui considèrent avoir la capacité de mobiliser les ressources nécessaires pour se protéger. Dans l’état actuel du marché, la question de la compétence et du recrutement reste entière pour de nombreux acteurs de la sécurité. Ainsi, 29% des personnes interrogées dans les grandes entreprises mettent l’accès aux ressources expérimentées dans le Top 3 des tendances qui influencent leur stratégie de sécurité. Pour elles, l’accès aux bonnes ressources est une priorité. Pour un répondant sur cinq dans les grandes structures, le manque de ressources expérimentées fait partie des trois risques les plus importants les empêchant de dormir. Ainsi, la question de la compétence est centrale, mais elle n’est pas considérée comme LA priorité. Ce point est à considérer d’autant plus que de nombreux acteurs institutionnels ou industriels de la sécurité tendent à souligner la question de la pénurie de compétences. Ainsi, pour le porte-parole d’une agence européenne de sécurité, cette carence de compétences adaptées doit être le principal facteur qui influence les stratégies de sécurité : « la pénurie de compétence est le principal enjeu pour nous et nos entreprises ». Rappelons aussi que la perception d’une rareté de compétences comme risque est encore plus faible pour les petites entreprises (moins d’un répondant sur dix classe ce manque parmi les trois risques les plus importants). De plus, les entreprises interrogées restent optimistes quant à la progression de leur capacité à mobiliser les experts qui pourront les protéger. Pour une très grande proportion d’entre elles (88%), l’optimisme est donc de mise pour pouvoir recruter ou trouver à l’extérieur les compétences adéquates sur les sujets de sécurité. France 88 90 88 81 63 69 50 51 % Royaume-Uni 93 81 84 81 71 63 46 47 % Allemagne 82 93 81 68 74 68 57 46 % Norvége 88 80 70 75 60 58 43 28 % L’accès à des compétences adaptées La croissance des budgets de sécurité Vos capacités de gestion des attaques complexes Vos capacités à démontrer un retour sur investissement dans les projets sécurité La capacité des prestataires à répondre à vos besoins La prise de conscience des utilisateurs L’évolution de votre positionnement dans l’organisation L’adhésion de la direction générale et des métiers Figure 12 : Niveau d’optimisme des entreprises par pays pour les trois prochaines années Près de 20% des grandes entreprises considèrent la pénurie des compétences comme un risque majeur
  13. 13. 24 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ? www.steria.com PARTIE 4 La mise en place des solutions de sécurité est en pleine expansion www.steria.com Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques? | 25 Les entreprises se sont concentrées jusqu’à présent sur la gestion de l’identité et des accès (87% d’entre-elles), la gestion des terminaux mobiles (72%), et le chiffrement (53%). Les vols de données sont au centre de toutes les préoccupations et devraient le rester, mais les entreprises ne sont pas préparées face à ce qui leur fait le plus peur : - seulement 42 % d’entre elles ont mis en place des solutions de DLP (Data Loss Prevention) - seulement 18% déclarent qu’elles vont implémenter de telles solutions dans les trois prochaines années et cela quelles que soient la taille des entreprises. Néanmoins, les entreprises mettent en place des solutions qui, indirectement, ont un impact positif sur les vols de données. En effet, la lutte contre les pertes de données passe par de nombreuses briques qui sont au cœur des stratégies actuelles. Aussi, sans gestion des identités et des accès, le lien entre les accédants légitimes et les données ne peut-il être fait. Sans gestion rigoureuse des flottes de terminaux mobiles, la dispersion des données ne peut être évitée. Il en va de même en l’absence de moyens de chiffrement, notamment au regard de menaces telles que l’écoute passive et l’interception de données en transit ou stockées dans des Datacenters tiers. Par ailleurs, les décideurs interrogés savent que le risque Zéro ne sera jamais nce atteint, d’autant que la violence des forcer. attaques ne cessera de se renforcer. Les grandes entreprises se concentrent aussi sur la dimension opérationnelle et temps réel des solutions de protection. Ainsi, 32% des grandes entreprises ont mis en place un SOC (Security Operation Center). Mettre en place de tels moyens de manière dédiée nécessite une taille critique pour lisser leurs coûts. Si l’on considère les organisations de moins de 5000 personnes, seules 14% d’entre elles sont dotées d’un tel centre. En Norvège, où le nombre d’entreprises de plus de 5000 collaborateurs est très faible, le nombre de répondants déclarant avoir mis en place un SOC est deux fois inférieur à celui du Royaume-Uni (7,5% vs 15%). En effet, la dimension opérationnelle de la sécurité et la densité de grandes sociétés sont élevées Outre-manche. Par ailleurs, en termes de prospectives, la France affichera la plus forte croissance de projets de SOC: 14% des répondants français déclarent avoir un projet de SOC dans les trois années à venir, loin devant l’Allemagne (5,6%), le Royaume-Uni (4,1%) et la Norvège (2,5%). Cette tendance peut s’expliquer par un effort de rattrapage de la France, face à ses voisins européens, le Royaume-Uni notamment. 32% des grandes entreprises ont mis en place un SOC
  14. 14. www.steria.com 21% 14% Figure 13 : Les solutions de sécurité déjà mise en place (choix multiple) 14% France 14% 17% Allemagne 6% 15% 8% Royaume-Uni 4% Norvège 2 2,5% Présence d’un SOC La mise en place d’un SOC est envisagé Figure 14 : Mise en place d’un SOC par pays 6% 2% Aucun 22% www.steria.com www.steria.com Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques? | 27 PARTIE 5 Autres 32% Service de sécurité en mode as a service 48% Système de Détection et de Prévention d’Intrusion Chiffrement des données Mobile Devise Management (MDM) Gestion des identités et des accès (IAM) 53% Système de prévention de fuite de données (DLP) 72% Mise en place d’un SOC interne ou externalisé 87% Système de gestion centralisé des éléments de sécurité (SIEM) 26 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ? 3% La mesure de la performance doit encore progresser
  15. 15. www.steria.com 28 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ? La mesure des performances en sécurité n’est pas centrée en premier lieu sur… la sécurité. Le premier constat est encourageant: l’utilisation des indicateurs de performance (KPI) adoptée par 94% des entreprises pour la sécurité témoigne d’une professionnalisation indiscutable de la filière. Cependant, la sécurité n’échappe pas à la tendance de fond de rationalisation des dépenses et d’optimisation des investissements. Ainsi, les KPI mesurés par les entreprises pour s’assurer du bon usage des ressources allouées à la sécurité sont en ligne avec cette tendance générale : le contrôle des coûts de la sécurité arrive en tête des KPI utilisés, avec 53% des répondants. La tendance, dans l’ensemble, favorable aux budgets de la sécurité, s’accompagne néanmoins d’un contrôle des coûts, avec des KPI associés pour plus de la moitié des entreprises interrogées. Il est demandé de prouver l’efficacité des démarches, notamment au sens de la maîtrise des coûts. Le message est clair : « investissez, protégez, mais ne gaspillez pas ». Mais pour le RSSI d’un distributeur d’énergie britannique, le contrôle des coûts n’est pas un bon indicateur de performance en matière de sécurité : « Nous ne voyons pas les coûts comme indicateur de performance de mon point 33% nous, les KPI devraient concerner le nombre Ainsi, deux autres KPI fréquemment utilisés viennent appuyer cette prise de position : - 39% des entreprises utilisent un KPI relatif à leur temps de réponse en cas de crise de sécurité, - 33% d’entre-elles suivent le temps de mise en œuvre des correctifs de sécurité. Mais ils ne sont pas encore assez utilisés pour une mesure de performance totalement adaptée au sujet. Il y a là des pistes de progression certaines. 27% 16% 2% Maîtrise des coûts de sécurité Délai de réponse en cas de crise majeure Délai de traitement des correctifs pour les vulnérabilités critiques www.steria.com Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques? | 29 PARTIE 6 vous êtes mieux protégé; mais cela pourrait montrer que vous gérez mal vos dépenses 53% 39% www.steria.com Satisaction des clients internes Prise en compte de la sécurité dans les projets Figure 15 : Indicateurs de performance de la sécurité déjà mis en place Autre L’externalisation devient une alternative
  16. 16. 30 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ? www.steria.com L’externalisation gagne des adeptes, e e même si aucun modèle ne s’impose à ce jour o o Viennent ensuite l’amélioration de la détection des attaques (en deuxième position dans les grandes entreprises (33%), en troisième position dans l’ensemble des entreprises (30%)) et la rationalisation de l’organisation en deuxième position, toutes tailles d’entreprises confondues (33%). La réduction des coûts La rationalisation de votre organisation Les entreprises européennes voient de multiples raisons pour ne pas externaliser (côté critique de la sécurité, priorité aux ressources internes, indisponibilité d’offres adéquates, etc.). Seulement une grande entreprise sur cinq ne voit aucune raison de s’abstenir à externaliser. Mais en définitive, les entreprises européennes sont prêtes à l’externalisation, au moins en partie, pour des raisons de maitrise des coûts et d’amélioration du traitement des attaques: plus de deux-tiers des entreprises considèrent qu’elles externaliseront une partie de leur activité de sécurité dans le futur. L’écart sur cet argument est relativement significatif entre le pays le plus sensible (la Norvège à 40%) et le moins sensible (l’Allemagne à 26%). La disponibilité des ressources expérimentées est la troisième raison pour les grandes entreprises, qui, comme évoqué plus haut, sont plus concernées par la pénurie de ressources compétentes. Cette perspective reste à pondérer par un principe sous-jacent de prudence. Parmi les activités les plus citées figurent les activités « non core » : audits et tests d’intrusion « Le seul élément que nous ne pourrions pas internaliser, ce sont les tests d’intrusion – c’est très spécialisé », explique le RSSI d’une société du secteur de l’énergie ainsi que la gestion des risques. L’amélioration de la qualité de service arrive en quatrième position avec 29% des répondants, 19% seulement en France. L’amélioration de la capacité à détecter les attaques La hausse de la qualité de service Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques? | 31 Perspectives Contrôler voire réduire les coûts tout en améliorant la qualité de service, avec des ressources adaptées: tel n’est-il pas l’objectif de l’externalisation ? L’écosystème de la sécurité est-il prêt? Le principal intérêt de l’externalisation vu par les décideurs interrogés reste très focalisé sur la diminution des coûts: 49% des entreprises placent la réduction des coûts dans le Top 3 des raisons d’externaliser. Ce constat est particulièrement vrai en France (62%), où l’externalisation est résolument perçue sous cet angle. Cela l’est beaucoup moins en Norvège (33%). www.steria.com L’accès à de meilleurs compétences La réduction des investissements mobilisés (CAPEX) 62% 48% 47% 33% 36% 33% 26% 40% 24% 26% 38% 33% 19% 34% 31% 35% 22% 18% 26% 7% 14% 5% 3% 4% 4% 3% 13% 11% 8% France Royaume-Uni Allemagne En matière de SOC, plus de 20% des entreprises interrogées (près de 50% pour les structures de plus de 5000 collaborateurs) ont déjà un SOC ou prévoient d’en avoir un. Parmi elles, près d’un tiers l’ont ou le prévoient dans leurs locaux et un peu plus de 5% sont prêtes à le partager avec d’autres entreprises. Une grande entreprise sur quatre a déjà ou aura un SOC externalisé. 18% 5% Autre Aucun Figure 16 : Les arguments en faveur de l’externalisation, par pays (choix multiple) Norvège Plus de 2/3 ! des entreprises prévoient de recourir à l’externalisation dans les 3 ans à venir En moyenne, 42% des répondants ont déjà choisi ou choisiront un partenaire « régional » pour les accompagner dans l’externalisation de leur sécurité. Si l’on considère les grandes entreprises, elles privilégient quant à elles un acteur «global» pour l’externalisation de leur sécurité (47%). Cette différence peut s’expliquer par le côté lui-même global de ces acteurs, par leur maturité face à l’externalisation et la dimension internationale de leurs partenaires pour l’externalisation d’autres activités. Quant aux acteurs publics, près de la moitié (47%) sont accompagnés ou prévoient de l’être par des acteurs régionaux, comme l’explique le responsable informatique d’une administration norvégienne : « les collaborateurs doivent travailler de la Norvège (offshore/nearshore sont exclus). Cela signifie que nous travaillons pour le moment exclusivement avec des acteurs régionaux (Scandinaves)». En toute logique, les PME de moins de 1000 personnes se portent principalement vers des acteurs locaux (46%) comme l’indique le porte-parole d’une agence de cyber sécurité européenne: «Les PME veulent un partenaire qu’elles peuvent approcher facilement et où les helpdesks parlent leur langue; et ils sont plus enclins à travailler avec leur acteur local plutôt que de s’engager avec une grande structure impersonnelle, avec laquelle ils ne sauront même pas comment s’engager !».
  17. 17. www.steria.com 32 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ? Les modes d’achat : La sécurité « as a service » ne s’impose pas encore comme alternative crédible mais est envisagée pour le futur La sécurité « as a service » n’a pas encore atteint une maturité de marché. Moins de 10% des entreprises achètent déjà ou prévoient d’acheter en 2014, la sécurité « as a service ». En revanche, les entreprises de toutes tailles y sont ouvertes pour le futur. La moitié des entreprises l’ont déjà fait ou prévoient de le faire plus tard (+ de 40%). Cette tendance générale est illustrée par le responsable informatique d’une administration norvégienne : « Nous ne fonctionnons pas sur une base de sécurité «as a service» pour le moment, Nationaux Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques? | 33 Face à la sensibilité des activités de sécurité, t les industriels sont invités à réviser leur copie t n s r p mais nous pouvons considérer certains domaines (plus particulièrement les moins critiques) où elle pourrait être utile, par exemple pour combler des écarts de compétence quand cela apparait. Mon besoin le plus criant : un meilleur contrôle et des assurances plus robustes.» Si 33% des grandes entreprises s’appuieront essentiellement sur des prestataires externes et 14% pensent rapprocher leurs activités de sécurité avec d’autres acteurs de leur secteur, 53% d’entre elles estiment que d’ici cinq ans, elles gèreront essentiellement leur sécurité en interne. Les entreprises européennes devraient faire plus appel dans le futur à des prestataires externes. Plus d’une entreprise sur quatre (une sur trois parmi les grandes entreprises) déclare que d’ici cinq ans, la sécurité sera principalement traitée par des prestataires externes et 15% considèrent qu’ils la partageront avec d’autres entreprises de leur secteur. Toutefois, pour plus de 60% des sociétés, la sécurité restera principalement opérée en interne dans les cinq ans à venir. Régionaux www.steria.com Le principal frein évoqué, loin devant les autres, est le côté critique de la sécurité: 46% de l’ensemble des entreprises place cette contrainte dans le Top 3 des freins à l’externalisation, et plus particulièrement les grandes entreprises (64%). Ce taux est particulièrement élevé en France (60%) et faible en Norvège (20%) ainsi qu’en Allemagne (28%). La deuxième raison évoquée est la priorité donnée aux ressources internes (une entreprise sur quatre, quelle que soit la taille, positionne cette raison parmi les trois plus importantes, et même une entreprise sur trois en Norvège). Un trop grand nombre d’entreprises ne trouvent pas encore d’offres d’externalisation adaptées à leurs besoins. Ainsi, en moyenne, une entreprise interrogée sur cinq (une sur quatre pour les grandes entreprises) mentionne l’indisponibilité de solutions adaptées parmi les trois raisons les plus importantes de ne pas externaliser. Cette raison est la deuxième invoquée en Norvège (28%). Globaux 60% 19% 19% 24% 23% 22% 25% 27% 21% 25% 21% 17% 22% 21% 20% 11% 10% 10% 1% 7% 10% 4% 4% 4% 19% 29% 19% France 23% 27% 21% 9% 33% 29% 4% 35% 18% 10% 47% 36% 10% 46% 28% 12% 46% 37% Royaume-Uni Allemagne Norvège La sécurité est trop critique pour être externalisée Les nécessaires ressources en internes sont présentes La direction privilégie les recours à des ressources internes Entre 500 et 1000 salariés Entre 1000 et 5000 salariés Manque d’offres appropriées La protection ne sera pas meilleure Manque de connaissance des offres de marché Plus de 5000 salariés Figure 17 : Type d’acteurs privilégiés en termes de prestataires de sécurité, par taille d’entreprise Figure 18 : Les freins à l’externalisation par pays Pas de retour sur investissement démontré Autre Aucun
  18. 18. 34 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ? PARTIE 7 La sécurité en question : les entreprises sont-elles mieux protégées ? www.steria.com www.steria.com Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques? | 35 L’étude souligne des disparités intéressantes au sujet de la sécurité en 24/7. Ainsi, l’Allemagne fait figure de meilleur élève avec 35% d’entreprises déjà protégées en 24/7 (contre une moyenne de 27% tous pays confondus), tandis que la Norvège fait plus pâle figure avec 20% d’entreprises protégées en 24/7. Les entreprises européennes affichent une confiance particulièrement élevée sur leur capacité à supporter une crise majeure de sécurité, alors même qu’elles n’ont pas pris les mesures ad hoc les plus élémentaires pour les traiter lorsqu’elles surviennent. 91% des entreprises interrogées estiment pouvoir supporter une crise majeure de sécurité, avec une homogénéité élevée entre toutes les tailles d’entreprises, alors que seulement un quart d’entre elles ont mis en place une gestion opérationnelle de leur sécurité en 24/7. Moins de 40% d’entre elles envisagent la mettre en place dans les deux ans à venir. Rappelons qu’à date, seules 14% des entreprises interrogées bénéficient d’un SOC. Or, le SOC et les activités de sécurité associées (contrôle, gestion de crise, surveillance, etc.) restent indispensables pour répondre à une crise majeure. Au regard de la nature des risques très concrets et opérationnels qui retiennent l’attention des entreprises, le manque de capacités de sécurité permanentes semble patent. 90% 25% 14% des entreprises se disent capables de faire face à une crise majeure de sécurité disposent de capacités opérationnelles en 24/7 sont équipées en SOC
  19. 19. 36 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ? www.steria.com www.steria.com www.steria.com Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques? | 37 Les entreprises assurent peu leurs risques e s de cyber sécurité Les politiques de cyber assurance ne sont pas envisagées par les deux-tiers des répondants. Seulement 15% des entreprises estiment avoir une assurance couvrant leurs cyber risques (30% parmi les grandes) et 63% des entreprises ne l’envisagent pas à un horizon de deux ans (50% parmi les grandes). Les deux-tiers des répondants n’envisagent pas ces solutions. La maturité du marché n’étant pas démontrée, il faudra probablement plusieurs années pour que ces offres passent le cap de l’émergence. C’est aussi un appel à la structuration et à l’homogénéisation des services et l’amélioration des performances en sécurité. Le marché de l’assurance des cyber risques reste à créer. L’assurance des cyber risques n’a pas encore séduit largement, rejoignant le constat précédent d’une confiance sans doute excessive des entreprises par rapport aux crises qu’elles pourraient connaître. 15% 63% 22% Oui Non et ce n’est pas prévu Non, mais c’est prévu dans les deux ans à venir Figure 19 : Part des entreprises ayant un contrat d’assurance couvrant les cyber risques CONCLUSIONS ET RECOMMANDATIONS
  20. 20. 38 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ? Pour pouvoir saisir toutes les opportunités business de l’univers digital sous toutes ses formes, il est fondamental d’être correctement armé contre les cyber risques. Le risque zéro n’existe pas, mais les entreprises européennes doivent mettre en œuvre des capacités de prévention, détection, protection et réaction en adéquation avec la réalité des menaces. Or, face à la sophistication croissante des attaques, les entreprises européennes sont encore trop centrées sur les menaces internes, peu inquiétées par les nouveaux types d’attaques externes et n’ont pas encore mis en place les moyens les plus élémentaires, par exemple pour gérer des crises majeures 24/7. Dans ce contexte, il y a néanmoins des points positifs : Tout d’abord, les arbitrages budgétaires se font en faveur de la sécurité, avec des budgets qui, en la matière, sont et devraient rester préservés. En second lieu, le fait que la sécurité est aujourd’hui positionnée à haut niveau dans les entreprises favorise la mise en œuvre de stratégies ambitieuses répondant aux enjeux business. S’il reste clairement un effort à faire de la part des industriels de la sécurité pour adapter leurs offres d’externalisation aux besoins de leurs clients et les faire mieux connaître, l’amélioration de la détection des attaques arrive déjà comme deuxième raison d’externaliser chez les grandes entreprises, juste derrière la réduction des coûts. La prise de conscience s’accélère… Et la voie de la mutualisation s’ouvre de plus en plus. Les deux tiers des entreprises prévoient de recourir à l’externalisation dans le futur et plus d’un quart d’entre-elles estiment que la sécurité sera principalement traitée par des partenaires externes d’ici cinq ans. Les motivations restent encore principalement ciblées sur la maitrise des coûts, critère principal d’évaluation de la performance de la sécurité à ce jour. Il revient aujourd’hui aux industriels de la sécurité de démontrer l’efficacité de leurs capacités de prévention, de détection des attaques et de réaction pour convaincre les décisionnaires de la sécurité en Europe des intérêts de la fédération des moyens de protection. www.steria.com www.steria.com Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques? | 39 Cette conclusion nous amène à quelques recommandations pour la défense des intérêts des entreprises dans le cyber espace. Elle invite notamment à : - une plus grande coopération en Europe entre les industriels de la sécurité et l’ensemble des parties prenantes pour la création de capacités globales et fédérées accroissant la force de frappe des acteurs européens ; - l’amélioration de la mesure de la performance en matière de sécurité en la centrant en premier lieu sur… la sécurité elle-même (nombres d’attaques détectées, résolues, temps de réponse, etc.). Aujourd’hui, bien que les budgets sécurité soient préservés, le principal KPI est le contrôle des coûts, alors même que dépenser plus peut signifier que vous êtes mieux protégés ; - une gestion opérationnelle de la sécurité 24/7 plus systématique ; - une évolution des offres de services des industriels pour répondre avec plus d’ambition au double enjeu de performance économique et d’efficacité sécuritaire qu’attendent les entreprises. Certains industriels ont déjà fortement investi pour développer des capacités de cyber sécurité de premier ordre et proposer aux entreprises d’en partager les résultats. La coopération entre entreprises et industriels européens repose sur trois axes : - un meilleur accompagnement des entreprises dans la compréhension des enjeux de sécurité, le diagnostic et la définition de la gouvernance et des moyens ajustés aux priorités d’efficacité et de retour sur investissement ; - une plus grande maturité des modèles de mise en œuvre de la sécurité, pour accélérer sa démocratisation tout en nivelant les pratiques par le haut ; - le développement de partenariats technologiques innovants dans l’espace européen pour mieux détecter les attaques les plus avancées (telles les APT) et pour réagir dans les plus brefs délais. Ainsi, les entreprises européennes pourront saisir les multiples opportunités permises par le digital sous toutes ses formes tout en maîtrisant les cyber risques. Elles pourront alors afficher leur confiance sans pécher par excès d’optimisme.
  21. 21. 40 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ? www.steria.com A propos de PAC De la stratégie à l’exécution, PAC apporte des réponses objectives et ciblées aux défis posés par l’essor du secteur des Technologies de l’Information et de la Communication (TIC). Fondée en 1976, PAC est une société de conseil et d’études de marché spécialisée dans le domaine du logiciel et des services informatiques. PAC aide les fournisseurs de services informatiques à optimiser leur stratégie à travers des analyses quantitatives et qualitatives ainsi que des prestations de conseil opérationnel et stratégique. Nous conseillons les DSI et les investisseurs dans l’évaluation des fournisseurs TIC et dans leurs projets d’investissements. Les organisations et les institutions publiques se réfèrent également à nos études pour développer leurs politiques informatiques. Plus d’informations sur www.pac-online.fr www.steria.com Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques? | 41 A propos de Steria Steria délivre des services qui s’appuient sur les nouvelles technologies et qui permettent aux administrations et aux entreprises d’améliorer leur efficacité et leur rentabilité. Grâce à une excellente connaissance des activités de ses clients et son expertise des technologies de l’information et de l’externalisation des processus métiers de l’entreprise, Steria fait siens les défis de ses clients et les aide à développer des solutions innovantes pour y faire face. De par son approche collaborative du conseil, Steria travaille avec ses clients pour transformer leur organisation et leur permettre de se focaliser sur ce qu’ils font le mieux. Les 20 000 collaborateurs de Steria, répartis dans 16 pays, prennent en charge les systèmes, les services et les processus qui facilitent la vie quotidienne de millions de personnes chaque jour. Depuis plus de 20 ans, Steria est le partenaire de confiance dans le domaine de la sécurité et accompagne les organisations publiques et privées dans la protection de leurs infrastructures, leurs applications et leurs données. Fort de 700 experts en Europe, Steria maîtrise de bout-en-bout le cycle de vie de la sécurité, de l’élaboration d’une stratégie de sécurité jusqu’aux opérations quotidiennes. Sa force de conseil de premier ordre permet d’augmenter l’efficacité et le retour sur investissement des politiques de sécurité de ses clients. Grâce à son Centre de Cyber sécurité avancé, Steria est à même de prévenir et détecter les attaques les plus sophistiquées (comme les Advanced Persistent Threats - APT), et de réagir dans les plus brefs délais. Steria propose également à ses clients des solutions de confiance numérique alignées sur leurs besoins et processus métiers : gestion des identités et des accès, protection contre les fuites de données, sécurité dédiée au cloud et à la mobilité… Créé en 1969, Steria est présent en Europe, en Inde, en Afrique du Nord et en Asie du Sud-Est. Le Groupe a réalisé un chiffre d’affaires de 1,83 milliard d’euros en 2012. Son capital est détenu à hauteur de 20 %(*) par ses collaborateurs. Steria, dont le siège social est basé à Paris, est coté sur Euronext Paris. (
  22. 22. 42 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ? www.steria.com www.steria.com Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques? | 43
  23. 23. www.steria.com www.steria.com Groupe Steria SCA 43-45 Quai du Président Roosevelt 92130 Issy-les-Moulineaux France Steria is committed to supporting a sustainable world and is Certified Carbon Neutral for Flight and Fleet Travel © Steria

×