Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
CYBER-ATTAQUES
Où en sont les entreprises françaises ?
Sommaire
Quelques mots sur
Quelques mots sur
Editoriaux. . . . . . . .
Méthodologie / P
Présentation de l’é
Présentation d...
CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 3
Quelques mots sur Provadys. . . . . . . . . . . . . . . . . . . ...
4 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Cartographier son SI pour mieux le protéger. . . . . . . . . . ....
EPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 5
. . . . . . . . . . . . . . . 18
uité d’act...
6 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Quelques mots
sur le CESIN
Le CESIN (Club des Experts de la Sécu...
EPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 7
Numérique) est une
essionnalisation,de
du n...
8 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Méthodologie
Profil des répondants
Synthèse de l
119 RSSI et mana...
REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 9
ie
nts
Structure
et thématique
Provadys, e...
10 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Dans quel secteur d’activité
votre entreprise se situe-t-elle ?...
REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 11
ur d’activité
se situe-t-elle ?
ayant par...
12 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Chapitre 1
Préparation
Des
entrep
consc
de leu
expos
aux cy
att...
CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 13REPRISES FRANÇAISES ?
IntroductionLes entreprises sondées dans l...
14 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Selon vous, quel type de cible votre entreprise est-elle ?
La m...
REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 15
Votre entreprise dispose-t-elle
de moyens...
16 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Evaluez-vous le
sécurité de vos
L’externalisation de tou
d’info...
REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 17
Evaluez-vous le niveau de
sécurité de vos...
18 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
La politique de
de votre entrep
le risque de cyb
Les cyber-cris...
REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 19
La politique de continuité d’activité
de ...
20 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Chapitre 2
Détection
Intro
ductLutter efficacement co
nécessite...
REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 21
Intro-
ductionLutter efficacement contre ...
22 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Les utilisateurs sont im
des entreprises, contre
s’appuyant sur...
REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 23
Les utilisateurs sont impliqués dans ce d...
24 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Dans le cadre de la surveillance opérationnelle
de la sécurité ...
REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 25
Conclusion
Les entreprises ont bien compr...
26 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Chapitre 3
Réaction
Intr
Comment le
Une fois l’attaque
limiter ...
CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 27REPRISES FRANÇAISES ?
Introduction
Comment les entreprises réagi...
28 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Cette organisation, repose-t-elle sur
une équipe dédiée, une éq...
REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 29
critères
é
ber-crise ?
vite pour limiter
...
30 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Votre entreprise a-t-elle défini des processus
de notifications e...
REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 31
s processus
tion ?
quent avoir défini des
...
32 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Chapitre 4
Récupération
Intr
duct
Quels moyen
les entrepris
dép...
REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 33
Votre entreprise est-elle
équipée d’outil...
34 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Votre entreprise dispose-t-elle
de moyens d’analyse post-mortem...
REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 35
Conclusion
Le déploiement d’outils et de ...
36 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Chapitre 5
Sensibilisation
N
2
CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 37REPRISES FRANÇAISES ?
Des campagnes
de sensibilisation à la sécu...
38 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
1
2
3
Les moyens (techniques
et organisationnels)
de réaction a...
CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 39REPRISES FRANÇAISES ?
Oui - sans scénario
yber-attque : 7%
Oui -...
CYBER-ATTAQUE: OÙ EN SONT LES ENTREPRISES FRANÇAISES ? Enquête 2015
Upcoming SlideShare
Loading in …5
×

CYBER-ATTAQUE: OÙ EN SONT LES ENTREPRISES FRANÇAISES ? Enquête 2015

2,069 views

Published on

CYBER-ATTAQUE : OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Le livre blanc de l’enquête 2015 réalisée par PROVADYS en collaboration avec le CESIN.
L'enquête est aussi téléchargeable sur notre site www.provadys.com

Published in: Technology
  • Be the first to comment

CYBER-ATTAQUE: OÙ EN SONT LES ENTREPRISES FRANÇAISES ? Enquête 2015

  1. 1. CYBER-ATTAQUES Où en sont les entreprises françaises ?
  2. 2. Sommaire Quelques mots sur Quelques mots sur Editoriaux. . . . . . . . Méthodologie / P Présentation de l’é Présentation de la Structure et thémati Synthèse de l’échan Dans quel secteur d A l’exception de la lo règlements votre en A l’exception des do des données sensibl de santé ou relevant Chapitre 1 - Prépa Introduction . . . . . . Des entreprises co Votre entreprise a-t-e cyber-attaque ? . . . . Quel intérêt représe Selon vous, quel typ Comprendre et car Votre entreprise disp des menaces de type Organisez-vous des t Se préparer à la ge Avez-vous déjà réalisé Externalisation et Evaluez-vous le nive
  3. 3. CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 3 Quelques mots sur Provadys. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Quelques mots sur le CESIN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Editoriaux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Méthodologie / Profil des répondants Présentation de l’étude. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Présentation de la méthodologie de l’étude . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Structure et thématique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Synthèse de l’échantillon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Dans quel secteur d’activité votre entreprise se situe-t-elle ? . . . . . . . . . . . . . . . . . . . . . . . 10 A l’exception de la loi informatique et libertés, à quels normes / lois / règlements votre entreprise est-elle soumise ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 A l’exception des données à caractère personnel, votre entreprise manipule-t-elle des données sensibles telles que des données classifiées, de cartes de paiement, de santé ou relevant du secret industriel ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Chapitre 1 - Préparation Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Des entreprises conscientes de leur exposition aux cyber-attaques . . . . . . . . . . . 13 Votre entreprise a-t-elle déjà été affectée par une ou plusieurs crises de type cyber-attaque ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Quel intérêt représentez-vous pour un attaquant ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 Selon vous, quel type de cible votre entreprise est-elle ? . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 Comprendre et caractériser la menace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 Votre entreprise dispose-t-elle de moyens spécifiques ou dédiés à la prise en compte des menaces de type attaques informatiques ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Organisez-vous des tests d’intrusion sur vos sites les plus sensibles ?. . . . . . . . . . . . . . . 15 Se préparer à la gestion d’une cyber-crise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 Avez-vous déjà réalisé un exercice de crise comprenant un scénario de cyber-attaque ? . . 16 Externalisation et cybercriminalité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 Evaluez-vous le niveau de sécurité de vos prestataires ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
  4. 4. 4 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? Cartographier son SI pour mieux le protéger. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 Gouvernance en matière de sécurité de l’information et continuité d’activité . . 18 Votre entreprise dispose-t-elle d’une Politique de Sécurité de l’Information (PSSI) ?. 18 La politique de continuité d’activité de votre entreprise prend-elle en compte le risque de cyber-attaque ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 Chapitre 2 - Détection Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 Votre entreprise a-t-elle mis en place les outils suivants ? . . . . . . . . . . . . . . . . . . . . . . . . . . 21 Votre entreprise a-t-elle mis en place une organisation pour détecter les incidents de sécurité ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 Cette organisation repose-t-elle sur une équipe dédiée, une équipe IT ou bien une équipe transverse ? : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 Votre entreprise dispose-t-elle d’un SOC, d’un CERT ou d’un CSIRT ? : . . . . . . . . . . . . . . 23 Dans le cadre de la surveillance opérationnelle de la sécurité de vos systèmes d’information, des investigations sont-elles réalisées ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 Est-ce que votre entreprise réévalue ses moyens de détection (organisationnels et humains) ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 Chapitre 3 - Réaction Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 Votre entreprise dispose-t-elle d’une organisation lui permettant de réagir efficacement en cas d’incident de sécurité ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 Cette organisation, repose-t-elle une équipe dédiée, une équipe transverse, une équipe IT ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 Votre entreprise dispose-t-elle de critères pour qualifier l’incident de sécurité et déclencher une situation de cyber-crise ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 Votre entreprise a-t-elle défini les acteurs, leurs rôles et responsabilités en cas de survenance d’une cyber-crise ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 Votre dispositif de crise prévoit-il la sollicitation d’experts ?. . . . . . . . . . . . . . . . . . . . . . . . 29 Les collaborateurs pa de réaction aux cybe Votre entreprise dispo Votre entreprise a-t-e Les moyens (techniq cyber-attaque sont-il Conclusion. . . . . . . . . Chapitre 4 - Récup Introduction . . . . . . . Votre entreprise est-e la collecte des traces Votre entreprise a-t-e juridique et assuranc subit, demande d’ind Votre entreprise disp de sécurité (forensic) Conclusion . . . . . . . . . Chapitre 5 - Sensib Des campagnes de s des collaborateurs so Avez-vous prévu une Conclusion . . . . . . . . . Conclusion généra
  5. 5. EPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 5 . . . . . . . . . . . . . . . 18 uité d’activité . . 18 mation (PSSI) ?. 18 n compte . . . . . . . . . . . . . . . 19 . . . . . . . . . . . . . . . 19 . . . . . . . . . . . . . . . 21 . . . . . . . . . . . . . . . 21 r les incidents . . . . . . . . . . . . . . . 22 IT . . . . . . . . . . . . . . . 22 ? : . . . . . . . . . . . . . . 23 systèmes . . . . . . . . . . . . . . . 24 . . . . . . . . . . . . . . . 25 . . . . . . . . . . . . . . . 25 . . . . . . . . . . . . . . . 27 réagir . . . . . . . . . . . . . . . 27 nsverse, . . . . . . . . . . . . . . . 28 e sécurité . . . . . . . . . . . . . . . 28 tés . . . . . . . . . . . . . . . 28 . . . . . . . . . . . . . . . 29 Les collaborateurs participent-ils d’une manière ou d’une autre aux plans de réaction aux cyber-attaques définis ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 Votre entreprise dispose-t-elle d’une ou plusieurs solutions techniques de réaction ? . 30 Votre entreprise a-t-elle définit des processus de notifications et de communication ? 30 Les moyens (techniques et organisationnels) de réaction aux crises de type cyber-attaque sont-ils réévalués ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 Conclusion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 Chapitre 4 - Récupération Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 Votre entreprise est-elle équipée d’outils permettant la traçabilité / l’enregistrement / la collecte des traces et preuves de l’agression détectée ? . . . . . . . . . . . . . . . . . . . . . . . . . . 33 Votre entreprise a-t-elle défini les processus permettant la prise en compte des aspects juridique et assurance (dossier de plainte / dossier de preuve, estimation du préjudice subit, demande d’indemnisation) suite à une Cyber Attaque ? . . . . . . . . . . . . . . . . . . . . . . 34 Votre entreprise dispose-t-elle de moyens d’analyse post-mortem des incidents de sécurité (forensic) ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 Chapitre 5 - Sensibilisation Des campagnes de sensibilisation à la sécurité de l’information auprès des collaborateurs sont-elles planifiées ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 Avez-vous prévu une simulation de crise dans l’année ? . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 Conclusion générale. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
  6. 6. 6 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? Quelques mots sur le CESIN Le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) est une association loi 1901,créée en juillet 2012,avec des objectifs de professionnalisation,de promotion et de partage autour de la sécurité de l’information et du numérique. C’est un lieu d’échange de connaissances et d’expériences qui permet la coopération entre experts de la sécurité de l’information et du numérique et les pouvoirs publics.Le Club conduit des ateliers et groupes de travail, mène des actions de sensibilisation et de conseil, organise des congrès, colloques, ou conférences. Il participe à des démarches nationales dont l’objet est la promotion de la sécurité de l’information et du numérique. Il est force de proposition sur des textes règlementaires,guides et autres référentiels. Gestion des risques & Sécurité de l’information Spécialiste des technologies de l’information, Provadys accompagne les organisations dans leurs grands projets de transformation. Pour appréhender au mieux les défis de la gestion des risques liés aux SI, Provadys tire profit de son ancrage multisectoriel. L’approche globale que nous mettons en place combine notre expertise en matière de gouvernance et transformation des SI de gestion globale des risques au bénéfice d’une approche spécifique des risques IT. Ainsi, l’expertise Provadys Information Security, se déploie en trois axes, la sécurité des SI, la conformité mais aussi la résilience et la continuité d’activité. E Information Security Pour une sécurité optimale
  7. 7. EPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 7 Numérique) est une essionnalisation,de du numérique. C’est a coopération entre oirs publics.Le Club ensibilisation et de pe à des démarches on et du numérique. utres référentiels. es organisations dans défis de la gestion des approche globale que nce et transformation ifique des risques IT. es, la sécurité des SI, Edito Luc Delpha Partner & Lead Provadys Information Security Dans nos systèmes d’information de plus en plus complexes, les pannes, défaillances matérielles ou logicielles sont devenues tellement incontournables que toutes les entreprises se sont préparées à y faire face. Elles ont donc admis qu’elles devaient être capables de continuer à fonctionner en dépit de l’occurrence de ces évènements. Elles ont également mis en œuvre des moyens permettant d’atteindre, au moins partiellement, cet objectif. De la même manière, les entreprises sont confrontées au caractère quasi-inévitable des attaques contre leurs systèmes d’information. Cette seconde étude menée par Provadys dans le cadre du CESIN permet de mesurer le chemin parcouru depuis 2013. Si les entreprises ont aujourd’hui globalement pris la mesure du phénomène, notre étude démontre qu’elles sont encore insuffisamment préparées et outillées pour faire face à des cyber-attaques de plus en plus sophistiquées. Alain Bouillé Président du CESIN Cette seconde édition de l’enquête montre un certain progrès dans la majorité des entreprises. Ces progrès se traduisent par un renforcement des capacités de détection avec des process, des outils sans oublier les hommes qui commencent à faire leur preuve dans la capacité de l’entreprise à savoir qu’elle est attaquée. Si les entreprises ont, au fil des ans, appréhendé les différents risques systémiques qui peuvent s’abattre sur elles au travers de leurs plans de continuité d’entreprise ; il reste encore beaucoup de chemin à parcourir pour intégrer le risque cyber dans les process de gestion de crise de l’entreprise. Nos démarches de sensibilisation doivent être repensées ; malgré tous les efforts déjà déployés. Car de toute évidence, l’utilisateur connaîtra de plus en plus de difficultés à distinguer une sollicitation légitime d’une malveillante, tant certaines attaques sont minutieusement planifiées et ciblées. Egalement, les outils de protection vont nécessiter de gagner encore en efficacité pour protéger les entrées au SI de l’entreprise, qui vont par ailleurs se démultiplier avec l’ultra-mobilité en marche. Une étude réalisée dans le cadre d’un partenariat entre Provadys et le CESIN
  8. 8. 8 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? Méthodologie Profil des répondants Synthèse de l 119 RSSI et managers o et 62% sont des entrep moins de 50 collaborat Prése de la de l’é Pré deL’objectif de cette est de mettre en l pour se préparer mieux comprend cyber-attaques. C vise aujourd’hui
  9. 9. REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 9 ie nts Structure et thématique Provadys, en partenariat avec le Cesin, a réalisé une enquête auprès de Responsables de la Sécurité des Systèmes d’Information, mais aussi de Directeurs Techniques et de Directeurs Généraux d’organisation françaises et internationales. Un questionnaire en ligne a ainsi été mis à disposition.Comme en 2013, celui-ci comportait cinquante questions abordant cinq thématiques : la préparation, la détection, la réaction, la récupération ainsi que la sensibilisation en matière de cybercriminalité. Synthèse de l’échantillon 119 RSSI et managers ont participé à l’étude,soit deux fois plus qu’en 2013.Parmi les organisations représentées,27% comptent moins de 250 salariés et 62% sont des entreprises de très grande taille (plus de 1000 salariés). Par conséquent, même si 11% des répondants sont issus d’organisations de moins de 50 collaborateurs, notre enquête reflète majoritairement la situation des grandes entreprises. Présentation de la méthodologie de l’étude Présentation de l’étudeL’objectif de cette seconde étude réalisée conjointement par le Cesin et Provadys est de mettre en lumière les actions mises en œuvre par les entreprises françaises pour se préparer, détecter et faire face à une cyber-attaque. Il s’agit ainsi de mieux comprendre la situation des organisations en matière de résilience aux cyber-attaques. Cet enjeu est d’autant plus fondamental que la cybercriminalité vise aujourd’hui autant les États, les grands groupes, que les PME.
  10. 10. 10 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? Dans quel secteur d’activité votre entreprise se situe-t-elle ? Le panel d’organisations ayant participé à notre enquête est équilibré avec 13% de réponses émanant du secteur public, 17% de l’industrie, 20% du secteur Banque/Assurance et 13% de celui des services aux entreprises. 1 Administration (public) : 13% 2 Association : 5% 3 Assurance : 12% 4 Autres : 6% 5 Banque : 8% 6 Energie : 5% 7 Industrie : 17% 8 Transport : 3% 9 Santé, média, télécoms : 16% 10 Services aux entreprises : 13% 11 Grande distribution : 3% 1 2 3 4 5 6 7 8 9 10 11 À l’exception de à quels normes entreprise est-e La moitié (50%) des or au secret professionne enquête de 2013, la réglementation applica ARJEL BALE2/BALE3 SOX AUTRES 2% 4% 8%8%
  11. 11. REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 11 ur d’activité se situe-t-elle ? ayant participé à notre vec 13% de réponses blic, 17% de l’industrie, /Assurance et 13% de treprises. blic) : 13% oms : 16% prises : 13% n : 3% À l’exception de la loi informatique et libertés, à quels normes / lois / règlements votre entreprise est-elle soumise ? La moitié (50%) des organisations interrogées ont déclaré être soumises au secret professionnel ou médical. Pour 19%, contre 22% dans notre enquête de 2013, la Loi informatique et libertés constitue la seule réglementation applicable dans leur contexte. À l’exception des données à caractère personnel, votre entreprise manipule- t-elle des données sensibles telles que des données classifiées, de cartes de paiement, de santé ou relevant du secret industriel ? 39% des répondants indiquent que leur organisation manipule des données de santé alors que 15% ont déclaré relever du secret médical. De même, 28% manipulent des données de carte de paiement quand 15% se disent soumises aux normes PCI DSS. Ces écarts montrent que les entreprises n’ont pas toujours conscience des conséquences réglementaires de leurs activités. DONNÉESCLASSIFIÉES (DÉFENSE) DONNÉESDECARTES DEPAIEMENT SECRETSINDUSTRIELS DONNÉESDESANTÉ ARJEL BALE2/BALE3 SOX AUTRES LSF SOLVENCY ACP SECRETDEFENSE PCIDSS SECRETMEDICAL RGS SECRETPROFESSIONNEL AUCUN 2% 4% 11% 15%8% 13% 34%8% 12% 21%11% 15% 19% 16% 28% 39%29%
  12. 12. 12 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? Chapitre 1 Préparation Des entrep consc de leu expos aux cy attaqu
  13. 13. CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 13REPRISES FRANÇAISES ? IntroductionLes entreprises sondées dans le cadre de notre étude ont globalement conscience de leur niveau d’exposition aux cyber-attaques. La majorité d’entre elles en ont d’ailleurs déjà été victimes. Depuis 2013, les entreprises se préparent davantage à faire face à cette menace et sont plus nombreuses à investir dans leur cybersécurité. Cela passe par l’intégration de ces scénarios spécifiques dans leur dispositif de gestion de crise ou par la réalisation de tests de pénétration et d’intrusion sur leurs sites les plus sensibles. Les entreprises peuvent néanmoins gagner en maturité en prenant mieux en compte les risques liés à leurs activités externalisées et en se préparant à une interruption d’activité consécutive à une cyber-attaque. Votre entreprise a-t-elle déjà été affectée par une ou plusieurs crises de type cyber-attaque ? En 2013, 52% des organisations interrogées avaient déjà été touchées par au moins une cyber-attaque. Elles sont aujourd’hui 57%, dans un contexte de multiplication et d’industrialisation des attaques.Cette réalité est probablement encore sous-estimée. Des entreprises conscientes de leur exposition aux cyber- attaques 1 2 3 4 1 Ne sait pas : 11% 2 Oui, antérieures aux douze derniers mois : 18% 3 Oui, dans les douze derniers mois : 39% 4 Non : 32%
  14. 14. 14 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? Selon vous, quel type de cible votre entreprise est-elle ? La moitié (50%) des organisations interrogées ont déclaré être soumises au secret professionnel ou médical. Pour 19%, contre 22% dans notre enquête de 2013, la Loi informatique et libertés constitue la seule réglementation applicable dans leur contexte. Votre entrep de moyens s à la prise en de type attaq Conscientes des l’information, 74 disposent de moy attaques, contre une plus grande s 78% des organi des analyses d d’information, m risque de cyber-a Plus globalement les scénarios de ty les toucher. Quel intérêt représentez-vous pour un attaquant ? Parmi les organisations s’estimant ciblées, le vol de données serait la principale motivation des cyber-assaillants. Cette menace fait peser un risque d’autant plus lourd sur les entreprises que la règlementation européenne s’oriente vers de nouvelles obligations en matière de protection des données à caractère personnel. Des obligations de notification des autorités et d’information des clients concernés seront en particulier introduites pour toutes les entreprises. 1 Oui, chaque mois 2 Oui, chaque trime 3 Non : 24% 4 Oui, tous les ans : 5 Oui, tous les deux 1 Ciblée : 39% 2 Ni l’un, ni l’autre : 18% 3 Opportuniste : 43% 3 1 2 Comprendre et caractériser la menace VOLDEDONNÉES FRAUDE CHANTAGE ESPIONNAGE REVENDICATION AUTRE 72% 61% 11%36%52% 31%
  15. 15. REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 15 Votre entreprise dispose-t-elle de moyens spécifiques ou dédiés à la prise en compte des menaces de type attaques informatiques ? Conscientes des enjeux liés à la sécurité de l’information, 74% des organisations interrogées disposent de moyens de prise en compte des cyber- attaques, contre 63% en 2013, ce qui démontre une plus grande sensibilisation à ce sujet. 78% des organisations interrogées conduisent des analyses de risques sur leurs systèmes d’information, mais seules 33% y intègrent le risque de cyber-attaque. Plus globalement, 61% d’entre elles ont identifié les scénarios de type cyber-attaque susceptibles de les toucher. Organisez-vous des tests d’intrusion sur vos sites les plus sensibles ? Se préparer à faire face à une cyber-attaque passe entre autres par l’identification des faiblesses de son SI ; les sites internet sont des cibles qui exposent les entreprises et qui peuvent se révéler être des portes d’entrée dans leur SI. 76% des organisations déclarent ainsi procéder à des tests d’intrusion sur leurs sites les plus sensibles, contre 96% en 2013. Cet écart s’explique notamment par une plus forte représentation des PME dans cette étude puisque 59% des entreprises de moins de 250 salariés n’ont jamais pratiqué de test d’intrusion. A l’inverse, 95% des groupes de plus de 5000 collaborateurs en réalisent régulièrement. 1 Oui, chaque mois : 9% 2 Oui, chaque trimestre : 8% 3 Non : 24% 4 Oui, tous les ans : 42% 5 Oui, tous les deux ans : 16% 1 2 34 5 1 Oui, dans des procédures : 12% 2 Non : 41% 3 Ne sait pas : 7% 4 Oui, mais sans documentation : 7% 5 Oui, dans une analyse de risques : 33%dre ériser e 1 2 3 4 5
  16. 16. 16 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? Evaluez-vous le sécurité de vos L’externalisation de tou d’information est de Qu’il s’agisse de Tierce M de recours au cloud encore d’infogérance, font aujourd’hui appe service. Cette externa nécessairement de tran sous-traitant. Notre Livre Blanc sur ainsi que seules 41% d de clauses de transfe matière de sécurité responsabilités régleme à leurs fournisseurs. S contrats contiennent d le risque d’attaque inf compte que dans 57% sont cependant plus n niveau de sécurité de contre 49% en 2013. 1 Externalisation et sécurité, où françaises ? Provadys en collab Avez-vous déjà réalisé un exercice de crise comprenant un scénario de cyber-attaque ? Toutefois,si les entreprises sont globalement conscientes du niveau de la menace,71% ne se sont jamais préparées à se confronter à une crise de type cyber-attaque dans le cadre d’un exercice de crise. 21% ont déclaré avoir réalisé un exercice de crise comprenant un scénario de cyber-attaque. Pour rappel, 39% des répondants ont indiqué avoir subi une cyber-attaque dans les douze derniers mois. Les entreprises qui n’ont jamais été en position de s’exercer à réagir aux cyber-attaques risquent de se trouver démunies lorsqu’elle seront confrontées de manière réelle à cette situation. Exter et cy 1 Oui, l’année dernière : 21% 2 Oui, il y a deux ans : 6% 3 Oui, il y a trois ans : 3% 4 Non : 71% 1 2 3 4 Se préparer à la gestion d’une cyber-crise
  17. 17. REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 17 Evaluez-vous le niveau de sécurité de vos prestataires ? L’externalisation de tout ou partie du système d’information est devenue incontournable. Qu’il s’agisse de Tierce Maintenance Applicative, de recours au cloud en SaaS, IaaS, PaaS ou encore d’infogérance, 82% des entreprises font aujourd’hui appel à des fournisseurs de service. Cette externalisation n’implique pas nécessairement de transférer les risques vers le sous-traitant. Notre Livre Blanc sur l’externalisation1 montre ainsi que seules 41% des entreprises disposent de clauses de transfert de responsabilité en matière de sécurité et 39% transfèrent les responsabilités réglementaires et de conformité à leurs fournisseurs. Si la plupart– 89% - des contrats contiennent des exigences de sécurité, le risque d’attaque informatique n’est pris en compte que dans 57% des cas. Les entreprises sont cependant plus nombreuses à évaluer le niveau de sécurité de leurs prestataires– 55% contre 49% en 2013. 1 Externalisation et sécurité, où en sont les entreprises françaises ? Provadys en collaboration avec le CESIN (2014) ue ? la menace,71% ne aque dans le cadre se comprenant un qué avoir subi une aux cyber-attaques nière réelle à cette Externalisation et cybercriminalité 2 3 1 Non : 36% 2 Ne sait pas : 8% 3 Oui : 54% 1 2 3
  18. 18. 18 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? La politique de de votre entrep le risque de cyb Les cyber-crises récent d’une cyber-attaque é cybercriminalité est d la continuité des opé organisations de notre continuité d’activité ga de choc extrême. 41% leurs activités critiques Cartographier son SI pour mieux le protéger Lutter contre les attaques visant son système d’information implique de bien maîtriser son architecture. Cela ne concerne que les 68% d’entreprises qui indiquent disposer d’une cartographie de leur système d’information. Parmi celles-ci, 80% sont également en mesure d’identifier ses composants internes les plus sensibles et 54% leurs fournisseurs de services sensibles de façon à pouvoir les protéger efficacement. 1 Non : 48% 2 Ne sait pas : 11% 3 Oui : 41% 1 Non : 18% 2 Oui : 82% 1 2 3 Gouvernance en matière de sécurité de l’information et continuité d’activité Votre entreprise dispose-t-elle d’une Politique de Sécurité de l’Information (PSSI) ? Si dans l’ensemble, 82% des organisations disposent d’une Politique de Sécurité des Systèmes d’Information (PSSI), seules 59% des PME de moins de 250 salariés en ont mis une en place.Il reste donc au niveau de ces PME un travail important à faire pour définir le cadre de référence dans lequel la Sécurité du Système d’Information doit être envisagée. La PSSI est la garantie d’un engagement de la Direction en faveur de la sécurité de l’information et de l’existence de moyens humains et financiers permettant de parer au risque d’incident en général,et de cyber-attaques en particulier.Ce document démontre un niveau de maturité de l’entreprise en matière de sécurité de l’information et d’une véritable prise de conscience par l’ensemble des enjeux par la Direction.
  19. 19. REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 19 La politique de continuité d’activité de votre entreprise prend-elle en compte le risque de cyber-attaque ? Les cyber-crises récentes ont démontré que l’une des conséquences majeures d’une cyber-attaque était l’indisponibilité du système d’information. La cybercriminalité est d’ailleurs aujourd’hui la première menace affectant la continuité des opérations des entreprises. Cependant, seules 76% des organisations de notre panel disposent d’une politique ou de procédures de continuité d’activité garantissant le maintien de leurs activités vitales en cas de choc extrême. 41% d’entre elles intègrent des mesures visant à préserver leurs activités critiques en cas de cyber-attaque. Cela ne concerne elles-ci, 80% sont ervices sensibles 1 Non : 48% 2 Ne sait pas : 11% 3 Oui : 41% 1 2 3 Conclusion Les entreprises ont aujourd’hui bien conscience des risques induits par les cyber-attaques. Pour la plupart d’entre elles, le phénomène n’est pas seulement appréhendé à travers les nombreux cas relatés dans les journaux, elles y sont directement confrontées. Elles déploient ainsi davantage de moyens consacrés à la prise en compte de cette menace. Elles réalisent des tests d’intrusion et intègrent le scénario cyber-attaque à leurs dispositifs de gestion de crise, mais cette préparation reste trop souvent théorique et par conséquent, insuffisante. Pour gagner en maturité, il s’agirait désormais de réévaluer régulièrement la préparation théorique, passer à la pratique en réalisant des exercices impliquant l’ensemble des entités et acteurs concernés. En plus de constituer une menace pour la sécurité de leurs patrimoines technique et informationnel, les entreprises devraient également considérer les cyber-attaques comme un risque majeur pesant sur la continuité de leurs activités. nce é mation té
  20. 20. 20 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? Chapitre 2 Détection Intro ductLutter efficacement co nécessite d’être capab qu’il ne soit trop tard. pour cela compter su de détection des me exploitent-elles de fa étude démontre qu’e réévaluer régulièreme leurs dispositifs organi et à davantage s’appuy Quel par le une c
  21. 21. REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 21 Intro- ductionLutter efficacement contre une cyber-attaque nécessite d’être capable de la détecter avant qu’il ne soit trop tard. Les entreprises peuvent pour cela compter sur des outils techniques de détection des menaces. Cependant, les exploitent-elles de façon optimale ? Notre étude démontre qu’elles gagneraient à les réévaluer régulièrement, à mieux structurer leurs dispositifs organisationnels de détection et à davantage s’appuyer sur les utilisateurs. Votre entreprise a-t-elle mis en place les outils suivants ? Les organisations interrogées ont globalement mis en place des outils techniques de détection des cyber-attaques: 77% d’entre elles ont recours à au moins un outil et 58% en disposent d’au moins deux.En revanche,23% des entreprises n’ont déployé aucun outil de détection. Les petites entreprises sont ainsi davantage exposées puisque cette proportion s’élève à 31% pour les organisations comptant moins de 250 salariés. Quels sont les moyens déployés par les entreprises pour détecter une cyber-attaque ? AUTRES SYSTÈMEDEDÉTECTIONDESAPT AUCUN SYSTÈMEDECORRÉLATIONET D’AUTOMATISATIONDEL’ANALYSEDESLOGS SYSTÈMEDEGESTION DESÉVÈNEMENTSDESÉCURITÉ SYSTÈMEDEDÉTECTIOND’INTRUSION SYSTÈMEDEPRÉVENTIOND’INTRUSION 5% 17% 24%23% 30% 57% 59%
  22. 22. 22 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? Les utilisateurs sont im des entreprises, contre s’appuyant sur le phishin l’ingénierie sociale, ou effet un maillon fort de bien compris. Votre entreprise a-t-elle mis en place une organisation pour détecter les incidents de sécurité ? Cette organisation fait défaut chez 42% des organisations de notre panel. Les grandes entreprises sont mieux armées puisqu’elles sont 66% à avoir mis en place une organisation consacrée à la détection des incidents de sécurité. Cette organisation repose-t-elle sur une équipe dédiée, une équipe IT ou bien une équipe transverse ? Dans 55% des cas, une telle fonction est exercée par une équipe du département informatique. L’accent peut également être mis sur la transversalité dans 41% des organisations ou bien sur la spécialisation (38%). En matière de détection, disposer d’outils techniques est inutile si les entreprises ne déploient pas une organisation capable de diffuser et traiter l’information relative aux incidents de sécurité. 1 Oui : 58% 2 Non : 42% 1 Une équipe dédiée: 38% 2 Une équipe IT: 55% 1 2 1 2 3 4 1 3 Une équipe transverse: 41% 4 Autre: 3% 1 Oui : 74% 2 Non : 26%
  23. 23. REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 23 Les utilisateurs sont impliqués dans ce dispositif de détection dans 74% des entreprises, contre 47% en 2013. Avec la multiplication des attaques s’appuyant sur le phishing (hameçonnage),les ransomwares (rançongiciels), l’ingénierie sociale, ou encore l’usurpation d’identité, l’utilisateur est en effet un maillon fort de la sécurité de l’information et les entreprises l’ont bien compris. pe IT ée par une équipe galement être mis ns ou bien sur la ation Votre entreprise dispose-t-elle d’un SOC, d’un CERT ou d’un CSIRT ? D’un point de vue organisationnel, 36% des entreprises ont mis en place un SOC (Information Security Operation Center), un CERT (Computer Emergency Response Team) ou un CSIRT (Computer Security Incident Response Team). Les grandes entreprises (5000 salariés et plus) sont plus nombreuses à s’être dotées de tels dispositifs puisque 40% d’entre elles disposent d’un SOC, 21% d’un CERT et 20% d’un CSIRT. AUCUNDESTROIS SOC CERT CSIRT 1 2 64% 24% 13%14% pe transverse: 41% % 1 Oui : 74% 2 Non : 26%
  24. 24. 24 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? Dans le cadre de la surveillance opérationnelle de la sécurité de vos systèmes d’information, des investigations sont-elles réalisées ? 82% des entreprises interrogées indiquent mener des investigations dans le cadre de la surveillance opérationnelle de leurs systèmes d’information. Un clivage existe cependant entre les groupes de plus de 5000 salariés, où cette proportion atteint 95% et les PME de moins de 250 collaborateurs, qui ne sont que 63% à réaliser de telles investigations. Con Les entreprises on des entreprises de fréquemment. Cela chaque incident p rarement de telles Est-ce que votre réévalue ses mo de détection (or et humains) ? D’un point de vue or entreprises ont mis en p Security Operation Cen Emergency Response (Computer Security Inci Les grandes entreprise sont plus nombreuses dispositifs puisque 40% d’un SOC, 21% d’un CE 1 Oui, pour toutes les anomalies détectées : 41% 2 Oui, uniquement sur les anomalies affectant la confidentialité des informations : 6% 3 Non : 37% 4 Oui, pour toutes les anomalies touchant les systèmes les plus sensibles : 3% 5 Oui, uniquement sur les anoma- lies affectant la disponibilité des systèmes : 13% 1 2 3 4 5
  25. 25. REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 25 Conclusion Les entreprises ont bien compris qu’elles devaient se protéger face aux cyber-attaques et être dotées de moyens de détection. La majorité des entreprises de notre panel utilise en effet un ou plusieurs moyens de détection. Ces moyens ne sont cependant pas mis à niveau assez fréquemment. Cela passe notamment par une réévaluation régulière des moyens déployés ainsi que par la réalisation d’investigations après chaque incident pour comprendre et corriger ses faiblesses. Pour cela, il faudrait notamment comprendre pourquoi les PME mènent trop rarement de telles investigations. Est-ce que votre entreprise réévalue ses moyens de détection (organisationnels et humains) ? D’un point de vue organisationnel, 36% des entreprises ont mis en place un SOC (Information Security Operation Center), un CERT (Computer Emergency Response Team) ou un CSIRT (Computer Security Incident Response Team). Les grandes entreprises (5000 salariés et plus) sont plus nombreuses à s’être dotées de tels dispositifs puisque 40% d’entre elles disposent d’un SOC, 21% d’un CERT et 20% d’un CSIRT. TRIMESTRIELLE SEMESTRIELLE MENSUELLE APRÈSUNINCIDENT RAREMENT NESAITPAS ANNUELLE JAMAIS s anomalies ur les anomalies entialité des s anomalies mes les plus ur les anoma- ponibilité des 2% 4% 11%8% 13%8% 12%11%
  26. 26. 26 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? Chapitre 3 Réaction Intr Comment le Une fois l’attaque limiter ses conséq de prendre les m techniques de réa 2
  27. 27. CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 27REPRISES FRANÇAISES ? Introduction Comment les entreprises réagissent-elles en cas d’attaque ? Une fois l’attaque détectée, les entreprises doivent être en capacité de mobiliser rapidement des moyens humains et techniques visant à limiter ses conséquences néfastes.Elles doivent pour cela avoir,au préalable,mis en place une organisation et des procédures leur permettant de prendre les mesures qui s’imposent : solliciter les bons experts, communiquer auprès des utilisateurs, mettre en œuvre les moyens techniques de réaction. Avant la cyber-crise, ces derniers doivent par ailleurs être réévalués régulièrement pour conserver leur pertinence. Votre entreprise dispose-t-elle d’une organisation lui permettant de réagir efficacement en cas d’incident de sécurité ? 61% des entreprises déclarent disposer d’une organisation leur permettant de réagir en cas de cyber-attaque avérée. Les grandes entreprises sont mieux armées puisque 72% des groupes de plus de 5000 salariés en sont dotés, contre 41% des PME de moins de 250 salariés. 1 Oui : 61% 2 Non : 39% 2 1
  28. 28. 28 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? Cette organisation, repose-t-elle sur une équipe dédiée, une équipe transverse, une équipe IT ? Par réagir en cas de cyber-attaque, 31% des entreprises peuvent compter sur une équipe spécialisée dans le traitement des incidents de sécurité. Elles n’étaient que 19%en2013,cequidémontreuneplusgrandemobilisation des entreprises sur les questions de cybersécurité. Votre entreprise dispose-t-elle de critères pour qualifier l’incident de sécurité et déclencher une situation de cyber-crise ? En cas d’attaque, il est crucial de réagir de réagir vite pour limiter l’importance d’éventuels vols de données ou de la contamination des systèmes d’information.Pour ce faire,il peut être recommandé de disposer une grille d’évaluation permettant de mesurer la gravité d’une attaque et de convoquer la cellule de crise rapidement si nécessaire. Votre entreprise a-t-elle défini les acteurs, leurs rôles et responsabilités en cas de survenance d’une cyber-crise ? En matière de gestion de cyber-crise, les entreprises ne sont globalement pas assez outillées. Seules 42% d’entre elles sont à même de mobiliser une cellule de crise. Cette proportion atteint 56% au sein des entreprises de plus de 1000 salariés. 21% des organisations peuvent s’appuyer sur des fiches “réflexe” rappelant les premières actions à mener en cas de crise et 20% disposent d’un annuaire de crise. AUTRE EQUIPEDÉDIÉE EQUIPETRANSVERSE EQUIPEIT OUI-AUTRE OUI-AUTRES NESAITPAS OUI,UNECELLULEDECRISE NON OUI,DESFICHESREFLEXEOU CHECK-LISTSDÉCRIVANTLES PREMIÈRESACTIONSÀCONDUIRE OUI,UNANNUAIREDECRISE OUI,UNEGRILLE D’ÉVALUATIOND’IMPACT NON OUI-AUTRE OUI-RH Les collabora participent-i d’une maniè autre aux pla aux cyber-att Si 74% des e impliquer les u processus de dé seules 38% d’en à leurs plans de attaques.Il est ce dans certains ca utilisateurs peut la propagation ou causés par une a 1 Oui : 38% 2 Non : 62% 21%8% 42%3% 32%20% 13%8% 31% 51%42%4% 39% 55%6%
  29. 29. REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 29 critères é ber-crise ? vite pour limiter a contamination tre recommandé mesurer la gravité se rapidement si teurs, se ? ne sont globalement ême de mobiliser une des entreprises de plus ppuyer sur des fiches n cas de crise et 20% Votre dispositif de crise prévoit-il la sollicitation d’experts ? La majorité des entreprises (59%) déclare avoir prévu de s’appuyer sur les compétences d’expertstechniquesencasdecyber-crise.Moins d’un tiers d’entre elles prévoient cependant de solliciter des experts en communication ou des juristes. NON OUI-AUTRE OUI-RH OUI-SPÉCIALISTE DELAGESTIONDECRISE OUI-JURIDIQUE OUI-COMMUNICATION NON OUI-TECHNIQUE Les collaborateurs participent-ils d’une manière ou d’une autre aux plans de réaction aux cyber-attaques définis ? Si 74% des entreprises déclarent impliquer les utilisateurs dans leur processus de détection des attaques, seules 38% d’entre elles les intègrent à leurs plans de réaction aux cyber- attaques.Il est cependant reconnu que dans certains cas, la mobilisation des utilisateurs peut permettre de limiter la propagation ou l’ampleur des dégâts causés par une attaque. 1 Oui : 38% 2 Non : 62% 1 2 31%13% 33% 59%8% 32%18% 55%
  30. 30. 30 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? Votre entreprise a-t-elle défini des processus de notifications et de communication ? Si la moitié des organisations interrogées indiquent avoir défini des processus de notifications et de communication à l’égard de leurs salariés, seules 24% en ont prévu pour leurs clients et 20% pour les autorités. Le projet de règlement sur la protection des données destiné à remplacer la Directive 95/46/CE va obliger les entreprises à progresser en la matière puisque celui-ci comprend l’obligation pour les organisations de notifier l’autorité en charge de la protection des données (la CNIL en France) dans les 72h suivant un vol de données. Les clients ou usagers concernés par le vol de leurs données personnelles devront également être informés rapidement. Les moyens (tec de réaction aux sont-ils réévalué Par rapport à 2013, le d’amélioration continu attaques. Elles sont au 11% après chaque tes de cette étude. Noton moyens de réaction montée en maturité. Votre entreprise dispose-t-elle d’une ou plusieurs solutions techniques de réaction ? Alors que 82% des entreprises estiment constituer une cible, 34% d’entre elles n’ont déployé aucune solution technique leur permettant de faire face à une cyber-attaque. Lorsqu’ils existent, ces outils sont dédiés à la prévention ou à la détection des attaques. 70% des entreprises seraient par ailleurs démunies face à une attaque de type DDoS. OUI,AUTRES OUI,ANT-APT OUI,ANTI-DDOS NON,AUCUNE OUI,OUTILSDEPRÉVENTION OUDEDÉTECTION OUI-AUTRES OUI-MÉDIAS OUI-SALARIÉS OUI,UNECELLULEDECRISE NON OUI-ACTIONNAIRES OUI-AUTORITÉS (BEFTI,OCLCTIC…) OUI-AUTRES OUI-MÉDIAS 32%18% 50% 42%8% 33%20% 34%17%2% 54%30% 18%8%
  31. 31. REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 31 s processus tion ? quent avoir défini des on à l’égard de leurs ients et 20% pour les des données destiné à eprises à progresser en pour les organisations es données (la CNIL en Les clients ou usagers les devront également Les moyens (techniques et organisationnels) de réaction aux crises de type cyber-attaque sont-ils réévalués ? Par rapport à 2013, les entreprises ont progressé suivant le modèle d’amélioration continue de leurs dispositifs de réponse aux cyber- attaques. Elles sont aujourd’hui 21% à les réévaluer chaque année et 11% après chaque test, contre 17% et 7% dans la précédente édition de cette étude. Notons que seules 18% d’entre elles réévaluent leurs moyens de réaction après une cyber-attaque, ce qui ralentit leur montée en maturité. Conclusion Les entreprises disposent de moyens de réaction, mais restent trop peu structurées d’un point de vue organisationnel pour faire face efficacement aux attaques. Trop peu d’entre elles mobilisent une équipe dédiée à la réponse aux incidents. Les activités de cette équipe doivent également s’inscrire dans un processus de gestion de crise prévoyant la sollicitation d’experts–en communication et juridiques notamment– et la notification des autorités compétentes. La réglementation obligera en effet bientôt les entreprises à notifier rapidement l’autorité en charge de la protection des données personnelles ainsi que leurs clients dont les données auraient pu être dérobées. Les utilisateurs doivent en outre également être impliqués dans la stratégie de réponse à une cyber-attaque dans la mesure où leur comportement peut contribuer à contenir l’ampleur et la gravité de l’attaque. L’ensemble des moyens de réaction doit enfin être régulièrement réévalué pour les adapter aux évolutions techniques et organisationnelles. OUI,OUTILSDEPRÉVENTION OUDEDÉTECTION OUI-SALARIÉS OUI,UNECELLULEDECRISE OUI-AUTRES OUI-MÉDIAS OUI-SALARIÉS NON OUI-ACTIONNAIRES OUI-CLIENTS 50% 42% % 54% 32%18% 50%8% 33%24%
  32. 32. 32 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? Chapitre 4 Récupération Intr duct Quels moyen les entrepris déploient-ell réparer les co d’une cyber-a Si la majorité de conscientes de le cyber-attaques, elle toujours les mesu d’êtrerésilientesen En cas d’agression, pouvoir collecter d possible la compré de l’attaque ainsi lacunes de ses disp Au-delà de la r les entreprises do de réagir en ma d’assurance pour l attaques sur leurs fi
  33. 33. REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 33 Votre entreprise est-elle équipée d’outils permettant la traçabilité / l’enregistrement / la collecte des traces et preuves de l’agression détectée ? Trop peu d’organisations (44%) disposent de moyens permettant la traçabilité, l’enre- gistrement, la collecte des traces et preuves des agressions avérées.Or ces éléments sont essentiels à l’identification des failles et à la mise en place d’actions correctives. Intro- duction Quels moyens les entreprises déploient-elles pour réparer les conséquences d’une cyber-attaque ? Si la majorité des entreprises sont conscientes de leur exposition aux cyber-attaques, elles ne prennent pas toujours les mesures leur permettant d’êtrerésilientesencasd’attaqueavérée. En cas d’agression, il est important de pouvoir collecter des éléments rendant possible la compréhension des ressorts de l’attaque ainsi que d’identifier les lacunes de ses dispositifs de protection. Au-delà de la réaction technique, les entreprises doivent être à même de réagir en matière juridique et d’assurance pour limiter l’impact des attaques sur leurs finances. 1 Oui : 44% 2 Non : 56% 2 1 Collecter des preuves
  34. 34. 34 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? Votre entreprise dispose-t-elle de moyens d’analyse post-mortem des incidents de sécurité (forensic) ? Comme en 2013, plus du tiers des organisations n’est pas en mesure d’analyser les incidents post mortem, alors que davantage d’entre elles mènent des investigations après avoir constaté une anomalie.Il leur est donc difficile de comprendre le mode opératoire des assaillants et d’évaluer précisément l’impact de l’attaque sur le système d’information et les données de l’entreprise. Elles ne sont par conséquent pas à même de capitaliser sur les incidents de sécurité et restent exposées à des attaques de même nature. Cela augmente également les conséquences des attaques pour les entreprises qui sont en incapacité de déposer plainte. 1 2 3 1 Oui, par des dispositifs internes : 27% 2 Oui, par des interventions externes : 37% 3 Non : 36% Votre entreprise a-t-elle défini les processus permettant la prise en compte des aspects juridique et assurance (dossier de plainte / dossier de preuve, estimation du préjudice subi, demande d’indemnisation) suite à une cyber-attaque ? La proportion d’entreprise déclarant avoir anticipé les démarches juridiques et assurantiels consécutives à une cyber-attaque n’a pas progressé par rapport à 2013. Ce manque de préparation peut mettre en péril la récupération, voire la pérennité d’une entreprise fortement fragilisée par une attaque. 1 Oui : 39% 2 Non : 61% 1 2
  35. 35. REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 35 Conclusion Le déploiement d’outils et de moyens liés à la récupération après une cyber-attaque reste insuffisant dans les entreprises. Dans un contexte où la probabilité d’occurrence d’une telle agression est élevée pour les grands groupes, les PME comme les organisations du secteur public, d’avantage doit être fait pour se préparer à limiter les conséquences d’une cyber-attaque. D’un point de vue technique, les entreprises doivent investir dans des moyens techniques et humains permettant de tirer les enseignements des attaques qu’elles subissent pour améliorer leurs dispositifs de détection et de réaction. Elles doivent également s’appuyer sur les contrats d’assurance complétant les polices classiques et couvrant notamment les frais d’expertise technique, d’extorsion, de communication de crise, de justice ou encore les pertes directes et indirectes suite à une cyber-attaque. ar des dispositifs es : 27% ar des interventions es : 37% 36% e a-t-elle défini ermettant pte des aspects urance nte / ve, estimation bi, mnisation) er-attaque ? prise déclarant avoir uridiques et assurantiels cyber-attaque n’a pas 2013. Ce manque de en péril la récupération, e entreprise fortement e.
  36. 36. 36 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? Chapitre 5 Sensibilisation N 2
  37. 37. CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 37REPRISES FRANÇAISES ? Des campagnes de sensibilisation à la sécurité de l’information auprès des collaborateurs sont-elles planifiées ? Engagées dans l’implication des utilisateurs dans leurs dispositifs de détection des attaques, 77% des entreprises déclarent mener des campagnes de sensibilisation auprès de leurs collaborateurs. Le tiers les sensibilise aux risques de cyber-attaques. Cette sensibilisation est d’autant plus importante que la plupart des attaques ciblent majoritairement les utilisateurs. L’amélioration de la résilience des entreprises face aux cyber-attaques passe donc par une systématisation et une récurrence de l’implication des utilisateurs en matière de prévention, de détection, mais également de réaction aux attaques. Cyber-attaque 33% Information 44% Non 23%
  38. 38. 38 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 1 2 3 Les moyens (techniques et organisationnels) de réaction aux crises de type cyber-attaque sont-ils réévalués ? Par rapport à 2013,les entreprises ont progressé suivant le modèle d’amélioration continue de leurs dispositifs de réponse aux cyber-attaques. Elles sont aujourd’hui 21% à les réévaluer chaque année et 11% après chaque test,contre 17% et 7% dans la précédente édition de cette étude. Notons que seules 18% d’entre elles réévaluent leurs moyens de réaction après une cyber-attaque, ce qui ralentit leur montée en maturité. 1 Oui - sans scénario cyber-attque : 7% 2 Oui - avec un scénario cyber-attque : 28% 3 Non : 65% Conclusion L’expérience montre que les attaques actuelles s’appuient généralement sur des scénarios ciblant les utilisateurs. Ces derniers doivent par conséquent être impliqués dans tous les dispositifs de lutte contre les cyber-attaques. Cela implique non seulement de communiquer auprès d’eux pour leur permettre de jouer un rôle passif dans la sécurité du SI, mais aussi de leur donner un rôle actif. Plus concrètement, il s’agit de dépasser le modèle selon lequel l’utilisateur était invité à éviter les comportements à risques pour atteindre une nouvelle forme de défense intégrant l’utilisateur en matière de prévention, de détection et de réaction.
  39. 39. CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 39REPRISES FRANÇAISES ? Oui - sans scénario yber-attque : 7% Oui - avec un scénario yber-attque : 28% Non : 65% Conclusion générale Depuis notre précédente étude, en 2013, les entreprises ont véritablementprislamesuredelamenacequeconstituaitpourellesles cyber-attaques. Beaucoup reste cependant à faire pour assurer un niveau de résilience optimal aux entreprises, petites ou grandes. Les entreprises se sont en effet investies dans la lutte contre la cybercriminalité, mais cette préparation reste trop théorique dans la mesure où elles réalisent encore trop peu de simulations de cyber-crise et ne réévaluent pas régulièrement leurs dispositifs de détection et de réaction. La nature et l’ampleur de la menace exigent aujourd’hui de changer de paradigme en passant d’un modèle de défense rigide s’appuyant sur la dissuasion et la prévention à une réponse globale incluant des moyens de réaction aux attaques. Pour ce faire, les entreprises doivent davantage entraîner leurs collaborateurs– les équipes techniques comme les utilisateurs– à identifier les signes d’une attaque en cours. Elles doivent également œuvrer à l’amélioration continue de leurs outils de détection et de réponses ainsi qu’à celle de leurs dispositifs organisationnels. Enfin, notre étude a mis en évidence un dangereux manque de maturité des petites et moyennes entreprises qui restent moins outillées et organisées que les grands groupes face aux cyber-attaques.Or elles ne sont pas moins exposées à cette menace et peuvent être fatalement fragilisées par un vol de données ou un acte de sabotage de leur SI. néralement sur conséquent être es. Cela implique tre de jouer un n rôle actif. Plus eur était invité à orme de défense réaction.

×