La 17e édition de l’étude annuelle d’EY sur la sécurité de l’information s’appuie sur une enquête menée auprès de 1 825 professionnels dans 60 pays. Le panel se compose de DSI, DAF, PDG, directeurs de l’audit interne, responsables de la sécurité des systèmes d’information, issus de 25 secteurs d’activité différents.
L’étude met en lumière le positionnement actuel des entreprises en matière de cybersécurité et les actions que celles-ci doivent mettre en oeuvre pour conserver une longueur d’avance sur les cybercriminels.
Pour en savoir plus : http://www.ey.com/GISS
Cyberattaques : prenez de l’avance sur les cybercriminels
1. Cyberattaques : prenez de l’avance
sur les cybercriminels
Enquête sur la sécurité de l’information 2014
2. Page 2 Get ahead of cybercrime — EY’s Global Information Security Survey 2014October 2014
Edito
60
pays
• Cette étude met en lumière le positionnement
actuel des entreprises en matière de
cybersécurité et les actions qu’elles doivent
mettre en œuvre pour conserver une longueur
d’avance sur les cybercriminels
► Démarche et panel
1825
professionnels
(DSI, DAF, PDG, Directeurs de
l’Audit interne…)
25 secteurs
d’activité
3. Page 3 Get ahead of cybercrime — EY’s Global Information Security Survey 2014October 2014
Les sources des attaques
Organisations criminelles
Pour 53%
des
répondants
Hacktivistes
Pour 46%
des
répondants
Hacker solitaire
Pour 41%
des
répondants
Employés
Pour 57%
des
répondants
4. Page 4 Get ahead of cybercrime — EY’s Global Information Security Survey 2014October 2014
Des entreprises
déclarent qu’il est
improbable ou
fortement
improbable qu’elles
soient en mesure
de détecter une
attaque complexe
56%
Les entreprises face aux attaques
5. Page 5 Get ahead of cybercrime — EY’s Global Information Security Survey 2014October 2014
Résultats GISS 2014
43%
Des sondés répondent que
leur budget dédié à la
sécurité des SI va rester
approximativement le
même dans les 12 mois à
venir
53%
Des entreprises répondent
que le manque de
ressources formées est
l’un des obstacles rendant
difficile la mise en oeuvre
du niveau de sécurité
6. Page 6 Get ahead of cybercrime — EY’s Global Information Security Survey 2014
Les obstacles à la cyber-sécurité
7. Page 7 Get ahead of cybercrime — EY’s Global Information Security Survey 2014
Les paliers de maturité
Approche
statique
► Il s’agit d’un jeu
complexe de
mesures de sécurité
focalisées sur la
protection de
l’environnement
actuel
Approche
dynamique
► Le système de
cybersécurité
change en même
temps que
l’environnement
► On est focalisé sur
la protection de
l’activité de demain
Approche
proactive
► Sur la base de la
veille sur les
cybermenaces, les
attaques
potentielles sont
identifiées. Des
mesures sont
prises avant que
des dommages
soient causés
ACTIVER ADAPTER ANTICIPER
8. Page 8 Get ahead of cybercrime — EY’s Global Information Security Survey 2014
ACTIVER
• Quel que soit leur niveau de maturité sur le sujet, les
entreprises doivent réussir à maîtriser les exigences de
base qu’implique la cybersécurité.
• Pourtant, nombreuses sont celles qui n’ont même pas
encore mis en place les fondamentaux de la
cybersécurité, en prenant en compte les 5 enjeux
critiques…
9. Page 9 Get ahead of cybercrime — EY’s Global Information Security Survey 2014
ACTIVER
Les 5 composantes de la cybersécurité
Appui du top management
Les cybermenaces ne sont pas assez prises en compte par les
instances de direction
Ressources
Les ressources ne sont pas adaptées et les équipes de
cybersécurité n’ont pas assez de visibilité sur les attaques
Performance
L’efficacité de la cybersécurité n’est pas mesurée
Accès aux données
Les employés n’ont pas un accès approprié aux informations
Coût vs. Valeur
Pour beaucoup d’entreprises, les coûts liés à la cybersécurité
sont trop importants par rapport au bénéfice qu’elles en tirent
10. Page 10 Get ahead of cybercrime — EY’s Global Information Security Survey 2014
ACTIVER
Le Centre des Opérations de sécurité (SOC)
Supervise et administre la sécurité de l’information
Important de s’assurer qu’il répond aux besoins de l’organisation et qu’il
intègre des profils d’analystes sécurité
Néanmoins, pour les structures qui en sont dotées en interne (58% des
répondants), les bénéfices que pourrait en tirer l’organisation ne sont pas
suffisamment communiqués ou compris.
42%
Des organisations
n’ont pas de SOC
11. Page 11 Get ahead of cybercrime — EY’s Global Information Security Survey 2014October 2014
36%
22%
20%
12%
10%
Ne sait pas
Le SOC n’interagit pas avec les métiers
Notre SOC est très intégré : les responsables du SOC
rencontrent souvent les responsables de l’activité de
l’entreprise pour comprendre les préoccupations…
Notre SOC reçoit annuellement une mise à jour des
préoccupations métiers et des risques associés
Notre SOC reçoit chaque trimestre une mise à jour des
préoccupations métiers et des risques associés
ACTIVER
Comment le SOC répond-il aux besoins de la
stratégie de sécurité?
12. Page 12 Get ahead of cybercrime — EY’s Global Information Security Survey 2014October 2014
ADAPTER
Le cycle d’amélioration continue
13. Page 13 Get ahead of cybercrime — EY’s Global Information Security Survey 2014October 2014
ADAPTER
Les 4 axes essentiels d’amélioration
Responsabiliser les employés
Améliorer l’efficacité des SOC
Créer une équipe cybersécurité dédiée
Dépasser les frontières de l’entreprise
14. Page 14 Get ahead of cybercrime — EY’s Global Information Security Survey 2014October 2014
ANTICIPER
56%
Des
entreprises
interrogées
déclarent ne
pas être en
mesure de
détecter une
cyberattaque
complexe
15. Page 15 Get ahead of cybercrime — EY’s Global Information Security Survey 2014October 2014
ANTICIPER
Les actions à mettre en place
Être prêt
Impliquer l’ensemble des parties prenantes
Faire des économies grâce à la cybersécurité
Procéder à des exercices de simulation de
cyberattaques
Comprendre les menaces de son
environnement et établir un système de
détection précoce
16. Page 16 Get ahead of cybercrime — EY’s Global Information Security Survey 2014October 2014
ANTICIPER
Comment veiller à ce que les parties prenantes protègent
l’information?
17. Page 17
► Les cybercriminels exploitent toutes les avancées technologiques.
Leurs techniques et méthodes sont de plus en plus sophistiquées
et difficiles à contrer.
► Les entreprises devront faire face à de nouveaux types d’attaques
et pour se protéger, il est vital qu’elles mettent en place les
bonnes fondations d’une défense non pas statique mais
dynamique. Celle-ci doit être alignée aux enjeux et à la stratégie
de l’entreprise et doit lui permettre ainsi de s’adapter à un
environnement en constante évolution.
► Avec cette dynamique, une réelle opportunité se dessine : la
possibilité de prendre de l’avance sur la cybercriminalité et
d’anticiper les menaces avant qu’elles n’apparaissent.
► Les entreprises doivent être proactives et doivent imposer la
cybersécurité en tant que norme. Une fois les fondations posées,
l’entreprise peut se concentrer en toute sécurité sur son cœur de
métier, en évinçant le hacker et en devançant la cybercriminalité.
Get ahead of cybercrime — EY’s Global Information Security Survey 2014October 2014
Conclusion
18. Page 18 Get ahead of cybercrime — EY’s Global Information Security Survey 2014October 2014
Achieving
resilience in the
cyber ecosystem
www.ey.com/cybere
cosystem
Reducing risk
with Cyber
Threat
Intelligence
www.ey.com/CTI
Security Operations
Centers:
- helping you get
ahead of cybercrime
www.ey.com/SOC
Privacy trends 2014:
privacy protection in the
age of technology
www.ey.com/privacy2014
Identity and access
management:
beyond compliance
www.ey.com/IAM
Building trust in the
cloud:
creating confidence in
your cloud ecosystem
www.ey.com/cloudtrust
Big data: changing the
way businesses compete
and operate
www.ey.com/bigdatachange
Cyber program
management:
identifying ways to
get ahead of
cybercrime
www.ey.com/CPM
Pour plus d’informations
Editor's Notes
EY’s 17th Global Information Security Survey was conducted between June 2014 and August 2014.
More than 1,800 respondents (1825) across all major industries and in 60 countries participated.
For our survey, we invited CIOs, CISOs, CFOs, CEOs and other information security executives to take part.
We distributed a questionnaire to designated EY professionals in each country practice, along with instructions for consistent administration of the survey process.
The majority of the survey responses were collected during face-to-face interviews.
When this was not possible, the questionnaire was conducted online.
EY’s 17th Global Information Security Survey was conducted between June 2014 and August 2014.
More than 1,800 respondents (1825) across all major industries and in 60 countries participated.
For our survey, we invited CIOs, CISOs, CFOs, CEOs and other information security executives to take part.
We distributed a questionnaire to designated EY professionals in each country practice, along with instructions for consistent administration of the survey process.
The majority of the survey responses were collected during face-to-face interviews.
When this was not possible, the questionnaire was conducted online.
EY’s 17th Global Information Security Survey was conducted between June 2014 and August 2014.
More than 1,800 respondents (1825) across all major industries and in 60 countries participated.
For our survey, we invited CIOs, CISOs, CFOs, CEOs and other information security executives to take part.
We distributed a questionnaire to designated EY professionals in each country practice, along with instructions for consistent administration of the survey process.
The majority of the survey responses were collected during face-to-face interviews.
When this was not possible, the questionnaire was conducted online.
EY’s 17th Global Information Security Survey was conducted between June 2014 and August 2014.
More than 1,800 respondents (1825) across all major industries and in 60 countries participated.
For our survey, we invited CIOs, CISOs, CFOs, CEOs and other information security executives to take part.
We distributed a questionnaire to designated EY professionals in each country practice, along with instructions for consistent administration of the survey process.
The majority of the survey responses were collected during face-to-face interviews.
When this was not possible, the questionnaire was conducted online.
EY’s 17th Global Information Security Survey was conducted between June 2014 and August 2014.
More than 1,800 respondents (1825) across all major industries and in 60 countries participated.
For our survey, we invited CIOs, CISOs, CFOs, CEOs and other information security executives to take part.
We distributed a questionnaire to designated EY professionals in each country practice, along with instructions for consistent administration of the survey process.
The majority of the survey responses were collected during face-to-face interviews.
When this was not possible, the questionnaire was conducted online.
EY’s 17th Global Information Security Survey was conducted between June 2014 and August 2014.
More than 1,800 respondents (1825) across all major industries and in 60 countries participated.
For our survey, we invited CIOs, CISOs, CFOs, CEOs and other information security executives to take part.
We distributed a questionnaire to designated EY professionals in each country practice, along with instructions for consistent administration of the survey process.
The majority of the survey responses were collected during face-to-face interviews.
When this was not possible, the questionnaire was conducted online.
EY’s 17th Global Information Security Survey was conducted between June 2014 and August 2014.
More than 1,800 respondents (1825) across all major industries and in 60 countries participated.
For our survey, we invited CIOs, CISOs, CFOs, CEOs and other information security executives to take part.
We distributed a questionnaire to designated EY professionals in each country practice, along with instructions for consistent administration of the survey process.
The majority of the survey responses were collected during face-to-face interviews.
When this was not possible, the questionnaire was conducted online.
EY’s 17th Global Information Security Survey was conducted between June 2014 and August 2014.
More than 1,800 respondents (1825) across all major industries and in 60 countries participated.
For our survey, we invited CIOs, CISOs, CFOs, CEOs and other information security executives to take part.
We distributed a questionnaire to designated EY professionals in each country practice, along with instructions for consistent administration of the survey process.
The majority of the survey responses were collected during face-to-face interviews.
When this was not possible, the questionnaire was conducted online.
EY’s 17th Global Information Security Survey was conducted between June 2014 and August 2014.
More than 1,800 respondents (1825) across all major industries and in 60 countries participated.
For our survey, we invited CIOs, CISOs, CFOs, CEOs and other information security executives to take part.
We distributed a questionnaire to designated EY professionals in each country practice, along with instructions for consistent administration of the survey process.
The majority of the survey responses were collected during face-to-face interviews.
When this was not possible, the questionnaire was conducted online.