EY publie les résultats de son étude annuelle sur la
cybersécurité. Cette 18ème édition, s’appuie sur une enquête
menée auprès de 1755 professionnels provenant de 67 pays,
formant un panel composé de DSI, de DAF, de PDG et des
responsables de la sécurité de l’information de sociétés issues
de 25 secteurs d’activité différents.
Cybersécurité : créer les conditions de la confiance dans le monde digital
1. Cybersécurité :
créer les conditions
de la confiance dans
le monde digital
Etude sur la sécurité de
l’information 2015
2. Page 2
Avant-propos
► Dans un monde de plus en plus digitalisé, où les données ne cessent
de prendre de la valeur, la 18ème édition de l’étude annuelle EY sur la
sécurité de l’information met en évidence le travail qu’il reste à
accomplir dans les entreprises.
► La cybersécurité n’est pas l’affaire d’une seule fonction au sein de
l’entreprise, elle relève bel et bien de la responsabilité de tous ses
acteurs, aucun service n’étant à l’abri d’une cyberattaque.
► Composition du panel :
1755professionnels pays
67 25secteurs d’activité
EY’s Global Information Security Survey 2015
3. Page 3
Quand digital rime avec cyberattaque
EY’s Global Information Security Survey 2015
4. Page 4
Un environnement digitalisé qui évolue
sans cesse
20%
des entreprises
interrogées ne peuvent
mesurer les dommages
financiers causés par les
incidents informatiques
qui se sont produits au
cours des 12 derniers
mois
$626mds
seront dépensés via
smartphone d’ici 2018
(US $)
Source : Goldman
Sachs 2014
85%
des relations
commerciales seront
réalisées sans l’interaction
d’un humain d’ici 2020
Source : Gartner Group
2011
99%
des objets qui seront
connectés ne le sont pas
encore
Source : Cisco, Rob
Soderbury 2013
36%
des entreprises n’ont
pas confiance en leur
capacité à détecter des
cyberattaques
sophistiquées
Source : EY Global Info
Sec Survey 2015
81%
des dirigeants pensent
que les données
devraient être au cœur
de toutes les décisions
Source : EY Becoming
an analytics-driven
organization to create
value 2015
EY’s Global Information Security Survey 2015
5. Page 5
Quelles menaces et vulnérabilités
craindre ?
EY’s Global Information Security Survey 2015
des répondants ont le sentiment
d’être vulnérables à cause de
salariés non sensibilisés
44% estiment qu’ils sont vulnérables à
cause de systèmes obsolètes34%
considèrent que le phishing
constitue la plus grande menace44%
déclarent que les logiciels
malveillants représentent l’une
des plus grandes menaces
43%
6. Page 6
Se concentrer sur ce qui compte le plus
S’aligner sur votre culture d’entreprise
et des risques
Des pistes pour freiner
les cyberattaques
EY’s Global Information Security Survey 2015
1Mesurer et établir des tableaux de bord
Inclure des éléments qualitatifs et des mesures
quantitatives
Adopter une vision globale
Couvrir tous les types de risques, actuels ou à venir
Définir une appétence aux risques
Définition d’une appétence aux risques pour
chacune des divisions opérationnelles de
l’entreprise et des différents types de risques
Intégrer la stratégie aux plans d’activité
En parallèle de la demande croissante de preuves
de la part des régulateurs
2
3
4
5
Déterminer les informations critiques
Identifier les actifs les plus vulnérables aux
cyberattaques
Rendre les cyber-risques plus tangibles
Définir clairement les risques et les métriques
associées
Aligner la stratégie avec la cartographie des
risques existante
Risques financiers, opérationnels, règlementaires,
consommateurs, de réputation, etc.
Rendre les cyber-risques pertinents pour chacun
des métiers
Relier les risques de niveau opérationnel aux divisions
opérationnelles et à leurs informations sensibles
Tenir compte de l’appétence aux risques dans les
décisions d’investissements
Etablir des priorités d’investissements, autoriser les
divisions opérationnelles à prendre localement des
décisions éclairées
Les principes clés de la maîtrise des risques … … appliqués aux cyber-risques
7. Page 7
Comment se déroulent
les cyberattaques ?
EY’s Global Information Security Survey 2015
8. Page 8
Un exemple de scenario catastrophe
Parfaite connaissance des
faiblesses de l’entreprise
Phase de
collecte de
renseignements
durant 6 mois
Ingénierie sociale avancée
Les effets
cumulés
sur une
entreprise
peuvent
être
colossaux
Chaînes de
distribution :
2 à 3% de
résultat perdu
Ventes :
Manque à
gagner de 2 à
3%
R&D :
pertes de
ventes et
d’avantages
concurrentiels
Comptes
fournisseurs :
pertes
financières et
pertes de
données
Impact sur la
valeur
Tentatives de
rachat de
l’entreprise à
une valeur
contrainte
Marché
La valeur du
marché est
artificiellement
diminuée
entraînant
l’achat d’actions
à une valeur
contrainte
Résultats
artificiels
contraints
> Perte de 30%
de la valeur
comptable
Impact des
rumeurs sur les
réseaux sociaux
> Perte de 50%
de la valeur de
marché
Impacts sur les
décisions
stratégiques, les
fusions /
acquisitions et
sur la position
concurrentielle
EY’s Global Information Security Survey 2015
9. Page 9
Quelles sont les principales sources
d’attaques ?
56%
employés
54%
hacktivistes
59%
organisations
criminelles
EY’s Global Information Security Survey 2015
10. Page 10
Pourquoi rester en alerte ?
5656%
des entreprises
interrogées considèrent
que la prévention des
fuites ou des pertes de
données est une priorité
majeure dans les 12
prochains mois
49%
des entreprises
interrogées considèrent
que les risques et
menaces internes
constituent une priorité
moyenne
50%
des entreprises
interrogées considèrent
les réseaux sociaux
comme une priorité
faible
7%
des organisations
déclarent avoir un
programme de réponses
robuste aux incidents
49%
déclarent qu’une
augmentation de 25% de
leur budget est
nécessaire pour protéger
leurs informations les
plus sensibles
EY’s Global Information Security Survey 2015
11. Page 11
Pourquoi votre entreprise est-elle
toujours aussi vulnérable ?
EY’s Global Information Security Survey 2015
12. Page 12
Activer
pensent que leur fonction
« sécurité de l’information »
répond parfaitement à leurs
besoins
pensent que leur fonction
«sécurité de l’information »
répond partiellement à leurs
besoins
des répondants n’ont pas de
programme IAM*
des répondants n’ont pas de
SOC*
*IAM : Identify and Access Management program
*SOC : Security Operations Center
► Pas suffisamment de mesures prises dans l’environnement actuel
EY’s Global Information Security Survey 2015
13. Page 13
Adapter
► Pas assez d’adaptation au changement
des entreprises n’ont pas de rôle
dédié aux technologies
émergentes et à leur impact au
sein de leur fonction sécurité
54%
affirment que le manque de
ressources qualifiées est un frein
à la contribution de la fonction
sécurité et à l’apport de valeur
57%
envisagent d’investir davantage
dans la transformation de leurs
systèmes de sécurité…
28% … envisagent de converser un
budget équivalent61%
EY’s Global Information Security Survey 2015
14. Page 14
Anticiper
► Une approche proactive trop lente pour neutraliser les
cyberattaques sophistiquées
étendent leur périmètre de
cybersécurité à leurs
fournisseurs et au-delà
n’ont pas de programme de
veille dédié à la détection des
menaces
EY’s Global Information Security Survey 2015
affirment que le management
de la menace et de la
vulnérabilité est une priorité
moyenne voire faible
15. Page 15
Se tourner vers la « défense active »
EY’s Global Information Security Survey 2015
16. Page 16
Qu’est-ce qui doit être amélioré ?
► La « défense active » intègre et renforce les capacités de réponses de l’entreprise
pour atteindre une plus grande efficacité contre les attaques. La mise en place
d’un SOC et d’un programme de veille permet de mener cette défense.
► Elle implique également la connaissance approfondie des cyber-risques qui
portent sur les ressources critiques de l’entreprise et l’identification de ce que les
assaillants souhaiteraient obtenir en cas d’attaque.
EY’s Global Information Security Survey 2015
24%
n’ont pas de programme
d’identification des
vulnérabilités
34%
ont un programme
informel et réalisent des
test automatisés
27%
affirment que les
politiques de protection
des données et les
procédures sont
informelles
17. Page 17
Les obstacles à la transformation
des systèmes de sécurité
EY’s Global Information Security Survey 2015
Contraintes
budgétaires
Manque de
ressources
qualifiées
62% 57%