SlideShare une entreprise Scribd logo

Manifeste pour la cyber-résilience

Symantec
Symantec

Nous vivons dans un monde connecté : jour après jour, ce constat se révèle être une description toujours plus fidèle de notre réalité. Que ce soit dans notre vie professionnelle ou pour nos loisirs, Internet occupe une place considérable et ne cesse de se développer. Aujourd'hui, quelque 2,4 milliards d'internautes de tous les pays, soit 34 % de la population mondiale, passent de plus en plus de temps en ligne.1 Et nos cyber-activités s'ajoutent à celles, intenses, des entreprises, ceci étant une tendance de fond susceptible de révolutionner les usages. Pour certains, les avantages de notre vie en ligne et des nouveaux modèles économiques rendus possibles par l'utilisation d'Internet sont assortis de risques facilement appréhendables et acceptables. D'autres considèrent que de tels mouvements de masse demandent des réponses plus réfléchies. Mais le temps manque pour organiser un débat. Ce dont nous avons vraiment besoin, c'est d'une incitation à l'action. Pour éliminer les risques qui menacent notre vie en ligne, nous devons prendre en compte 4 tendances, ayant chacune des implications différentes liées à la cybersécurité, et demandant l'attention des organisations gouvernementales : Démocratisation : le pouvoir est à l'utilisateur alors que les entreprises apprennent à s'adresser à leurs clients par les canaux que ceux-ci imposent. Consumérisation : il s'agit ici de l'impact des nombreux appareils ou, plus important encore, des applications, qui sont les compagnons de notre vie connectée, que ce soit pour le travail ou pour les loisirs. Externalisation : il est ici fait référence à la dynamique économique du cloud computing qui entraîne une forte baisse des dépenses d'investissement et bouleverse le mode de transit des données à destination et en provenance des entreprises. Digitalisation : ce terme fait référence à la connectivité exponentielle liée à l'Internet des objets constitué de toutes sortes de capteurs et d'appareils connectés. En matière de lutte contre le cyber-risque, la résolution des problèmes associés à l'une de ces tendances ne fait qu'accroître l'importance de ceux liés à la suivante. Tout comme avec la plupart des autres bonnes pratiques, il existe plusieurs réponses correctes signifiant, au mieux, que vous pouvez optimiser l'environnement de votre entreprise pour réduire son exposition. En effet, le cyberrisque ne peut pas être éradiqué en raison des puissantes forces mentionnées ci-dessus.

Technologie
1  sur  14
Télécharger pour lire hors ligne
Manifeste pour la cyber-résilience Définition de la cyber-résilience Inconnues méconnues Refaire les batailles du passé Facteur humainSavoirfaire unétatdes lieux devotre situation actuelle BYOD Cyber-résilience Employés Révolution
2 3 Définition de la cyber-résilience Nous vivons dans un monde connecté : jour après jour, ce constat se révèle être une description toujours plus fidèle de notre réalité. Que ce soit dans notre vie professionnelle ou pour nos loisirs, Internet occupe une place considérable et ne cesse de se développer. Aujourd'hui, quelque 2,4 milliards d'internautes de tous les pays, soit 34 % de la population mondiale, passent de plus en plus de temps en ligne.1 Et nos cyber-activités s'ajoutent à celles, intenses, des entreprises, ceci étant une tendance de fond susceptible de révolutionner les usages. Pour certains, les avantages de notre vie en ligne et des nouveaux modèles économiques rendus possibles par l'utilisation d'Internet sont assortis de risques facilement appréhendables et acceptables. D'autres considèrent que de tels mouvements de masse demandent des réponses plus réfléchies. Mais le temps manque pour organiser un débat. Ce dont nous avons vraiment besoin, c'est d'une incitation à l'action. Pour éliminer les risques qui menacent notre vie en ligne, nous devons prendre en compte 4 tendances, ayant chacune des implications différentes liées à la cyber- sécurité, et demandant l'attention des organisations gouvernementales : Démocratisation : le pouvoir est à l'utilisateur alors que les entreprises apprennent à s'adresser à leurs clients par les canaux que ceux-ci imposent. Consumérisation : il s'agit ici de l'impact des nombreux appareils ou, plus important encore, des applications, qui sont les compagnons de notre vie connectée, que ce soit pour le travail ou pour les loisirs. Externalisation : il est ici fait référence à la dynamique économique du cloud computing qui entraîne une forte baisse des dépenses d'investissement et bouleverse le mode de transit des données à destination et en provenance des entreprises. Digitalisation : ce terme fait référence à la connectivité exponentielle liée à l'Internet des objets constitué de toutes sortes de capteurs et d'appareils connectés. En matière de lutte contre le cyber-risque, la résolution des problèmes associés à l'une de ces tendances ne fait qu'accroître l'importance de ceux liés à la suivante. Tout comme avec la plupart des autres bonnes pratiques, il existe plusieurs réponses correctes signifiant, au mieux, que vous pouvez optimiser l'environnement de votre entreprise pour réduire son exposition. En effet, le cyber- risque ne peut pas être éradiqué en raison des puissantes forces mentionnées ci-dessus. Ce manifeste expose un plan permettant de réduire, et non d'éliminer, les risques réels et grandissants auxquels sont exposés les individus, les entreprises et les gouvernements. Son objectif est simple : nous rendre cyber-résilients. Démocratisation Externalisation Digitalisation Consumérisation
4 5555555555555555555555555555555555 Ce que nous savons aujourd'hui Avec Internet, ce qui était impossible devient possible. Posez-vous les questions suivantes : • Quels clients des banques renonceraient à la liberté de faire des virements internationaux en quelques millisecondes ? • Qu'est-ce qui pourrait forcer les hommes d'affaires à refaire la queue pour acheter un billet d'avion, utiliser une cabine téléphonique ou poster un colis ? • Pourquoi enverrions-nous par avion ce qui peut être imprimé pour moins cher ? La situation actuelle est complexe, en pleine évolution et potentiellement dévastatrice pour les entreprises. Alors que seulement 15 % du trafic Internet mondial est mobile aujourd'hui, ce chiffre augmente du fait de l'existence de cinq milliards de téléphones portables dont un tiers sont des smartphones dotés d'un accès Internet.1 500 millions de photos sont partagées quotidiennement et l'utilisateur moyen consulte sa messagerie 23 fois par jour.1 Les cyber-attaques font 1,5 millions de victimes chaque jour et on estime qu'elles entraînent au total 110 milliards de dollars de pertes chaque année.2 Les attaques de logiciels malveillants ont augmenté de 30 % sur le Web en 2012 et de 139 % sur les appareils mobiles au cours de la même période.3 Autre paramètre essentiel, 62 % des sites Web utilisés pour propager des logiciels malveillants étaient des sites légitimes piratés.3 L'inquiétude vous gagne ? Ces menaces Internet ne peuvent que se multiplier et devenir toujours plus sophistiquées. C'est parce que les cibles les plus anciennes, telles que les systèmes d'exploitation des PC, laissent place à de nouvelles plates-formes Web et mobiles ainsi qu'aux applications sociales. Les mutations de ce que les experts de la sécurité appellent le paysage des menaces sont difficiles à gérer. Sans les niveaux de sécurité mis en œuvre dans les grandes entreprises, vous êtes exposés. Comme nous le verrons, la taille n'est que l'une de nos préoccupations.
6 7 Les inconnues méconnues Dans le monde connecté, des intentions inconnues et des conséquences inattendues créent le chaos. Il est impossible de prévoir toutes les nouvelles menaces Internet auxquelles votre entreprise sera confrontée : certaines n'ont pas encore été inventées. "Hacktivistes" mécontents, cyber-criminels, cyber-terroristes ou même cyber- armées sponsorisées par des Etats, la plupart ont sur nous l'avantage de la surprise. Les moteurs de leurs actions sont variés, de la protestation pacifique à l'intention malveillante, de l'avantage politique à l'avantage personnel ou une combinaison de ces motivations. Toutefois, dans une espèce de course à l'armement menaçant les internautes mal préparés, les moyens disponibles pour créer des cyber-risques se développent de manière exponentielle. De plus en plus de kits de logiciels malveillants prêts à l'emploi peuvent être obtenus via Internet moyennant un paiement en monnaie virtuelle, loin des regards indiscrets. La cyber-économie souterraine est florissante et il existe véritablement un code de l'honneur entre les voleurs. Au sein de leurs centres d'excellence, cachés par des dispositifs de protection ultra-performants, ils peuvent garder une longueur d'avance sur tous ceux qui les combattent, sauf sur les experts de la sécurité les plus compétents. Ils peuvent y partager des données volées à l'insu de leurs victimes. Moyennant paiement, ils partagent leurs secrets avec d'autres cyber-escrocs. Si votre entreprise respecte la loi, il est peu probable que vous puissiez accéder à ces coulisses du crime. Les règles qui s'appliquent aux victimes ne sont pas les mêmes que celles qui prévalent dans la nature : il n'y a aucun avantage à être un petit poisson dans un grand étang. En fait, c'est même un facteur aggravant, avec 31 % des cyber-attaques qui touchent des entreprises comptant de 1 à 250 employés.2 Alors que les grandes entreprises sont coutumières des menaces Internet, leurs fournisseurs plus petits sont bien plus intéressants pour ceux qui ont de mauvaises intentions. Il est en effet plus facile de s'infiltrer dans la chaîne logistique d'une grande entreprise par le bas que par le haut.
8 9 Le facteur humain Alors que 84 % des piratages ne nécessitent tout au plus que quelques heures, il faut des mois pour les découvrir (dans 66 % des cas) et leur endiguement demande des mois ou des années pour 22 % d'entre nous.4 Pour quelle raison ? Vous pourriez penser que la différence entre une entreprise cyber-résiliente et celles qui sont exposées à une exploitation de leurs ressources réside dans de meilleurs ordinateurs, de meilleurs logiciels ou des connexions plus rapides. Malheureusement, ce n'est presque jamais le cas. Il peut bien sûr être nécessaire de disposer de la toute meilleure technologie disponible pour sécuriser une entreprise. Toutefois, nécessaire ne veut pas toujours dire suffisant. Les dispositifs de protection les plus récents, les plus rapides et les plus séduisants ne vous sauveront que rarement la mise. En matière de cyber-sécurité, le maillon faible est la personne qui lit ce manifeste : vous et moi. Le service informatique est le cœur de tous les processus organisationnels modernes, irrigant tous les départements ; il a traditionnellement toujours été responsable de la cyber-sécurité. Il se départit toutefois rapidement de son ancien rôle de principal acheteur de technologies pour devenir un conseiller de confiance. Une étude récente a révélé que 14 % du stockage cloud, 13 % des médias sociaux et 11 % des logiciels de bureautique sont achetés sans que le service informatique ne soit informé.5 Les données de Gartner montrent que le mouvement du budget informatique de ses "propriétaires" traditionnels vers d'autres services est déjà bien engagé. D'ailleurs, le service marketing devrait devenir, d'ici 2017, le premier acheteur de technologies, devant le service informatique.6 Tout cela signifie que le facteur humain du cyber-risque ne fera qu'augmenter, à l'extérieur du service informatique. Aujourd'hui, le fait de concentrer les connaissances en matière de cyber-sécurité sur le service informatique est bel et bien un moyen d'augmenter le cyber-risque auquel votre entreprise est exposée. L'erreur étant humaine, pourquoi limiter la charge de la cyber-résilience à un seul service ? Il est grand temps de passer à une culture de la sécurité globale. des piratages initiaux ne nécessitent tout au plus que quelques heures. des piratages ne sont découverts qu'après plusieurs mois. des piratages ne sont endigués qu'après plusieurs mois ou plusieurs années. 84 % 66 % 22 %
10 1111 Risque 1 Penser que la taille de l'entreprise compte Dans le monde, peu d'entreprises disposent de ressources leur permettant de rester à l'abri de toutes les menaces Internet qu'une équipe très motivée peut créer. Les multinationales elles-mêmes ne peuvent avoir que des équipes relativement réduites. Les pirates ne sont pas seulement malveillants, ils sont aussi intelligents. Ils ont il y a longtemps appris à collaborer en formant des équipes virtuelles se jouant des frontières nationales pour le bénéfice de tous leurs membres. Ils se vendent leurs astuces les uns aux autres et font le commerce d'identités volées pour venir à bout des systèmes de sécurité qui sont, pour l'essentiel, basés sur une conception nationale des risques, antérieure à l'avènement de notre monde connecté actuel, des appareils mobiles et même du Web. Comparativement, les cyber-attaques restent peu sophistiquées mais la taille n'est pas le problème. La plupart des entreprises maîtrisent d'ores et déjà les bases de la cyber-sécurité et cela limite à 10 % la proportion de cyber-attaques pouvant être lancées par l'utilisateur moyen. C'est au niveau suivant que se situe la difficulté car 78 % n'utilisent que les ressources de base disponibles en ligne et ne procèdent à aucune personnalisation.4 Un problème pourrait bien résider dans l'approche. La réaction naturelle d'un professionnel traditionnel de la sécurité est d'acheter davantage d'outils de sécurité mais une approche morcelée de ce type trouve ses limites au niveau de la taille. Il serait préférable d'obtenir une visibilité plus complète sur le positionnement actuel de l'entreprise et de réagir en conséquence. Dans le futur, les cibles potentielles des cyber-attaquants seront probablement encore plus nombreuses. Alors que la recherche de l'efficacité conduit à interconnecter toujours plus de systèmes, l'utilisation de compteurs intelligents pour gérer la consommation énergétique, de capteurs pour contrôler les lignes de production et d'étiquettes RFID pour suivre les expéditions signifie que les principaux utilisateurs des nouvelles technologies ne sont plus les membres du service informatique et qu'ils ne sont pas même des êtres humains. Avec des menaces mondiales par nature, seules quelques entreprises privilégiées, principalement dans le secteur de la défense, peuvent consacrer la totalité de leur temps à se livrer à des cyber-guerres. Les autres doivent aussi se consacrer à leurs tâches quotidiennes, qu'il s'agisse de traiter des déclarations de sinistre, de vendre des chaussures ou de réviser des voitures. Nous devons agir avec discernement pour devenir plus cyber-résilients. Dans ce contexte, quelles sont les chances des petites entreprises ? Du point de vue des professionnels de la sécurité, elles doivent se regrouper tout comme l'ont déjà fait ceux qui les attaquent. Des ressources mises en commun et une connaissance partagée de la gravité des menaces pourraient équilibrer la lutte.
12 1313 Risque 2 Refaire les batailles du passé... et perdre la guerre Les cyber-risques étant devenus plus subtils, personnalisés et distribués, il est devenu de plus en plus difficile de les détecter. Tellement difficile qu'il faudrait être courageux pour prétendre que des systèmes informatiques connectés à Internet (pratiquement tous les systèmes commerciaux) sont inattaquables. Historiquement, les murailles prétendument infranchissables n'ont pas fait leurs preuves : l'intelligence humaine parvient toujours à les contourner. Aujourd'hui, les menaces Internet les plus intelligentes sont rarement de pures attaques frontales mais sont plus personnalisées et s'en prennent simultanément à de nombreuses vulnérabilités afin d'être plus dévastatrices. Leurs charges utiles, qu'elles arrivent via le Web, un message électronique ou un appareil mobile, attendent patiemment et silencieusement sous la forme de réseaux de bots résidents sur les systèmes infectés et peuvent se réveiller de leur sommeil sur commande, et ce même après que l'infection a été détectée et la porte fermée. En matière de cyber-sécurité, les stratégies du passé ont leurs limites. Face à cet infernal jeu du chat et de la souris, la meilleure stratégie ne consiste pas à supprimer chaque menace isolément mais plutôt en un processus lent, déterminé et continu de cyber-résilience. La cyber-résilience consiste à considérer qu'une défense réfléchie est la meilleure attaque. L'objectif est de créer un environnement inhospitalier où il est plus difficile et moins rentable d'accéder à vos systèmes qu'à ceux d'autres entreprises. De meilleures informations permettent de prendre de meilleures décisions. Après tout, le fait de ne prendre aucun risque peut être tout aussi risqué dans l'environnement économique actuel. La meilleure méthode pour construire votre cyber-résilience consiste à avoir une image plus claire des menaces auxquelles votre entreprise est confrontée.
14 15 Risque 3 Ignorer le rôle des employés Les employés sont souvent cités comme étant les principaux actifs d'une entreprise. En réalité, ils peuvent également être les principaux éléments de son passif du point de vue de la sécurité. Le vol d'identité et le vol physique d'appareils non protégés, souvent encouragés par les généreuses politiques BYOD actuelles, compliquent considérablement les choses. Alors qu'auparavant la sécurité était de la seule responsabilité des professionnels de l'informatique, elle ne peut plus aujourd'hui être laissée entre leurs seules mains. Le "Shadow IT", c'est-à-dire les dépenses technologiques invisibles des employés, est un autre moteur de l'innovation. En prenant de sévères mesures contre ce que d'autres considèrent comme des outils de productivité, les professionnels de l'informatique sont certains de s'exclure eux-mêmes des discussions futures. Nous avons déjà parlé des batailles du passé. Les employés doivent eux aussi changer légèrement d'attitude. Les enquêtes montrent que 53 % des employés considèrent que le fait de récupérer des données de l'entreprise ne constitue pas un problème car "cela ne nuit pas à la société" .7 Mais qu'en savent-ils vraiment ? Il vaut certainement mieux permettre au personnel non technique de réduire les mauvaises pratiques non intentionnelles. Les employés concernés pourront ainsi acquérir des connaissances leur permettant d'accroître la cyber-résilience de l'entreprise par leurs décisions technologiques et les processus qu'ils mettront en œuvre. C'est important quand on sait que ce comportement est à l'origine de 35 % des violations de données et, sans surprise, que ces pratiques immorales augmentent fortement chez les personnes qui se préparent à quitter leur entreprise.8 Loin d'être une abdication de responsabilité du service informatique, ce conseil peut se changer en avantage concurrentiel. Il faut qu'un "new deal" soit conclu entre les employés non techniques et les spécialistes de l'informatique avec pour objectif de montrer à tous comment la cyber-résilience peut accroître le potentiel de l'entreprise. Dans notre monde connecté, l'ignorance ne fait pas le bonheur. C'est un défi à relever en termes de communication et d'organisation. En d'autres termes, une opportunité commerciale inexploitée.
16 17 Comment devenir cyber-résilient ? 1. Savoir faire un état des lieux de la situation actuelle de votre entreprise Ce qui ne peut pas être mesuré ne peut pas être géré. Toutefois, la plupart des cyber-attaques ne sont pas détectées, et encore moins mesurées, tout comme les risques qu'elles représentent.4 Dans ce cas, comment pouvons-nous évaluer le niveau de risque auquel nous sommes exposés ? La réponse se trouve dans l'évaluation externe. Plus précisément pour les entreprises exposées à un risque de cyber-attaque, il est essentiel que soit réalisée une évaluation complète de la cyber-sécurité portant sur les employés, les processus et les produits. L'honnêteté, aussi ennuyeuse soit-elle pour certains, est le début du voyage vers la cyber-résilience. Bien sûr, un audit indépendant des vulnérabilités établissant une base de référence pour les technologies et processus utilisés dans l'entreprise constitue un bon début. Mais ce n'est qu'un début. Que diriez-vous d'un test de performances vous permettant de comparer vos résultats à ceux de vos pairs ? Que diriez-vous de quelques recommandations pratiques basées sur une analyse des écarts vous permettant de faire un état des lieux de votre situation actuelle et de vous situer par rapport à vos objectifs ? Aujourd'hui, l'informatique est en train de devenir véritablement stratégique. Sur la base des informations évoquées précédemment, le chemin vers la cyber- résilience apparaît déjà plus distinctement. Et il se dessine mieux encore lorsque les inconnues méconnues que nous avons mentionnées commencent à devenir des mesures identifiables, pas seulement pour le service informatique mais pour l'ensemble de l'entreprise. Ces informations deviennent alors pour vous un avantage. Même si la cyber-résilience n'est pas synonyme d'immunité contre les cyber- attaques, elle consiste avant tout à faire en sorte que les vulnérabilités de votre entreprise soient moins attirantes pour ceux qui pourraient souhaiter vous attaquer. Mais ce n'est que lorsque vous avez une base de référence et un objectif applicable à l'ensemble de l'entreprise que vous pouvez établir des priorités et commencer à traiter vos problèmes de cyber-sécurité les plus importants et les plus urgents.
18 Il était un temps où un petit nombre de personnes étaient responsables de l'informatique. Cela marchait bien lorsque les ordinateurs étaient enfermés dans des salles auxquelles seuls les informaticiens avaient accès. Aujourd'hui, des données confidentielles stratégiques se promènent dans les poches de vos employés et parfois de vos partenaires, et des partenaires de vos partenaires, etc. Les choses ont changé. En matière de cyber-sécurité, les bonnes pratiques appliquées à votre site ne peuvent protéger votre entreprise que dans la mesure où le maillon faible de votre équipe ou de votre chaîne logistique, c'est-à-dire celui qui se soucie le moins de la sécurité, les met également en œuvre. Par conséquent, le simple fait de faire du bon travail en créant, voire même en faisant appliquer des politiques de mot de passe, en verrouillant vos appareils et en respectant des normes ISO ne suffit pas à vous rendre cyber-résilient. Vous devez également vous assurer que les mêmes règles sont appliquées par vos entreprises de nettoyage, vos auditeurs, vos traiteurs et vos avocats. Deuxièmement, comme nous l'avons vu, les analystes prévoient que le personnel non informatique aura sous peu des dépenses technologiques supérieures à celles du service informatique, et à fortiori à celles des spécialistes de la sécurité informatique. Il est donc temps que vous ayez une vision plus globale ne se limitant pas à votre service informatique, aux personnes exerçant certaines fonctions ou aux frontières de votre entreprise. Troisièmement, même si vous avez fait toute votre carrière dans l'informatique, il est peu probable que votre expérience vous ait préparé au rôle que les appareils connectés exercent aujourd'hui dans nos vies. Alors que vous vous battez pour identifier les cyber-risques auxquels votre entreprise est exposée en vous demandant par où commencer votre voyage vers la cyber-résilience, vous risquez bien d'avoir à relever un défi encore plus redoutable. Comment devenir cyber-résilient ? 2. Former (tous) vos collaborateurs Abandonner le jargon technique. La communication avec vos collègues est cruciale mais vous irez à l'échec si vous n'avez pas cette compétence toute simple : la capacité d'oublier ce que vous avez appris au cours de décennies de pratique de l'informatique et du jargon de la sécurité informatique. Le jargon n'est pas seulement inutile, il vous affaiblit. Vraiment, le jargon est l'ennemi de la cyber-résilience.
20 En matière de cyber-résilience, comme nous l'avons vu, il est vain de travailler isolément. Le cyber-risque vient d'ennemis inconnus et intelligents, organisés en cellules pouvant se former, se dissoudre et se reformer avec une grande fluidité. Il n'est ni pratique ni souhaitable d'adopter la même organisation. Et d'ailleurs, qui se chargerait de vos tâches quotidiennes ? Les philosophes nous disent que ceux qui ne savent pas tirer les leçons de leurs erreurs passées sont condamnés à les répéter. Mais vous n'êtes pas seul. Dans un monde connecté, le nombre fait la force. Pourquoi souffrir pendant que votre entreprise décide quelle stratégie de cyber-résilience adopter ? Il est bien plus judicieux de collaborer avec ceux qui partagent les idées de votre entreprise, de mettre vos renseignements en commun et de développer des stratégies. De par vos compétences, vous êtes idéalement placé pour aider votre entreprise à devenir plus cyber-résiliente. Certains diraient que cette stratégie est la seule pouvant réussir compte tenu de la constance de la menace. Imaginez un centre de cyber-intelligence, réunissant des milliards d'observations relatives à des problèmes de cyber-sécurité affectant des milliers d'entreprises et des millions d'utilisateurs : l'objectif est de créer une vue d'ensemble parfaitement claire des menaces Internet auxquelles votre entreprise est confrontée. Cette approche est bien éloignée de la conception actuelle consistant à rendre le service informatique coupable en cas de problème, même si les informations fournies par les contrôles de sécurité existants sont importantes. Le nouveau rôle du service informatique est d'être le centre d'excellence de l'évaluation du cyber-risque. Il a vocation à fournir de nouveaux indicateurs pour que les dirigeants soient à même de mesurer la cyber-résilience de leur entreprise. Le cyber-risque transcende les frontières informatiques, départementales et même nationales. La cyber-résilience est un sport collectif joué par des leaders. Comme vous. Montez à bord du train. Son départ est imminent. Comment devenir cyber-résilient ? 3. Faire de la cyber-résilience votre avantage concurrentiel
22 23 Conclusion Les résultats du passage à un monde connecté sont déjà impressionnants alors que nous venons tout juste de nous engager dans cette voie. Etonnamment, ce progrès ne nécessite que de savoir envoyer et recevoir des données de manière sécurisée. Malheureusement, c'est une tâche technologique complexe et, comme l'a dit Arthur C. Clarke, futurologue et écrivain, "toute technologie suffisamment avancée se confond avec la magie". Notre monde connecté est trop important pour n'être que de la magie. A un niveau personnel, les cyber-risques questionnent notre identité et notre vie privée. Au niveau mondial, ils menacent la stabilité de nos gouvernements et de nos systèmes bancaires. Le monde connecté doit être compréhensible pour les responsables d'entreprises et d'organisations gouvernementales au même titre que l'énergie, l'eau, le talent et d'autres éléments vitaux du monde réel. Aujourd'hui, il n'est pas traité ainsi. Les professionnels de l'informatique ont un rôle stratégique à jouer mais seulement s'ils sont en mesure : 1. De réellement établir une base de référence permettant de savoir où en est aujourd'hui leur entreprise en matière de cyber-résilience. Et ce plus rapidement et de manière plus rigoureuse qu'auparavant. 2. D'impliquer les employés de leur entreprise dans la démarche de cyber- résilience. Cela revient à former toute personne intervenant dans la chaîne logistique de l'entreprise afin de trouver le juste équilibre entre l'innovation souhaitée et la cyber-résilience nécessaire. 3. D'utiliser la cyber-résilience pour permettre à leur entreprise de bénéficier d'un avantage concurrentiel stratégique sur le long terme. Les idées lancées dans ce manifeste déclencheront peut-être la réaction en chaîne dont votre entreprise a besoin pour initier une démarche de cyber-résilience. Si c'est le cas, collaborez avec les experts de Symantec dont les produits et services de protection et d'évaluation de la cyber-sécurité aident des milliers de dirigeants à rendre leur entreprise cyber-résiliente. Cyber- résilience Définition de la cyber- résilience Base de référence BYOD Cloud Service informatique Entreprise Chaîne logistique Aujourd'hui Sur site Cœur IP Personnel formé Chaîne logistique future Cloud Externalisation Transition Demain Menaces Internet Impact sur l'évolution Valorisation de l'existant Résilience stratégique
24 25 Contacts Références Symantec France Tour Egée 17 avenue de l'Arche, La Défense 6 92671 Courbevoie Cedex Tél. : 01 41 38 57 00 1 – Mary Meeker, KPCB, 2013 Internet Trends 2 – Norton Cybercrime Report 3 – Symantec ISTR 2012 4 – Verizon DBIR 2013 5 – Economist Intelligence Unit de juillet 2013 : "Security Empowers Business – unlock the power of a protected enterprise" 6 – Webconférence Gartner de janvier 2013 : "By 2017 the CMO will spend more than the CIO", Laura McLellan 7 – Symantec : "What's Yours is Mine: How Employees are Putting Your IP at Risk" (livre blanc, 2013) 8 – Etude Symantec "Cost of a Data Breach 2013" Nous souhaitons nous engager à vos côtés pour promouvoir la cyber-sécurité, et nos produits et services sont reconnus comme étant à la pointe des connaissances en matière de cyber-sécurité. Contactez-nous afin de vous inscrire pour une évaluation CyberV initiale. http://www.emea.symantec.com/cyber-resilience/ Symantec est un leader mondial de solutions de gestion de la sécurité, du stockage et des systèmes, permettant aux clients de sécuriser et de gérer leurs informations et leurs identités. Copyright © 2013 Symantec Corporation. Tous droits réservés. Symantec, le logo Symantec et le logo en forme de coche sont des marques commerciales ou des marques déposées de Symantec Corporation ou de ses filiales aux Etats-Unis et dans d'autres pays. Les autres noms peuvent être des marques commerciales de leurs détenteurs respectifs. 12/12
Manifeste pour la cyber-résilience

Recommandé

Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Eric DUPUIS
 
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Télécom Paris
 
Omc201409
Omc201409Omc201409
Omc201409
tfares1
 
Workshop cyber jpme
Workshop cyber jpmeWorkshop cyber jpme
Workshop cyber jpme
Vanbreda Risk & Benefits
 
CTO Cybersecurity Forum 2013 Michel Tchonang Linze
CTO Cybersecurity Forum 2013 Michel Tchonang LinzeCTO Cybersecurity Forum 2013 Michel Tchonang Linze
CTO Cybersecurity Forum 2013 Michel Tchonang Linze
Commonwealth Telecommunications Organisation
 
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
polenumerique33
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?
Alain EJZYN
 
ENFIN Cyber !
ENFIN Cyber !ENFIN Cyber !
ENFIN Cyber !
Henri d'AGRAIN
 

Recommandé

Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Eric DUPUIS
 
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Télécom Paris
 
Omc201409
Omc201409Omc201409
Omc201409
tfares1
 
Workshop cyber jpme
Workshop cyber jpmeWorkshop cyber jpme
Workshop cyber jpme
Vanbreda Risk & Benefits
 
CTO Cybersecurity Forum 2013 Michel Tchonang Linze
CTO Cybersecurity Forum 2013 Michel Tchonang LinzeCTO Cybersecurity Forum 2013 Michel Tchonang Linze
CTO Cybersecurity Forum 2013 Michel Tchonang Linze
Commonwealth Telecommunications Organisation
 
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
polenumerique33
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?
Alain EJZYN
 
ENFIN Cyber !
ENFIN Cyber !ENFIN Cyber !
ENFIN Cyber !
Henri d'AGRAIN
 
Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17
ITrust - Cybersecurity as a Service
 
Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17
ITrust - Cybersecurity as a Service
 
Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017
NRC
 
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
BEIJAFLORE
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
polenumerique33
 
EuraTech Trends : la Cybersecurite
EuraTech Trends : la CybersecuriteEuraTech Trends : la Cybersecurite
EuraTech Trends : la Cybersecurite
EuraTechnologies
 
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
OpinionWay
 
Projets groupe cybersécurité tpa 24mai2916
Projets groupe cybersécurité tpa 24mai2916Projets groupe cybersécurité tpa 24mai2916
Projets groupe cybersécurité tpa 24mai2916
Laura Peytavin
 
Manifeste ResistanceCYBER 17.05.17
Manifeste ResistanceCYBER 17.05.17Manifeste ResistanceCYBER 17.05.17
Manifeste ResistanceCYBER 17.05.17
ITrust - Cybersecurity as a Service
 
Manifeste ResistanceCYBER 18.05.17
Manifeste ResistanceCYBER 18.05.17Manifeste ResistanceCYBER 18.05.17
Manifeste ResistanceCYBER 18.05.17
ITrust - Cybersecurity as a Service
 
Manifeste ResistanceCYBER 15.05.17
Manifeste ResistanceCYBER 15.05.17Manifeste ResistanceCYBER 15.05.17
Manifeste ResistanceCYBER 15.05.17
ITrust - Cybersecurity as a Service
 
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrieEtude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Apec
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?
Kiwi Backup
 
L'année 2014 de la cyberdéfense
L'année 2014 de la cyberdéfenseL'année 2014 de la cyberdéfense
L'année 2014 de la cyberdéfense
ncaproni
 
Jeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécuritéJeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécurité
Antoine Vigneron
 
Repenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécuritéRepenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécurité
Naully Nicolas
 
Ch3 4 cybercriminalite_gci
Ch3 4 cybercriminalite_gciCh3 4 cybercriminalite_gci
Ch3 4 cybercriminalite_gci
Radouane Mrabet
 
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
NetSecure Day
 
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
ssuser0da89f
 
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'EmbarquéMeetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
Christian Charreyre
 
Visite+ workshop NTIC projet Iterr-Cost
Visite+ workshop NTIC projet Iterr-CostVisite+ workshop NTIC projet Iterr-Cost
Visite+ workshop NTIC projet Iterr-Cost
Roland Topalian
 
Seconde 2010
Seconde 2010Seconde 2010
Seconde 2010
Didier Demory
 

Contenu connexe

Tendances

Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
BEIJAFLORE
 
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrieEtude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Apec
 
Repenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécuritéRepenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécurité
Naully Nicolas
 
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
ssuser0da89f
 

Tendances (20)

Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17
 
Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17
 
Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017
 
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
EuraTech Trends : la Cybersecurite
EuraTech Trends : la CybersecuriteEuraTech Trends : la Cybersecurite
EuraTech Trends : la Cybersecurite
 
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
 
Projets groupe cybersécurité tpa 24mai2916
Projets groupe cybersécurité tpa 24mai2916Projets groupe cybersécurité tpa 24mai2916
Projets groupe cybersécurité tpa 24mai2916
 
Manifeste ResistanceCYBER 17.05.17
Manifeste ResistanceCYBER 17.05.17Manifeste ResistanceCYBER 17.05.17
Manifeste ResistanceCYBER 17.05.17
 
Manifeste ResistanceCYBER 18.05.17
Manifeste ResistanceCYBER 18.05.17Manifeste ResistanceCYBER 18.05.17
Manifeste ResistanceCYBER 18.05.17
 
Manifeste ResistanceCYBER 15.05.17
Manifeste ResistanceCYBER 15.05.17Manifeste ResistanceCYBER 15.05.17
Manifeste ResistanceCYBER 15.05.17
 
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrieEtude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?
 
L'année 2014 de la cyberdéfense
L'année 2014 de la cyberdéfenseL'année 2014 de la cyberdéfense
L'année 2014 de la cyberdéfense
 
Jeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécuritéJeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécurité
 
Repenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécuritéRepenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécurité
 
Ch3 4 cybercriminalite_gci
Ch3 4 cybercriminalite_gciCh3 4 cybercriminalite_gci
Ch3 4 cybercriminalite_gci
 
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
 
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
 
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'EmbarquéMeetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
 

En vedette

En vedette (9)

Visite+ workshop NTIC projet Iterr-Cost
Visite+ workshop NTIC projet Iterr-CostVisite+ workshop NTIC projet Iterr-Cost
Visite+ workshop NTIC projet Iterr-Cost
 
Seconde 2010
Seconde 2010Seconde 2010
Seconde 2010
 
Découvrez notre produit VigieSI - Gfi Informatique
Découvrez notre produit VigieSI - Gfi InformatiqueDécouvrez notre produit VigieSI - Gfi Informatique
Découvrez notre produit VigieSI - Gfi Informatique
 
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOCJeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
 
Will the next systemic crisis be cyber?
Will the next systemic crisis be cyber?Will the next systemic crisis be cyber?
Will the next systemic crisis be cyber?
 
Investigation de cybersécurité avec Splunk
Investigation de cybersécurité avec SplunkInvestigation de cybersécurité avec Splunk
Investigation de cybersécurité avec Splunk
 
Cyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminelsCyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminels
 
Cybersécurité : créer les conditions de la confiance dans le monde digital
Cybersécurité : créer les conditions de la confiance dans le monde digitalCybersécurité : créer les conditions de la confiance dans le monde digital
Cybersécurité : créer les conditions de la confiance dans le monde digital
 
Security Operation Center - Design & Build
Security Operation Center - Design & BuildSecurity Operation Center - Design & Build
Security Operation Center - Design & Build
 

Similaire à Manifeste pour la cyber-résilience

Sogeti cybersecurity
Sogeti cybersecuritySogeti cybersecurity
Sogeti cybersecurity
Yann SESE
 
Central634_Dossier_completDV_001
Central634_Dossier_completDV_001Central634_Dossier_completDV_001
Central634_Dossier_completDV_001
Bruno CAMBOUNET
 

Similaire à Manifeste pour la cyber-résilience (20)

LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
 
Guide de cybersécurité
Guide de cybersécurité Guide de cybersécurité
Guide de cybersécurité
 
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlog
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlogReveelium, solution innovante pour analyser les cyber menaces @ITrustBlog
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlog
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
 
Sogeti cybersecurity
Sogeti cybersecuritySogeti cybersecurity
Sogeti cybersecurity
 
Sogeti : cybersécurité - conserver l’avantage dans la partie
Sogeti : cybersécurité - conserver l’avantage dans la partieSogeti : cybersécurité - conserver l’avantage dans la partie
Sogeti : cybersécurité - conserver l’avantage dans la partie
 
Cap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagirCap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagir
 
CWIN18 Paris_Introduction Nathalie Kosciusko-Morizet
CWIN18 Paris_Introduction Nathalie Kosciusko-MorizetCWIN18 Paris_Introduction Nathalie Kosciusko-Morizet
CWIN18 Paris_Introduction Nathalie Kosciusko-Morizet
 
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
 
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
 
L’IoT et le soulèvement des machines
L’IoT et le soulèvement des machinesL’IoT et le soulèvement des machines
L’IoT et le soulèvement des machines
 
Les données personnelles à l'ère de la transformation digitale
Les données personnelles à l'ère de la transformation digitaleLes données personnelles à l'ère de la transformation digitale
Les données personnelles à l'ère de la transformation digitale
 
Robert half cybersécurité - protéger votre avenir
Robert half cybersécurité - protéger votre avenirRobert half cybersécurité - protéger votre avenir
Robert half cybersécurité - protéger votre avenir
 
Central634_Dossier_completDV_001
Central634_Dossier_completDV_001Central634_Dossier_completDV_001
Central634_Dossier_completDV_001
 
Introduction à la sécurité des SI
Introduction à la sécurité des SIIntroduction à la sécurité des SI
Introduction à la sécurité des SI
 
2016-09 article Global Security Magazine par Mathieu Rigotto
2016-09 article Global Security Magazine par Mathieu Rigotto2016-09 article Global Security Magazine par Mathieu Rigotto
2016-09 article Global Security Magazine par Mathieu Rigotto
 
2016-09 article Global Security Magazine par Mathieu Rigotto
2016-09 article Global Security Magazine par Mathieu Rigotto2016-09 article Global Security Magazine par Mathieu Rigotto
2016-09 article Global Security Magazine par Mathieu Rigotto
 
CYBERSÉCURITÉ OU LES ENJEUX D'UNE SOUVERAINETÉ NUMÉRIQUE
CYBERSÉCURITÉ OU LES ENJEUX D'UNE SOUVERAINETÉ NUMÉRIQUECYBERSÉCURITÉ OU LES ENJEUX D'UNE SOUVERAINETÉ NUMÉRIQUE
CYBERSÉCURITÉ OU LES ENJEUX D'UNE SOUVERAINETÉ NUMÉRIQUE
 
Sondage opinion way pour cci france gce - cybersécurité
Sondage opinion way pour cci france gce - cybersécuritéSondage opinion way pour cci france gce - cybersécurité
Sondage opinion way pour cci france gce - cybersécurité
 
Conférence IIRCO - Projection des conflits sur l'espace numérique
Conférence IIRCO - Projection des conflits sur l'espace numériqueConférence IIRCO - Projection des conflits sur l'espace numérique
Conférence IIRCO - Projection des conflits sur l'espace numérique
 

Plus de Symantec

Plus de Symantec (20)

Symantec Enterprise Security Products are now part of Broadcom
Symantec Enterprise Security Products are now part of BroadcomSymantec Enterprise Security Products are now part of Broadcom
Symantec Enterprise Security Products are now part of Broadcom
 
Symantec Webinar | National Cyber Security Awareness Month: Fostering a Secur...
Symantec Webinar | National Cyber Security Awareness Month: Fostering a Secur...Symantec Webinar | National Cyber Security Awareness Month: Fostering a Secur...
Symantec Webinar | National Cyber Security Awareness Month: Fostering a Secur...
 
Symantec Webinar | National Cyber Security Awareness Month: Protect IT
Symantec Webinar | National Cyber Security Awareness Month: Protect ITSymantec Webinar | National Cyber Security Awareness Month: Protect IT
Symantec Webinar | National Cyber Security Awareness Month: Protect IT
 
Symantec Webinar | National Cyber Security Awareness Month: Secure IT
Symantec Webinar | National Cyber Security Awareness Month: Secure ITSymantec Webinar | National Cyber Security Awareness Month: Secure IT
Symantec Webinar | National Cyber Security Awareness Month: Secure IT
 
Symantec Webinar | National Cyber Security Awareness Month - Own IT
Symantec Webinar | National Cyber Security Awareness Month - Own ITSymantec Webinar | National Cyber Security Awareness Month - Own IT
Symantec Webinar | National Cyber Security Awareness Month - Own IT
 
Symantec Webinar: Preparing for the California Consumer Privacy Act (CCPA)
Symantec Webinar: Preparing for the California Consumer Privacy Act (CCPA)Symantec Webinar: Preparing for the California Consumer Privacy Act (CCPA)
Symantec Webinar: Preparing for the California Consumer Privacy Act (CCPA)
 
Symantec Webinar | How to Detect Targeted Ransomware with MITRE ATT&CK
Symantec Webinar | How to Detect Targeted Ransomware with MITRE ATT&CKSymantec Webinar | How to Detect Targeted Ransomware with MITRE ATT&CK
Symantec Webinar | How to Detect Targeted Ransomware with MITRE ATT&CK
 
Symantec Mobile Security Webinar
Symantec Mobile Security WebinarSymantec Mobile Security Webinar
Symantec Mobile Security Webinar
 
Symantec Webinar Cloud Security Threat Report
Symantec Webinar Cloud Security Threat ReportSymantec Webinar Cloud Security Threat Report
Symantec Webinar Cloud Security Threat Report
 
Symantec Cloud Security Threat Report
Symantec Cloud Security Threat ReportSymantec Cloud Security Threat Report
Symantec Cloud Security Threat Report
 
Symantec Webinar | Security Analytics Breached! Next Generation Network Foren...
Symantec Webinar | Security Analytics Breached! Next Generation Network Foren...Symantec Webinar | Security Analytics Breached! Next Generation Network Foren...
Symantec Webinar | Security Analytics Breached! Next Generation Network Foren...
 
Symantec Webinar | Implementing a Zero Trust Framework to Secure Modern Workf...
Symantec Webinar | Implementing a Zero Trust Framework to Secure Modern Workf...Symantec Webinar | Implementing a Zero Trust Framework to Secure Modern Workf...
Symantec Webinar | Implementing a Zero Trust Framework to Secure Modern Workf...
 
Symantec Webinar | Tips for Successful CASB Projects
Symantec Webinar | Tips for Successful CASB ProjectsSymantec Webinar | Tips for Successful CASB Projects
Symantec Webinar | Tips for Successful CASB Projects
 
Symantec Webinar: What Cyber Threats Are Lurking in Your Network?
Symantec Webinar: What Cyber Threats Are Lurking in Your Network?Symantec Webinar: What Cyber Threats Are Lurking in Your Network?
Symantec Webinar: What Cyber Threats Are Lurking in Your Network?
 
Symantec Webinar: GDPR 1 Year On
Symantec Webinar: GDPR 1 Year OnSymantec Webinar: GDPR 1 Year On
Symantec Webinar: GDPR 1 Year On
 
Symantec ISTR 24 Webcast 2019
Symantec ISTR 24 Webcast 2019Symantec ISTR 24 Webcast 2019
Symantec ISTR 24 Webcast 2019
 
Symantec Best Practices for Cloud Security: Insights from the Front Lines
Symantec Best Practices for Cloud Security: Insights from the Front LinesSymantec Best Practices for Cloud Security: Insights from the Front Lines
Symantec Best Practices for Cloud Security: Insights from the Front Lines
 
Symantec - The Importance of Building Your Zero Trust Program on a Solid Plat...
Symantec - The Importance of Building Your Zero Trust Program on a Solid Plat...Symantec - The Importance of Building Your Zero Trust Program on a Solid Plat...
Symantec - The Importance of Building Your Zero Trust Program on a Solid Plat...
 
Symantec Webinar | Redefining Endpoint Security- How to Better Secure the End...
Symantec Webinar | Redefining Endpoint Security- How to Better Secure the End...Symantec Webinar | Redefining Endpoint Security- How to Better Secure the End...
Symantec Webinar | Redefining Endpoint Security- How to Better Secure the End...
 
Symantec Webinar Using Advanced Detection and MITRE ATT&CK to Cage Fancy Bear
Symantec Webinar Using Advanced Detection and MITRE ATT&CK to Cage Fancy BearSymantec Webinar Using Advanced Detection and MITRE ATT&CK to Cage Fancy Bear
Symantec Webinar Using Advanced Detection and MITRE ATT&CK to Cage Fancy Bear
 

Manifeste pour la cyber-résilience

  • 1. Manifeste pour la cyber-résilience Définition de la cyber-résilience Inconnues méconnues Refaire les batailles du passé Facteur humainSavoirfaire unétatdes lieux devotre situation actuelle BYOD Cyber-résilience Employés Révolution
  • 2. 2 3 Définition de la cyber-résilience Nous vivons dans un monde connecté : jour après jour, ce constat se révèle être une description toujours plus fidèle de notre réalité. Que ce soit dans notre vie professionnelle ou pour nos loisirs, Internet occupe une place considérable et ne cesse de se développer. Aujourd'hui, quelque 2,4 milliards d'internautes de tous les pays, soit 34 % de la population mondiale, passent de plus en plus de temps en ligne.1 Et nos cyber-activités s'ajoutent à celles, intenses, des entreprises, ceci étant une tendance de fond susceptible de révolutionner les usages. Pour certains, les avantages de notre vie en ligne et des nouveaux modèles économiques rendus possibles par l'utilisation d'Internet sont assortis de risques facilement appréhendables et acceptables. D'autres considèrent que de tels mouvements de masse demandent des réponses plus réfléchies. Mais le temps manque pour organiser un débat. Ce dont nous avons vraiment besoin, c'est d'une incitation à l'action. Pour éliminer les risques qui menacent notre vie en ligne, nous devons prendre en compte 4 tendances, ayant chacune des implications différentes liées à la cyber- sécurité, et demandant l'attention des organisations gouvernementales : Démocratisation : le pouvoir est à l'utilisateur alors que les entreprises apprennent à s'adresser à leurs clients par les canaux que ceux-ci imposent. Consumérisation : il s'agit ici de l'impact des nombreux appareils ou, plus important encore, des applications, qui sont les compagnons de notre vie connectée, que ce soit pour le travail ou pour les loisirs. Externalisation : il est ici fait référence à la dynamique économique du cloud computing qui entraîne une forte baisse des dépenses d'investissement et bouleverse le mode de transit des données à destination et en provenance des entreprises. Digitalisation : ce terme fait référence à la connectivité exponentielle liée à l'Internet des objets constitué de toutes sortes de capteurs et d'appareils connectés. En matière de lutte contre le cyber-risque, la résolution des problèmes associés à l'une de ces tendances ne fait qu'accroître l'importance de ceux liés à la suivante. Tout comme avec la plupart des autres bonnes pratiques, il existe plusieurs réponses correctes signifiant, au mieux, que vous pouvez optimiser l'environnement de votre entreprise pour réduire son exposition. En effet, le cyber- risque ne peut pas être éradiqué en raison des puissantes forces mentionnées ci-dessus. Ce manifeste expose un plan permettant de réduire, et non d'éliminer, les risques réels et grandissants auxquels sont exposés les individus, les entreprises et les gouvernements. Son objectif est simple : nous rendre cyber-résilients. Démocratisation Externalisation Digitalisation Consumérisation
  • 3. 4 5555555555555555555555555555555555 Ce que nous savons aujourd'hui Avec Internet, ce qui était impossible devient possible. Posez-vous les questions suivantes : • Quels clients des banques renonceraient à la liberté de faire des virements internationaux en quelques millisecondes ? • Qu'est-ce qui pourrait forcer les hommes d'affaires à refaire la queue pour acheter un billet d'avion, utiliser une cabine téléphonique ou poster un colis ? • Pourquoi enverrions-nous par avion ce qui peut être imprimé pour moins cher ? La situation actuelle est complexe, en pleine évolution et potentiellement dévastatrice pour les entreprises. Alors que seulement 15 % du trafic Internet mondial est mobile aujourd'hui, ce chiffre augmente du fait de l'existence de cinq milliards de téléphones portables dont un tiers sont des smartphones dotés d'un accès Internet.1 500 millions de photos sont partagées quotidiennement et l'utilisateur moyen consulte sa messagerie 23 fois par jour.1 Les cyber-attaques font 1,5 millions de victimes chaque jour et on estime qu'elles entraînent au total 110 milliards de dollars de pertes chaque année.2 Les attaques de logiciels malveillants ont augmenté de 30 % sur le Web en 2012 et de 139 % sur les appareils mobiles au cours de la même période.3 Autre paramètre essentiel, 62 % des sites Web utilisés pour propager des logiciels malveillants étaient des sites légitimes piratés.3 L'inquiétude vous gagne ? Ces menaces Internet ne peuvent que se multiplier et devenir toujours plus sophistiquées. C'est parce que les cibles les plus anciennes, telles que les systèmes d'exploitation des PC, laissent place à de nouvelles plates-formes Web et mobiles ainsi qu'aux applications sociales. Les mutations de ce que les experts de la sécurité appellent le paysage des menaces sont difficiles à gérer. Sans les niveaux de sécurité mis en œuvre dans les grandes entreprises, vous êtes exposés. Comme nous le verrons, la taille n'est que l'une de nos préoccupations.
  • 4. 6 7 Les inconnues méconnues Dans le monde connecté, des intentions inconnues et des conséquences inattendues créent le chaos. Il est impossible de prévoir toutes les nouvelles menaces Internet auxquelles votre entreprise sera confrontée : certaines n'ont pas encore été inventées. "Hacktivistes" mécontents, cyber-criminels, cyber-terroristes ou même cyber- armées sponsorisées par des Etats, la plupart ont sur nous l'avantage de la surprise. Les moteurs de leurs actions sont variés, de la protestation pacifique à l'intention malveillante, de l'avantage politique à l'avantage personnel ou une combinaison de ces motivations. Toutefois, dans une espèce de course à l'armement menaçant les internautes mal préparés, les moyens disponibles pour créer des cyber-risques se développent de manière exponentielle. De plus en plus de kits de logiciels malveillants prêts à l'emploi peuvent être obtenus via Internet moyennant un paiement en monnaie virtuelle, loin des regards indiscrets. La cyber-économie souterraine est florissante et il existe véritablement un code de l'honneur entre les voleurs. Au sein de leurs centres d'excellence, cachés par des dispositifs de protection ultra-performants, ils peuvent garder une longueur d'avance sur tous ceux qui les combattent, sauf sur les experts de la sécurité les plus compétents. Ils peuvent y partager des données volées à l'insu de leurs victimes. Moyennant paiement, ils partagent leurs secrets avec d'autres cyber-escrocs. Si votre entreprise respecte la loi, il est peu probable que vous puissiez accéder à ces coulisses du crime. Les règles qui s'appliquent aux victimes ne sont pas les mêmes que celles qui prévalent dans la nature : il n'y a aucun avantage à être un petit poisson dans un grand étang. En fait, c'est même un facteur aggravant, avec 31 % des cyber-attaques qui touchent des entreprises comptant de 1 à 250 employés.2 Alors que les grandes entreprises sont coutumières des menaces Internet, leurs fournisseurs plus petits sont bien plus intéressants pour ceux qui ont de mauvaises intentions. Il est en effet plus facile de s'infiltrer dans la chaîne logistique d'une grande entreprise par le bas que par le haut.
  • 5. 8 9 Le facteur humain Alors que 84 % des piratages ne nécessitent tout au plus que quelques heures, il faut des mois pour les découvrir (dans 66 % des cas) et leur endiguement demande des mois ou des années pour 22 % d'entre nous.4 Pour quelle raison ? Vous pourriez penser que la différence entre une entreprise cyber-résiliente et celles qui sont exposées à une exploitation de leurs ressources réside dans de meilleurs ordinateurs, de meilleurs logiciels ou des connexions plus rapides. Malheureusement, ce n'est presque jamais le cas. Il peut bien sûr être nécessaire de disposer de la toute meilleure technologie disponible pour sécuriser une entreprise. Toutefois, nécessaire ne veut pas toujours dire suffisant. Les dispositifs de protection les plus récents, les plus rapides et les plus séduisants ne vous sauveront que rarement la mise. En matière de cyber-sécurité, le maillon faible est la personne qui lit ce manifeste : vous et moi. Le service informatique est le cœur de tous les processus organisationnels modernes, irrigant tous les départements ; il a traditionnellement toujours été responsable de la cyber-sécurité. Il se départit toutefois rapidement de son ancien rôle de principal acheteur de technologies pour devenir un conseiller de confiance. Une étude récente a révélé que 14 % du stockage cloud, 13 % des médias sociaux et 11 % des logiciels de bureautique sont achetés sans que le service informatique ne soit informé.5 Les données de Gartner montrent que le mouvement du budget informatique de ses "propriétaires" traditionnels vers d'autres services est déjà bien engagé. D'ailleurs, le service marketing devrait devenir, d'ici 2017, le premier acheteur de technologies, devant le service informatique.6 Tout cela signifie que le facteur humain du cyber-risque ne fera qu'augmenter, à l'extérieur du service informatique. Aujourd'hui, le fait de concentrer les connaissances en matière de cyber-sécurité sur le service informatique est bel et bien un moyen d'augmenter le cyber-risque auquel votre entreprise est exposée. L'erreur étant humaine, pourquoi limiter la charge de la cyber-résilience à un seul service ? Il est grand temps de passer à une culture de la sécurité globale. des piratages initiaux ne nécessitent tout au plus que quelques heures. des piratages ne sont découverts qu'après plusieurs mois. des piratages ne sont endigués qu'après plusieurs mois ou plusieurs années. 84 % 66 % 22 %
  • 6. 10 1111 Risque 1 Penser que la taille de l'entreprise compte Dans le monde, peu d'entreprises disposent de ressources leur permettant de rester à l'abri de toutes les menaces Internet qu'une équipe très motivée peut créer. Les multinationales elles-mêmes ne peuvent avoir que des équipes relativement réduites. Les pirates ne sont pas seulement malveillants, ils sont aussi intelligents. Ils ont il y a longtemps appris à collaborer en formant des équipes virtuelles se jouant des frontières nationales pour le bénéfice de tous leurs membres. Ils se vendent leurs astuces les uns aux autres et font le commerce d'identités volées pour venir à bout des systèmes de sécurité qui sont, pour l'essentiel, basés sur une conception nationale des risques, antérieure à l'avènement de notre monde connecté actuel, des appareils mobiles et même du Web. Comparativement, les cyber-attaques restent peu sophistiquées mais la taille n'est pas le problème. La plupart des entreprises maîtrisent d'ores et déjà les bases de la cyber-sécurité et cela limite à 10 % la proportion de cyber-attaques pouvant être lancées par l'utilisateur moyen. C'est au niveau suivant que se situe la difficulté car 78 % n'utilisent que les ressources de base disponibles en ligne et ne procèdent à aucune personnalisation.4 Un problème pourrait bien résider dans l'approche. La réaction naturelle d'un professionnel traditionnel de la sécurité est d'acheter davantage d'outils de sécurité mais une approche morcelée de ce type trouve ses limites au niveau de la taille. Il serait préférable d'obtenir une visibilité plus complète sur le positionnement actuel de l'entreprise et de réagir en conséquence. Dans le futur, les cibles potentielles des cyber-attaquants seront probablement encore plus nombreuses. Alors que la recherche de l'efficacité conduit à interconnecter toujours plus de systèmes, l'utilisation de compteurs intelligents pour gérer la consommation énergétique, de capteurs pour contrôler les lignes de production et d'étiquettes RFID pour suivre les expéditions signifie que les principaux utilisateurs des nouvelles technologies ne sont plus les membres du service informatique et qu'ils ne sont pas même des êtres humains. Avec des menaces mondiales par nature, seules quelques entreprises privilégiées, principalement dans le secteur de la défense, peuvent consacrer la totalité de leur temps à se livrer à des cyber-guerres. Les autres doivent aussi se consacrer à leurs tâches quotidiennes, qu'il s'agisse de traiter des déclarations de sinistre, de vendre des chaussures ou de réviser des voitures. Nous devons agir avec discernement pour devenir plus cyber-résilients. Dans ce contexte, quelles sont les chances des petites entreprises ? Du point de vue des professionnels de la sécurité, elles doivent se regrouper tout comme l'ont déjà fait ceux qui les attaquent. Des ressources mises en commun et une connaissance partagée de la gravité des menaces pourraient équilibrer la lutte.
  • 7. 12 1313 Risque 2 Refaire les batailles du passé... et perdre la guerre Les cyber-risques étant devenus plus subtils, personnalisés et distribués, il est devenu de plus en plus difficile de les détecter. Tellement difficile qu'il faudrait être courageux pour prétendre que des systèmes informatiques connectés à Internet (pratiquement tous les systèmes commerciaux) sont inattaquables. Historiquement, les murailles prétendument infranchissables n'ont pas fait leurs preuves : l'intelligence humaine parvient toujours à les contourner. Aujourd'hui, les menaces Internet les plus intelligentes sont rarement de pures attaques frontales mais sont plus personnalisées et s'en prennent simultanément à de nombreuses vulnérabilités afin d'être plus dévastatrices. Leurs charges utiles, qu'elles arrivent via le Web, un message électronique ou un appareil mobile, attendent patiemment et silencieusement sous la forme de réseaux de bots résidents sur les systèmes infectés et peuvent se réveiller de leur sommeil sur commande, et ce même après que l'infection a été détectée et la porte fermée. En matière de cyber-sécurité, les stratégies du passé ont leurs limites. Face à cet infernal jeu du chat et de la souris, la meilleure stratégie ne consiste pas à supprimer chaque menace isolément mais plutôt en un processus lent, déterminé et continu de cyber-résilience. La cyber-résilience consiste à considérer qu'une défense réfléchie est la meilleure attaque. L'objectif est de créer un environnement inhospitalier où il est plus difficile et moins rentable d'accéder à vos systèmes qu'à ceux d'autres entreprises. De meilleures informations permettent de prendre de meilleures décisions. Après tout, le fait de ne prendre aucun risque peut être tout aussi risqué dans l'environnement économique actuel. La meilleure méthode pour construire votre cyber-résilience consiste à avoir une image plus claire des menaces auxquelles votre entreprise est confrontée.
  • 8. 14 15 Risque 3 Ignorer le rôle des employés Les employés sont souvent cités comme étant les principaux actifs d'une entreprise. En réalité, ils peuvent également être les principaux éléments de son passif du point de vue de la sécurité. Le vol d'identité et le vol physique d'appareils non protégés, souvent encouragés par les généreuses politiques BYOD actuelles, compliquent considérablement les choses. Alors qu'auparavant la sécurité était de la seule responsabilité des professionnels de l'informatique, elle ne peut plus aujourd'hui être laissée entre leurs seules mains. Le "Shadow IT", c'est-à-dire les dépenses technologiques invisibles des employés, est un autre moteur de l'innovation. En prenant de sévères mesures contre ce que d'autres considèrent comme des outils de productivité, les professionnels de l'informatique sont certains de s'exclure eux-mêmes des discussions futures. Nous avons déjà parlé des batailles du passé. Les employés doivent eux aussi changer légèrement d'attitude. Les enquêtes montrent que 53 % des employés considèrent que le fait de récupérer des données de l'entreprise ne constitue pas un problème car "cela ne nuit pas à la société" .7 Mais qu'en savent-ils vraiment ? Il vaut certainement mieux permettre au personnel non technique de réduire les mauvaises pratiques non intentionnelles. Les employés concernés pourront ainsi acquérir des connaissances leur permettant d'accroître la cyber-résilience de l'entreprise par leurs décisions technologiques et les processus qu'ils mettront en œuvre. C'est important quand on sait que ce comportement est à l'origine de 35 % des violations de données et, sans surprise, que ces pratiques immorales augmentent fortement chez les personnes qui se préparent à quitter leur entreprise.8 Loin d'être une abdication de responsabilité du service informatique, ce conseil peut se changer en avantage concurrentiel. Il faut qu'un "new deal" soit conclu entre les employés non techniques et les spécialistes de l'informatique avec pour objectif de montrer à tous comment la cyber-résilience peut accroître le potentiel de l'entreprise. Dans notre monde connecté, l'ignorance ne fait pas le bonheur. C'est un défi à relever en termes de communication et d'organisation. En d'autres termes, une opportunité commerciale inexploitée.
  • 9. 16 17 Comment devenir cyber-résilient ? 1. Savoir faire un état des lieux de la situation actuelle de votre entreprise Ce qui ne peut pas être mesuré ne peut pas être géré. Toutefois, la plupart des cyber-attaques ne sont pas détectées, et encore moins mesurées, tout comme les risques qu'elles représentent.4 Dans ce cas, comment pouvons-nous évaluer le niveau de risque auquel nous sommes exposés ? La réponse se trouve dans l'évaluation externe. Plus précisément pour les entreprises exposées à un risque de cyber-attaque, il est essentiel que soit réalisée une évaluation complète de la cyber-sécurité portant sur les employés, les processus et les produits. L'honnêteté, aussi ennuyeuse soit-elle pour certains, est le début du voyage vers la cyber-résilience. Bien sûr, un audit indépendant des vulnérabilités établissant une base de référence pour les technologies et processus utilisés dans l'entreprise constitue un bon début. Mais ce n'est qu'un début. Que diriez-vous d'un test de performances vous permettant de comparer vos résultats à ceux de vos pairs ? Que diriez-vous de quelques recommandations pratiques basées sur une analyse des écarts vous permettant de faire un état des lieux de votre situation actuelle et de vous situer par rapport à vos objectifs ? Aujourd'hui, l'informatique est en train de devenir véritablement stratégique. Sur la base des informations évoquées précédemment, le chemin vers la cyber- résilience apparaît déjà plus distinctement. Et il se dessine mieux encore lorsque les inconnues méconnues que nous avons mentionnées commencent à devenir des mesures identifiables, pas seulement pour le service informatique mais pour l'ensemble de l'entreprise. Ces informations deviennent alors pour vous un avantage. Même si la cyber-résilience n'est pas synonyme d'immunité contre les cyber- attaques, elle consiste avant tout à faire en sorte que les vulnérabilités de votre entreprise soient moins attirantes pour ceux qui pourraient souhaiter vous attaquer. Mais ce n'est que lorsque vous avez une base de référence et un objectif applicable à l'ensemble de l'entreprise que vous pouvez établir des priorités et commencer à traiter vos problèmes de cyber-sécurité les plus importants et les plus urgents.
  • 10. 18 Il était un temps où un petit nombre de personnes étaient responsables de l'informatique. Cela marchait bien lorsque les ordinateurs étaient enfermés dans des salles auxquelles seuls les informaticiens avaient accès. Aujourd'hui, des données confidentielles stratégiques se promènent dans les poches de vos employés et parfois de vos partenaires, et des partenaires de vos partenaires, etc. Les choses ont changé. En matière de cyber-sécurité, les bonnes pratiques appliquées à votre site ne peuvent protéger votre entreprise que dans la mesure où le maillon faible de votre équipe ou de votre chaîne logistique, c'est-à-dire celui qui se soucie le moins de la sécurité, les met également en œuvre. Par conséquent, le simple fait de faire du bon travail en créant, voire même en faisant appliquer des politiques de mot de passe, en verrouillant vos appareils et en respectant des normes ISO ne suffit pas à vous rendre cyber-résilient. Vous devez également vous assurer que les mêmes règles sont appliquées par vos entreprises de nettoyage, vos auditeurs, vos traiteurs et vos avocats. Deuxièmement, comme nous l'avons vu, les analystes prévoient que le personnel non informatique aura sous peu des dépenses technologiques supérieures à celles du service informatique, et à fortiori à celles des spécialistes de la sécurité informatique. Il est donc temps que vous ayez une vision plus globale ne se limitant pas à votre service informatique, aux personnes exerçant certaines fonctions ou aux frontières de votre entreprise. Troisièmement, même si vous avez fait toute votre carrière dans l'informatique, il est peu probable que votre expérience vous ait préparé au rôle que les appareils connectés exercent aujourd'hui dans nos vies. Alors que vous vous battez pour identifier les cyber-risques auxquels votre entreprise est exposée en vous demandant par où commencer votre voyage vers la cyber-résilience, vous risquez bien d'avoir à relever un défi encore plus redoutable. Comment devenir cyber-résilient ? 2. Former (tous) vos collaborateurs Abandonner le jargon technique. La communication avec vos collègues est cruciale mais vous irez à l'échec si vous n'avez pas cette compétence toute simple : la capacité d'oublier ce que vous avez appris au cours de décennies de pratique de l'informatique et du jargon de la sécurité informatique. Le jargon n'est pas seulement inutile, il vous affaiblit. Vraiment, le jargon est l'ennemi de la cyber-résilience.
  • 11. 20 En matière de cyber-résilience, comme nous l'avons vu, il est vain de travailler isolément. Le cyber-risque vient d'ennemis inconnus et intelligents, organisés en cellules pouvant se former, se dissoudre et se reformer avec une grande fluidité. Il n'est ni pratique ni souhaitable d'adopter la même organisation. Et d'ailleurs, qui se chargerait de vos tâches quotidiennes ? Les philosophes nous disent que ceux qui ne savent pas tirer les leçons de leurs erreurs passées sont condamnés à les répéter. Mais vous n'êtes pas seul. Dans un monde connecté, le nombre fait la force. Pourquoi souffrir pendant que votre entreprise décide quelle stratégie de cyber-résilience adopter ? Il est bien plus judicieux de collaborer avec ceux qui partagent les idées de votre entreprise, de mettre vos renseignements en commun et de développer des stratégies. De par vos compétences, vous êtes idéalement placé pour aider votre entreprise à devenir plus cyber-résiliente. Certains diraient que cette stratégie est la seule pouvant réussir compte tenu de la constance de la menace. Imaginez un centre de cyber-intelligence, réunissant des milliards d'observations relatives à des problèmes de cyber-sécurité affectant des milliers d'entreprises et des millions d'utilisateurs : l'objectif est de créer une vue d'ensemble parfaitement claire des menaces Internet auxquelles votre entreprise est confrontée. Cette approche est bien éloignée de la conception actuelle consistant à rendre le service informatique coupable en cas de problème, même si les informations fournies par les contrôles de sécurité existants sont importantes. Le nouveau rôle du service informatique est d'être le centre d'excellence de l'évaluation du cyber-risque. Il a vocation à fournir de nouveaux indicateurs pour que les dirigeants soient à même de mesurer la cyber-résilience de leur entreprise. Le cyber-risque transcende les frontières informatiques, départementales et même nationales. La cyber-résilience est un sport collectif joué par des leaders. Comme vous. Montez à bord du train. Son départ est imminent. Comment devenir cyber-résilient ? 3. Faire de la cyber-résilience votre avantage concurrentiel
  • 12. 22 23 Conclusion Les résultats du passage à un monde connecté sont déjà impressionnants alors que nous venons tout juste de nous engager dans cette voie. Etonnamment, ce progrès ne nécessite que de savoir envoyer et recevoir des données de manière sécurisée. Malheureusement, c'est une tâche technologique complexe et, comme l'a dit Arthur C. Clarke, futurologue et écrivain, "toute technologie suffisamment avancée se confond avec la magie". Notre monde connecté est trop important pour n'être que de la magie. A un niveau personnel, les cyber-risques questionnent notre identité et notre vie privée. Au niveau mondial, ils menacent la stabilité de nos gouvernements et de nos systèmes bancaires. Le monde connecté doit être compréhensible pour les responsables d'entreprises et d'organisations gouvernementales au même titre que l'énergie, l'eau, le talent et d'autres éléments vitaux du monde réel. Aujourd'hui, il n'est pas traité ainsi. Les professionnels de l'informatique ont un rôle stratégique à jouer mais seulement s'ils sont en mesure : 1. De réellement établir une base de référence permettant de savoir où en est aujourd'hui leur entreprise en matière de cyber-résilience. Et ce plus rapidement et de manière plus rigoureuse qu'auparavant. 2. D'impliquer les employés de leur entreprise dans la démarche de cyber- résilience. Cela revient à former toute personne intervenant dans la chaîne logistique de l'entreprise afin de trouver le juste équilibre entre l'innovation souhaitée et la cyber-résilience nécessaire. 3. D'utiliser la cyber-résilience pour permettre à leur entreprise de bénéficier d'un avantage concurrentiel stratégique sur le long terme. Les idées lancées dans ce manifeste déclencheront peut-être la réaction en chaîne dont votre entreprise a besoin pour initier une démarche de cyber-résilience. Si c'est le cas, collaborez avec les experts de Symantec dont les produits et services de protection et d'évaluation de la cyber-sécurité aident des milliers de dirigeants à rendre leur entreprise cyber-résiliente. Cyber- résilience Définition de la cyber- résilience Base de référence BYOD Cloud Service informatique Entreprise Chaîne logistique Aujourd'hui Sur site Cœur IP Personnel formé Chaîne logistique future Cloud Externalisation Transition Demain Menaces Internet Impact sur l'évolution Valorisation de l'existant Résilience stratégique
  • 13. 24 25 Contacts Références Symantec France Tour Egée 17 avenue de l'Arche, La Défense 6 92671 Courbevoie Cedex Tél. : 01 41 38 57 00 1 – Mary Meeker, KPCB, 2013 Internet Trends 2 – Norton Cybercrime Report 3 – Symantec ISTR 2012 4 – Verizon DBIR 2013 5 – Economist Intelligence Unit de juillet 2013 : "Security Empowers Business – unlock the power of a protected enterprise" 6 – Webconférence Gartner de janvier 2013 : "By 2017 the CMO will spend more than the CIO", Laura McLellan 7 – Symantec : "What's Yours is Mine: How Employees are Putting Your IP at Risk" (livre blanc, 2013) 8 – Etude Symantec "Cost of a Data Breach 2013" Nous souhaitons nous engager à vos côtés pour promouvoir la cyber-sécurité, et nos produits et services sont reconnus comme étant à la pointe des connaissances en matière de cyber-sécurité. Contactez-nous afin de vous inscrire pour une évaluation CyberV initiale. http://www.emea.symantec.com/cyber-resilience/ Symantec est un leader mondial de solutions de gestion de la sécurité, du stockage et des systèmes, permettant aux clients de sécuriser et de gérer leurs informations et leurs identités. Copyright © 2013 Symantec Corporation. Tous droits réservés. Symantec, le logo Symantec et le logo en forme de coche sont des marques commerciales ou des marques déposées de Symantec Corporation ou de ses filiales aux Etats-Unis et dans d'autres pays. Les autres noms peuvent être des marques commerciales de leurs détenteurs respectifs. 12/12