Réalisée par Steria, cette étude présente les nouvelles attaques informatiques et leur impact en termes business, financier et d’atteinte à la réputation.
Clusif le role de l'organisation humaine dans la ssi 2013
Les entreprises européennes sont elles bien armées pour affronter les cyber attaques
1. Un Rapport Steria
Les entreprises européennes
sont-elles bien armées pour
affronter les cyber attaques ?
Réalisé en collaboration avec Pierre Audoin Consultant
www.steria.com
2. 2 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ?
www.steria.com
www.steria.com
Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques? | 3
Sommaire
AVANT-PROPOS
03
OBJECTIFS ET METHODOLOGIE
04
EXECUTIVE SUMMARY
06
PARTIE 1 : L’ECOSYSTÈME DES MENACES, QUELS CHANGEMENTS ?
Les entreprises européennes redoutent bien plus les attaques internes
Le crime organisé et les attaques d’Etat inquiètent encore peu
les entreprises européennes
Les vols de données sont au centre de toutes les préoccupations
et le resteront
11
12
PARTIE 2 : LES STRATÉGIES DE SÉCURITÉ DEVIENNENT GLOBALES
Les stratégies de sécurité sont définies et ont des ambitions étendues
Le positionnement à haut niveau de la sécurité dans les entreprises
favorise des stratégies ambitieuses
16
17
PARTIE 3 : LA SÉCURITÉ DISPOSE DE TOUJOURS PLUS DE MOYENS
Les arbitrages budgétaires restent en faveur de la sécurité
Les entreprises restent optimistes sur leur capacité à attirer des talents
19
21
22
PARTIE 4 : LA MISE EN PLACE DES SOLUTIONS DE SÉCURITÉ
EST EN PLEINE EXPANSION
24
PARTIE 5 : LA MESURE DE LA PERFORMANCE DOIT ENCORE PROGRESSER
27
PARTIE 6 : L’EXTERNALISATION DEVIENT UNE ALTERNATIVE
L’externalisation gagne des adeptes, même si aucun modèle
ne s’impose à ce jour
Perspectives
Face à la sensibilité des activités de sécurité, les industriels sont
invités à réviser leur copie
29
13
15
30
31
33
PARTIE 7 : LA SÉCURITÉ EN QUESTION : LES ENTREPRISES SONT-ELLES MIEUX
PROTÉGÉES ?
Les entreprises assurent peu leurs risques de cyber sécurité
CONCLUSIONS ET RECOMMANDATIONS
34
36
37
La révolution digitale a ouvert
de nouveaux espaces. Elle a
superposé à nos environnements
physiques des environnements
virtuels ouverts, collaboratifs et
connectés. Elle a permis la dématérialisation, la mobilité, le cloud
et les réseaux sociaux. Mais elle
a aussi ouvert de nouveaux horizons aux malveillances.
Les cyber risques sont plus importants que
jamais. Les types d’attaques se diversifient,
se complexifient, se professionnalisent et se
multiplient de jour en jour, avec des impacts
de plus en plus lourds en termes business,
financiers, d’atteinte à la compétitivité ou
à la réputation des entreprises. Ainsi, le
nombre mondial d’attaques ciblées a crû de
plus de 40% en 2012. Les cyber attaques et
la fraude en ligne ont généré respectivement
110 milliards de dollars et plus de 200
milliards de dollars de pertes financières.
Dans ce contexte, nos entreprises ont-elles
pris la pleine mesure des attaques auxquelles
elles vont de plus en plus avoir à faire
face? Sont-elles correctement armées pour
supporter des crises majeures ? Même s’il est
illusoire d’envisager une protection totale,
ont-elles mis en place les moyens, solutions
et gouvernances nécessaires pour être au
mieux à même de prévenir, détecter et
protéger leur patrimoine informationnel et
leurs avantages compétitifs? Ont-elles accès
aux bonnes ressources et aux bonnes offres
de la part des industriels de la sécurité ?
L’Etude réalisée par Steria auprès de
270 entreprises et entités publiques en
Europe révèle comment les entreprises
européennes se situent aujourd’hui en
matière de cyber sécurité et anticipent
leurs évolutions à court et moyen termes.
Etre correctement armés pour affronter la
cyber guerre sans pour autant tout alourdir
et complexifier, est devenu essentiel pour
saisir toutes les opportunités offertes par
l’univers digital sous toutes ses formes.
Patricia Langrand
Executive Vice President
Group Business Development
& Marketing, Steria
Florent Skrabacz
Reponsable de l’Activité
Sécurité, Stéria
3. www.steria.com
4 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ?
www.steria.com
Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques? | 5
2%
33%
22%
40%
36%
Entre 500 et 1000 salariés
Entre 1000 et 5000 salariés
Plus de 5000 salariés
62%
Steria, leader européen des services
numériques aux entreprises et aux
administrations, accompagné par Pierre
Audoin Consultant (PAC), a publié un
rapport indépendant sur la cyber sécurité.
Ce rapport est basé sur une étude menée
auprès de 270 décideurs en sécurité. Ils
représentent des petites et moyennes
entreprises ainsi que des Grands Comptes
de tous secteurs d’activité situés en
France, au Royaume-Uni, en Allemagne
et en Norvège. Nous entendrons par
« entreprises » à la fois des structures privées
et publiques. Les « grandes entreprises »
comptent plus de 5000 collaborateurs.
L’ensemble des données chiffrées utilisées
dans ce rapport est issu de cette étude,
sauf mention contraire. L’étude se compose
d’une phase quantitative et d’une phase
qualitative. La phase quantitative repose sur
250 entretiens téléphoniques répartis de la
manière suivante : 70 interviews en France,
70 au Royaume-Uni, 70 en Allemagne et 40
en Norvège. Par ailleurs, PAC a procédé à
20 entretiens approfondis en face-à-face.
Basés sur le même questionnaire que
les entretiens quantitatifs, ils ont pu
permettre aux décideurs en sécurité de
grandes entreprises et d’organisations
gouvernementales spécialisées, de
développer leur stratégie de cyber sécurité
et les modalités de sa mise en œuvre.
67%
Norvège
78%
France
60%
Royaume-Uni
Figure 2 : Répartition par taille d’entreprise et par pays (n = 270)
Ce rapport met en perspective les stratégies
et modèles de cyber sécurité à un horizon
de trois ans. L’objectif est de montrer la
réalité de la perception des menaces par les
entreprises européennes et l’adéquation des
moyens mis en œuvre pour y faire face.
Les entreprises européennes sont-elles bien
armées pour affronter les cyber attaques ?
6%
6%
11%
6%
6%
Entre 500 et 1000 salariés
Entre 1000 et 5000 salariés
Plus de 5000 salariés
12%
21%
12%
20%
27%
63%
10%
Banque
Assurance
Industrie
Secteur public
Distribution
Services
Telecom
Transport
Énergie
Figure 3 : Répartition par secteur d’activités (n = 270)
Figure 1 : Répartition par taille d’entreprise (n = 270)
Allemagne
4. 6 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ?
La révolution digitale a ouvert de nouveaux
espaces. Mais elle a aussi donné de nouveaux
horizons aux malveillances et les cyber
risques sont plus grands que jamais.
Dans ce contexte, nos entreprises ont-elles
pris la pleine mesure des attaques auxquelles
elles vont de plus en plus avoir à faire face?
Sont-elles correctement armées pour
supporter des crises majeures? Ont-elles accès
aux bonnes ressources et aux bonnes offres
de la part des industriels de la sécurité ?
Steria, leader européen des services
numériques aux entreprises et aux
www.steria.com
administrations, accompagné
par Pierre Audoin Consultant (PAC),
publie un rapport indépendant sur la
cyber sécurité. Ce rapport, basé sur une
enquête menée auprès de 270 décideurs
en sécurité en France, au Royaume-Uni, en
Allemagne et en Norvège, lève le rideau
pour révéler comment les entreprises
européennes se situent aujourd’hui en
matière de cyber sécurité et anticipent
leurs évolutions à court et moyen termes.
Les principaux enseignements issus
de l’enquête sont les suivants :
www.steria.com
2.
Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques? | 7
Les entreprises européennes sont confiantes
n
r
p
n
o
t
sur leur avenir en matière de sécurité
a
é
tant sur le plan de la disponibilité des
o
i
e
ressources que des budgets et de leur
u
t
u
capacité à supporter des risques majeurs
c
j
Les entreprises européennes affichent une
sérénité élevée dans l’éventualité d’une
crise majeure de sécurité, 91% d’entre
elles s’estiment prêtes à y faire face.
Les entreprises européennes n’ont pas encore
u
e
n
pris la pleine mesure des attaques auxquelles
e
s
e
a
u
elles vont de plus en plus avoir à faire face
e
s
o
a
a
Alors même que les attaques externes
se multiplient, les attaques internes
restent encore les plus redoutées par les
entreprises européennes. Ainsi, encore
plus de 50% des entreprises considèrent
que les attaques externes représentent
moins de 20% des menaces.
Alors que pourtant ce type d’attaques
constitue de plus en plus une vraie menace,
le crime organisé et les attaques d’Etat
inquiètent encore peu les entreprises
européennes à court et moyen termes.
Globalement, moins de 15% des entreprises
considèrent qu’elles font face aujourd’hui
ou qu’elles auront à faire face dans les trois
prochaines années à du crime organisé
et moins de 6% à des attaques d’Etats.
Seules les grandes structures commencent
à être interpelées par ce type d’attaques:
19% estiment qu’elles seront confrontées
à des attaques issues du crime organisé
dans les trois ans et 18% à des
attaques instruites par des Etats.
Les vols de données sont au centre de toutes
les préoccupations et devraient le rester.
Pour 60% des entreprises interrogées, le
vol de données est l’un des trois plus gros
risques qui les empêchent de dormir et
devrait l’être encore dans trois ans. L’effet
Prism, Bullrun, Mandiant est bien présent.
Les « APT » (Advanced Persistent Threat),
la menace en trois lettres qui devrait faire
trembler les responsables sécurité n’est pas
encore identifiée parmi les risques majeurs.
Les APT ne font partie des trois principales
menaces que pour 12% des entreprises.
Les APT sont néanmoins craintes par les
grandes entreprises pour 35% d’entre-elles.
Une grande entreprise sur cinq positionne
le manque de ressources expérimentées
en sécurité parmi ses principaux
risques mais 85% des répondants
anticipent un accès favorable aux
compétences requises d’ici trois ans.
Les budgets sécurité restent et devraient
rester préservés avec moins d’un tiers des
entreprises interrogées anticipant une
baisse. 85% des répondants considèrent
qu’ils auront le budget sécurité adéquat
dans les trois prochaines années.
Cette préservation des budgets
s’accompagne d’un contrôle des coûts, avec
des KPI sur les coûts mis en place pour plus
de la moitié des entreprises interrogées.
5. 8 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ?
3.
Entre la confiance affichée et la réalité des
n
c
c
é
pratiques, la cohérence reste à démontrer –
q
a
é
e
e
é
t
n
i
r
Les entreprises n’ont pas pris les mesures
c
n
s
r
e
ad hoc les plus élémentaires pour traiter
les crises lorsqu’elles surviennent
o
e
La sécurité opérée en 24/7 n’est pas
encore la référence, seul le quart des
entreprises interrogées l’a mise en place.
Et même les plus grandes entreprises
sont moins de la moitié à en bénéficier.
Les entreprises ont encore peu recours aux
assurances pour les risques de cyber sécurité
et ne se tournent pas vers ces produits,
deux tiers d’entre elles ne prévoyant pas de
s’assurer dans un avenir proche. L’assurance
des cyber risques, trop complexe et avec des
exclusions multiples, n’a pas encore séduit.
L’évolution des cyber risques et la couverture
des cyber menaces ne sont pas les premiers
éléments qui influencent l’élaboration des
stratégies de cyber sécurité. La priorité
stratégique est davantage accordée aux
risques liés aux usages des NTIC dans
les organisations, notamment la mobilité
et le BYOD (Bring Your Own Device).
www.steria.com
www.steria.com
4.
Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques? | 9
Face aux risques, les entreprises comptent
e
s
e o
e
encore beaucoup sur elles-mêmes
r
a u
e
Les entreprises européennes identifient
des freins structurels à l’externalisation
(criticité de la sécurité, priorité aux
ressources internes, etc.). Seulement
une grande entreprise sur cinq ne voit
pas d’obstacle à l’externalisation.
Lorsqu’elles se projettent, les entreprises
considèrent néanmoins plus facilement
l’externalisation, et plus de deux-tiers
d’entre elles considèrent qu’elles
externaliseront une partie de leur
activité de sécurité dans le futur.
Les offres des industriels semblent
manquer de maturité: 20% des
entreprises (une grande entreprise sur
quatre) ne trouvent pas encore d’offre
d’externalisation adaptée à leurs besoins.
C’est d’abord la réduction des coûts
qui parle pour l’outsourcing. Mais
l’amélioration de la détection des attaques
arrive en deuxième raison d’externaliser
chez les plus de 5000 employés.
6. 10 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ?
5.
www.steria.com
www.steria.com
www.steria.com
Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques? | 11
PARTIE 1
La relation entre les entreprises et
a
t
s
leurs partenaires de sécurité devrait
c
évoluer dans les années à venir
e
s
s
n
D’ici cinq ans, la sécurité devrait être
principalement traitée par des prestataires
externes pour plus d’une entreprise
sur quatre et plus d’une entreprise
sur trois pour les plus grandes.
À même échéance, la coopération
entre entreprises de mêmes secteurs
d’activité devrait commencer à devenir
une réalité ; ainsi 15% des entreprises
considèrent qu’elles seront amenées
à mutualiser des moyens de sécurité
avec d’autres acteurs de leur secteur.
La sécurité « as a service » n’a pas encore
atteint une maturité de marché. Moins
de 10% des entreprises achètent déjà ou
prévoient d’acheter en 2014 la sécurité « as
a service ». En revanche, les entreprises de
toutes tailles y sont ouvertes pour le futur.
La moitié des entreprises l’ont déjà fait ou
prévoient de le faire plus tard (+ de 40%).
L’Ecosystème des menaces,
quels changements ?
7. www.steria.com
12 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ?
Les entreprises européennes redoutent
e
u
n
u
bien plus les attaques internes
s
q
e
L’adage selon lequel 80% des
menaces viennent de l’intérieur
est toujours bien valable malgré le
développement des attaques externes.
54%
des entreprises
européennes considèrent
que 80% des menaces
sont d’origine interne
La circulaire « Menaces sur le système
informatique », publiée le 12 septembre
2006 par le Secrétariat Général de la
Défense Nationale en France affirme que
« 70 à 80% des cas connus des éléments
menaçants […] sont de nature interne ».
Une autre étude menée en 2012 (Global
State of Information Security 2012 de PwC)
montrait que 31% des incidents de sécurité
d’origine interne étaient attribués à des
employés, 27% à des anciens collaborateurs
et 16% à des prestataires de l’entreprise.
www.steria.com
Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques? | 13
Le crime organisé et les attaques d’État inquiètent
é
q
encore peu les entreprises européennes
e
n
s
La quasi-totalité des entreprises
craignent majoritairement les
attaques internes. Les menaces internes
concernent en effet toutes les entreprises
qui sont amenées à suivre et contrôler leurs
employés pour prévenir ces menaces.
C’est seulement dans les grandes
entreprises très exposées que le poids des
attaques externes est considéré comme
important : 17% des entreprises de plus
de 5000 employés estiment le poids des
attaques externes à plus de 50%.
Aujourd’hui encore, bien que les
attaques externes se soient multipliées,
à la fois en terme de diversité avec des
attaques de plus en plus complexes et
en nombre, les attaques internes ont
encore un poids très dominant dans les
menaces sécuritaires que les entreprises
redoutent – surtout chez les petites.
En effet, plus de 50% des entreprises
(62% parmi les petites) considèrent que
les attaques externes représentent moins
de 20% des menaces qu’elles redoutent.
Bien que ce type d’attaques constitue
de plus en plus une menace avérée,
le crime organisé et les attaques
d’Etat inquiètent encore peu les
entreprises européennes à court
et moyen termes, en particulier
pour les petites entreprises.
L’hacktivism est de loin la principale
attaque externe qui inquiète les entreprises,
aujourd’hui comme pour les trois prochaines
années. 64% des grandes entreprises
s’attendent à y être confrontées dans les trois
ans qui viennent contre 51% pour l’ensemble
des répondants. Le contraste est plus vif si
l’on considère spécifiquement deux types
de menaces qui mobilisent des moyens
dont seuls peuvent bénéficier des groupes
d’intervention soutenus par des Etats ou
des groupes issues du crime organisé.
En effet, malgré l’ampleur de la menace,
18% des grandes entreprises estiment
qu’elles seront confrontées à des attaques
soutenues par des Etats dans les trois ans
qui viennent et 19% d’entre elles estiment
qu’elles seront confrontées à celles menées
par des groupes issus du crime organisé.
Ces chiffres étant respectivement de 6% et
de 14% pour l’ensemble de l’échantillon.
Il est intéressant de souligner que les
attaques menées par des concurrents
sont perçues comme significatives
par l’ensemble des entreprises (22%
estiment y être exposées).
15%
3%
Les vols de données sont au centre
de toutes les préoccupations et
devraient le rester pour
50%
32%
60%
moins de 20%
entre 20 et 50%
entre 50 et 80%
plus de 80%
Figure 4 : Estimation du pourcentage d’attaques externes parmi les menaces de sécurité informatique craintes par les grandes entreprises
des entreprises intérrogées
Pourtant, dans un contexte de conflits
économiques violents, les grandes
entreprises sont confrontées à des actions
de plus en plus offensives, comme en
témoigne le responsable sécurité d’un groupe
énergétique français lorsqu’il indique les
menaces externes auxquelles fera face son
organisation dans les trois ans à venir :
« Comme nous disputons des contrats de
plusieurs milliards à travers le monde, je
dirais les attaques soutenues par des Etats, le
crime organisé et de plus en plus les attaques
issues de concurrents, les frontières entre
L’affaire Prism a aussi mis au grand jour un
nouveau type de cyber attaque qui participe
à des opérations de renseignement. Elle a
soulevé le problème de la confidentialité
des données privées et professionnelles
sur internet, et plus encore, de la maitrise
de leur stockage et des accès.
Suite à ces affaires, l’augmentation des
cyber menaces est une tendance prise très
au sérieux par les plus hautes institutions
internationales. L’édition 2013 du rapport
« Global Risks » du Fond Monétaire
International (FMI) a ainsi révélé que les
cyber menaces représentaient le risque
technologique mondial Numéro 1. Parmi
elles, les cyber attaques et le vol massif
de données sont les plus importants.
8. www.steria.com
14 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ?
www.steria.com
Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques? | 15
Les vols de données sont au centre de toutes les
é
r
t
préoccupations et le resteront
p
t
e
Hacktivistes
Concurrents
Criminels isolés
Crime organisé
États
Autre
Aucune d’entre elles
Aujourd’hui
Aujourd’hui
Dans 3 ans
Aujourd’hui
19%
23%
8%
4%
2%
4%
11%
15%
15%
15%
1%
14%
27%
42%
31%
Entre 500 et 1000 employés
84%
64%
46%
Entre 1000 et 5000 employés
Plus de 5000 employés
Figure 5 : Répartition par taille d’entreprise des sources d’attaques externes auxquelles
Aujourd’hui
L’effet Prism, Bullrun,
Mandiant
est bien présent
Moins élevé, ce taux s’élève tout de même
à 45% pour les grandes entreprises. Les
résultats de l’étude restent homogènes
quant à la perception des risques majeurs
de sécurité par les entreprises.
Les risques de vols de données sont
suivis par l’atteinte à la réputation (30%)
et l’espionnage IT (26%). Ces résultats
montrent que les préoccupations des
entreprises européennes sont centrées
sur la protection de leur patrimoine, que
ce soit leurs informations, leur image ou
leur savoir-faire. Les risques pouvant être
qualifiés de techniques, c’est-à-dire sans
lien direct avec les processus métiers, sont
perçus comme étant moins prédominants.
A titre d’illustration, le manque de
ressources qualifiées en sécurité (14%),
les APT (Advanced Persistent Threat :
12%) et la dépendance vis-à-vis de tiers
prestataires de sécurité (8%) sont les
risques les moins fréquemment cités.
23%
60%
35%
16%
15%
14%
24%
18%
19%
22%
12%
26%
42%
31%
1%
8%
4%
9%
2%
Dans 3 ans
15%
Dans 3 ans
14%
Suite aux affaires Prism, Bullrun et
Mandiant, les vols de données sont au
centre de toutes les préoccupations
et devraient le rester. 60% des
entreprises considèrent les vols
de données comme étant le risque
majeur qui les empêche de dormir.
Dans 3 ans
48%
22%
22%
15%
12%
5%
2%
51%
24%
24%
30%
14%
6%
1%
Hacktivistes
Concurrents
Criminels isolés
Aucune d’entre elles
Crime organisé
Etats
Les APT, ces cyber menaces
ultrasophistiquées et ultra-ciblées, qui
devraient faire trembler les responsables
sécurité des entreprises. Menées par des
criminels particulièrement organisés, elles
permettent d’accéder silencieusement
aux réseaux les mieux protégés, pour en
exfiltrer les informations les plus sensibles
ou procéder à la destruction massive de
données. Bien qu’elles soient les plus
dangereuses, les APT n’apparaissent pas
encore parmi les risques majeurs identifiés
par les entreprises. Elles arrivent dans le
top 3 des menaces pour seulement 12%
d’entre-elles. Pour les grandes entreprises,
l’analyse est toutefois à pondérer: les
APT ressortent comme étant le deuxième
risque majeur (cité dans le top 3 pour 35%
d’entre-elles). En effet, les APT peuvent avoir
deux objectifs: nuire dans une logique de
destruction d’intérêts vitaux ou donner un
avantage compétitif à un tiers. La frontière
entre les intérêts vitaux et les intérêts métiers
est très floue pour les grandes entreprises et
l’attaque de ces intérêts est clairement l’un
des principaux risques perçus par ces acteurs.
Il s’agit en général de grands champions
nationaux, parfois soutenus par les Etats,
comme en témoigne la notion d’Opérateur
d’Importance Vitale introduite en France:
« Les attaques fomentées par les Etats, les
APT et les attaques ciblées sur nos systèmes
de production et de distribution sont nos
principaux risques », confirme le Responsable
des Services de Sécurité Informatique (RSSI)
d’une grande société de transport française.
L’étude nous apprend aussi que pour
deux types d’attaques, il existe des
disparités élevées entre les pays :
- Le Royaume-Uni est le pays pour lequel
l’espionnage IT s’avère être le risque le moins
prévalent avec 15%, alors qu’en France
ce pourcentage est le plus élevé (37%).
- Le risque d’atteinte à la disponibilité du SI
est perçu très significativement en Norvège
et au Royaume-Uni avec respectivement
28% et 26% des réponses, tandis qu’en
France ce risque n’empêche de dormir
que seulement 9% des répondants.
Autre
Le vol de données
L’atteinte à la réputaion
L’espionnage informatique
Les fraudes internes
L’indisponibilité du système d’informations
Le manque de ressources spécialisées
Les APT
La dépendance vis-à-vis des tiers
Autre
France 54 18 26 37 32
6
6
%
Royaume-Uni 68 42 29 15 16 26 18 10 11
4
%
7
4
%
10
5
%
9
6
12
Allemagne 54 21 35 28 17 18 24 21
Norvège 65 45 25 23 15 28
8
0
Figure 7 : Répartition par pays des principaux risques qui empêchent les entreprises de dormir
9. 16 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ?
www.steria.com
www.steria.com
Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques? | 17
et ont des ambitions étendues
e
o
n
PARTIE 2
Les stratégies de sécurité
deviennent globales
Dans un environnement mondialisé soutenu par la révolution numérique et les
technologies mobiles, les stratégies de sécurité ne sont plus uniquement IT mais
viennent également répondre à des enjeux business et stratégiques, positionnés dans
les plus hautes fonctions de l’organisation.
Plus de
80%
des décideurs ont mis
en place une stratégie
et des solutions de
sécurité afin de limiter
les fuites d’informations
entre autres
La quasi-totalité des entreprises ont
formalisé une stratégie en matière de
sécurité (80% l’ont déjà fait et pour plus de
11%, c’est en cours) et cela se vérifie pour
les moyennes comme pour les grandes.
La stratégie de sécurité est
pensée pour répondre d’abord aux
enjeux de mobilité et BYOD.
Les stratégies de sécurité ne sont pas, comme
il pourrait être instinctif de le présumer,
guidées en priorité par la couverture des
menaces et l’évolution des cyber risques. Elles
sont pensées pour répondre aux problèmes
de sécurité spécifiques au secteur d’activité
(35%), mais avant tout pour répondre aux
évolutions des usages des NTIC dans les
entreprises comme la mobilité et le BYOD
(57%) pour l’ensemble des entreprises, quels
que soient leur taille, leur secteur et le pays.
Etonnement, le phénomène est
particulièrement prégnant dans le secteur
public où la mobilité est citée par 59% des
répondants et les enjeux business à hauteur
de 37%. Les politiques de sécurité doivent
permettre de renforcer la protection des
infrastructures mobiles. Celles-ci viennent
répondre aux enjeux de maintien de la qualité
de service dans un contexte de réduction
des coûts et d’effectifs dans les instances
d’Etat, comme le précise le responsable
sécurité d’un grand département de la police
britannique. Mais avant toute autre chose, il
met en avant la confiance du citoyen liée à la
confidentialité de l’information, comme étant
le principal objectif des stratégies de sécurité
de la sphère publique : « Le dommage de
réputation pourrait être de loin l’enjeu numéro
un car il pourrait altérer les relations avec notre
complète-il.
Les enjeux spécifiques aux métiers sont
le deuxième élément principal d’influence
des stratégies de sécurité qui, avec 35%
devancent les cyber menaces (27%). La
variabilité des résultats entre les pays sur
la place des enjeux spécifiques métiers est
élevée: ainsi la Norvège ne lui accorde que
15% tandis que la France lui accorde 49%.
Le Cloud Computing arrive en quatrième
position des éléments d’influence de la
stratégie avec 26% et là encore, les écarts
sont très forts entre les pays: le RoyaumeUni, très engagé dans les démarche
de Cloud Computing, affiche 44%.
Par ailleurs, le coût est un facteur d’influence
relativement faible des stratégies de sécurité
(seulement 21% des entreprises classent la
pression sur les coûts parmi les trois plus
importants facteurs influençant leur stratégie
en matière de sécurité - seulement 10% des
entreprises de plus de 5000 personnes).
La France est le pays qui affiche l’influence
la plus faible avec 8% et la Norvège
l’influence la plus élevée avec 33%.
Enfin, dans les grandes structures, le
Cloud apparaît en deuxième position
juste devant les problèmes de sécurité
spécifiques aux métiers. La confidentialité
des données fonde en effet toujours l’une
des principales réticences de certaines
entreprises à l’adoption du Cloud. Donner
aux employés un accès aux applications
de l’entreprise en situation de mobilité à
travers le Cloud est de plus en plus prisé
par les entreprises. Mais en contrepartie,
cela crée une porte d’accès beaucoup plus
importante avec les risques de failles qui
l’accompagnent. Les systèmes de sécurité
doivent s’adapter à cette transformation.
10. www.steria.com
18 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ?
www.steria.com
Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques? | 19
Le positionnement à haut niveau
o
n
t
de la sécurité dans les entreprises
n
t
favorise des stratégies ambitieuses
é
m
s
11%
11%
9%
Dans les entreprises de plus de
5000 collaborateurs, la sécurité
est sponsorisée par la Direction
Générale (40%) devant les
fonctions informatiques (38%).
80%
stratégie en place
aucune stratégie
Pour l’ensemble des répondants, la
sécurité reste globalement sponsorisée
par une direction informatique (54 %),
mais dans les entreprises de plus de 5000
collaborateurs, la Direction Générale est
le principal sponsor de la sécurité (40%).
mise en place d’une stratégie en cours
Cybermenaces
Cloud computing
Préssion budgétaire
Pratiques d’achat
Cette appropriation du sujet de la cyber
sécurité par les directions générales
peut également s’expliquer par la nature
stratégique des impacts de la cyber
criminalité en termes juridique, d’image
(notoriété, réputation) de business et
financier. En effet, dans un contexte où les
pertes financières dues aux événements de
sécurité s’élève à 110 milliards de dollars
d’après une étude menée en 2012, la
protection des patrimoines publics et privés
devient une priorité absolue au plus haut
niveau d’un Etat ou d’une entreprise.
Cette évolution est d’ailleurs soutenue
par les responsables sécurité eux-mêmes,
comme celui d’une grande société de
l’énergie allemande : « Je suis surpris
que la plupart des gens disent que leur
sponsor vient de l’informatique, je pense
Figure 8 : Part des entreprises ayant formalisé une stratégie de sécurité informatique
Mobilité / BYOD
. Pour atteindre les
objectifs ambitieux de leur stratégies
de sécurité, les responsables exécutifs
préservent voire renforcent les moyens
et investissements dans le domaine.
Réseaux sociaux
Accès à des ressources compétentes
Législation et conformité
Autres
60%
51%
58%
58%
49%
34%
31%
15%
35%
16%
22%
38%
15%
44%
22%
23%
8%
27%
24%
33%
15%
18%
22%
25%
13%
16%
19%
23%
12%
19%
17%
3%
6%
5%
11%
3%
3%
5%
Allemagne
Norvège
France
Royaume-Uni
Entre 500 et 1000 salariés
58%
Entre 1000 et 5000 salariés
Plus de 5000 salariés
58%
40%
38%
31%
29%
11%
11%
6%
Direction informatique
Direction générale
RSSI au sein de la DSI
8%
8%
1%
Direction sécurité/sureté
Figure 10 : Principaux sponsors de la sécurité informatique par taille d’entreprise
2%
Direction métier
3%
Autre
11. 20 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ?
www.steria.com
www.steria.com
Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques? | 21
Les arbitrages budgétaires restent
r
e
t
en faveur de la sécurité
r
é
PARTIE 3
La sécurité est devenue une priorité pour
les entreprises et les budgets sécurité
restent et devraient rester préservés.
Face aux restrictions budgétaires que
subissent la majorité des activités,
la sécurité reste préservée.
68% des répondants et 74% parmi les
grandes entreprises estiment que leur
budget va croitre fortement ou modérément.
Moins d’un tiers anticipe une baisse (un
quart pour les grandes entreprises).
La sécurité dispose de toujours
plus de moyens
87% des répondants considèrent qu’ils
auront le budget de sécurité adéquat dans
les trois prochaines années. Les Français
sont les plus optimistes (90%) et les
Norvégiens les moins optimistes (80%).
Ces résultats peuvent s’expliquer par
les mesures législatives prises en France
pour augmenter le niveau de protection
des entreprises et des administrations.
Toutefois, ces chiffres encourageants sont
à rapprocher du nombre de cyber attaques
en forte augmentation. La sécurité n’est plus
seulement une option mais une véritable
priorité qui reste difficile à appréhender.
Le RSSI de l’un des grands groupes industriels
britannique résume le casse-tête des RSSI en
matière de budgets:
« Les budgets sont une chose assez drôle,
si nous avons beaucoup d’incidents, nous
l’état de l’art et qu’il n’y a aucun incident,
vos budgets ont tendance à être coupés…
et les choses deviennent plus compliquées,
donc les incidents augmentent et vous
Cette préservation des budgets
s’accompagne d’un contrôle des coûts :
des indicateurs de performance (KPI) sur le
contrôle des coûts ont été mis en place pour
plus de la moitié des entreprises interrogées.
27%
France
69%
26%
4%
Royaume-Uni
54%
11%
en forte hausse
5%
3%
9%
en hausse modérée
30%
Allemagne
56%
35%
11%
en baisse modérée
Norvège
12%
en forte baisse
Figure 11 : Évolution du budget sécurité par pays entre 2012 et 2013
48%
12. 22 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ?
www.steria.com
www.steria.com
Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques? | 23
Les entreprises restent optimistes sur leur
e
e
p
capacité à attirer des talents
e
La question des compétences en sécurité
n’est pas LA priorité des entreprises
européennes qui considèrent avoir la
capacité de mobiliser les ressources
nécessaires pour se protéger.
Dans l’état actuel du marché, la question
de la compétence et du recrutement
reste entière pour de nombreux acteurs
de la sécurité. Ainsi, 29% des personnes
interrogées dans les grandes entreprises
mettent l’accès aux ressources expérimentées
dans le Top 3 des tendances qui influencent
leur stratégie de sécurité. Pour elles, l’accès
aux bonnes ressources est une priorité.
Pour un répondant sur cinq dans les grandes
structures, le manque de ressources
expérimentées fait partie des trois risques
les plus importants les empêchant de
dormir. Ainsi, la question de la compétence
est centrale, mais elle n’est pas considérée
comme LA priorité. Ce point est à considérer
d’autant plus que de nombreux acteurs
institutionnels ou industriels de la sécurité
tendent à souligner la question de la
pénurie de compétences. Ainsi, pour le
porte-parole d’une agence européenne de
sécurité, cette carence de compétences
adaptées doit être le principal facteur qui
influence les stratégies de sécurité : « la
pénurie de compétence est le principal
enjeu pour nous et nos entreprises ».
Rappelons aussi que la perception d’une
rareté de compétences comme risque
est encore plus faible pour les petites
entreprises (moins d’un répondant
sur dix classe ce manque parmi les
trois risques les plus importants).
De plus, les entreprises interrogées restent
optimistes quant à la progression de
leur capacité à mobiliser les experts qui
pourront les protéger. Pour une très grande
proportion d’entre elles (88%), l’optimisme
est donc de mise pour pouvoir recruter
ou trouver à l’extérieur les compétences
adéquates sur les sujets de sécurité.
France
88
90
88
81
63
69
50
51
%
Royaume-Uni
93
81
84
81
71
63
46
47
%
Allemagne
82
93
81
68
74
68
57
46
%
Norvége
88
80
70
75
60
58
43
28
%
L’accès à des compétences adaptées
La croissance des budgets de sécurité
Vos capacités de gestion des attaques complexes
Vos capacités à démontrer un retour sur investissement dans les projets sécurité
La capacité des prestataires à répondre à vos besoins
La prise de conscience des utilisateurs
L’évolution de votre positionnement dans l’organisation
L’adhésion de la direction générale et des métiers
Figure 12 : Niveau d’optimisme des entreprises par pays pour les trois prochaines années
Près de
20%
des grandes entreprises considèrent
la pénurie des compétences comme
un risque majeur
13. 24 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ?
www.steria.com
PARTIE 4
La mise en place des solutions
de sécurité est en pleine
expansion
www.steria.com
Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques? | 25
Les entreprises se sont concentrées
jusqu’à présent sur la gestion
de l’identité et des accès (87%
d’entre-elles), la gestion des terminaux
mobiles (72%), et le chiffrement
(53%). Les vols de données sont au
centre de toutes les préoccupations
et devraient le rester, mais les
entreprises ne sont pas préparées
face à ce qui leur fait le plus peur :
- seulement 42 % d’entre elles
ont mis en place des solutions de
DLP (Data Loss Prevention)
- seulement 18% déclarent qu’elles vont
implémenter de telles solutions dans les
trois prochaines années et cela quelles
que soient la taille des entreprises.
Néanmoins, les entreprises mettent en place
des solutions qui, indirectement, ont un
impact positif sur les vols de données. En
effet, la lutte contre les pertes de données
passe par de nombreuses briques qui sont
au cœur des stratégies actuelles. Aussi,
sans gestion des identités et des accès,
le lien entre les accédants légitimes et les
données ne peut-il être fait. Sans gestion
rigoureuse des flottes de terminaux mobiles,
la dispersion des données ne peut être
évitée. Il en va de même en l’absence de
moyens de chiffrement, notamment au
regard de menaces telles que l’écoute passive
et l’interception de données en transit ou
stockées dans des Datacenters tiers.
Par ailleurs, les décideurs interrogés
savent que le risque Zéro ne sera jamais
nce
atteint, d’autant que la violence des
forcer.
attaques ne cessera de se renforcer.
Les grandes entreprises se concentrent aussi
sur la dimension opérationnelle et temps
réel des solutions de protection. Ainsi, 32%
des grandes entreprises ont mis en place
un SOC (Security Operation Center). Mettre
en place de tels moyens de manière dédiée
nécessite une taille critique pour lisser leurs
coûts. Si l’on considère les organisations
de moins de 5000 personnes, seules 14%
d’entre elles sont dotées d’un tel centre.
En Norvège, où le nombre d’entreprises de
plus de 5000 collaborateurs est très faible,
le nombre de répondants déclarant avoir
mis en place un SOC est deux fois inférieur
à celui du Royaume-Uni (7,5% vs 15%).
En effet, la dimension opérationnelle de la
sécurité et la densité de grandes sociétés
sont élevées Outre-manche. Par ailleurs, en
termes de prospectives, la France affichera
la plus forte croissance de projets de SOC:
14% des répondants français déclarent
avoir un projet de SOC dans les trois années
à venir, loin devant l’Allemagne (5,6%), le
Royaume-Uni (4,1%) et la Norvège (2,5%).
Cette tendance peut s’expliquer par un effort
de rattrapage de la France, face à ses voisins
européens, le Royaume-Uni notamment.
32%
des grandes entreprises
ont mis en place un SOC
14. www.steria.com
21%
14%
Figure 13 : Les solutions de sécurité déjà mise en place (choix multiple)
14%
France
14%
17%
Allemagne
6%
15%
8%
Royaume-Uni
4%
Norvège
2
2,5%
Présence d’un SOC
La mise en place d’un SOC est envisagé
Figure 14 : Mise en place d’un SOC par pays
6%
2%
Aucun
22%
www.steria.com
www.steria.com
Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques? | 27
PARTIE 5
Autres
32%
Service de sécurité en mode as a service
48%
Système de Détection et de Prévention d’Intrusion
Chiffrement des données
Mobile Devise Management (MDM)
Gestion des identités et des accès (IAM)
53%
Système de prévention de fuite de données (DLP)
72%
Mise en place d’un SOC interne ou externalisé
87%
Système de gestion centralisé des éléments de sécurité (SIEM)
26 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ?
3%
La mesure de la performance
doit encore progresser
15. www.steria.com
28 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ?
La mesure des performances
en sécurité n’est pas centrée en
premier lieu sur… la sécurité.
Le premier constat est encourageant:
l’utilisation des indicateurs de performance
(KPI) adoptée par 94% des entreprises
pour la sécurité témoigne d’une
professionnalisation indiscutable de la filière.
Cependant, la sécurité n’échappe pas à
la tendance de fond de rationalisation
des dépenses et d’optimisation des
investissements. Ainsi, les KPI mesurés par
les entreprises pour s’assurer du bon usage
des ressources allouées à la sécurité sont
en ligne avec cette tendance générale : le
contrôle des coûts de la sécurité arrive en tête
des KPI utilisés, avec 53% des répondants.
La tendance, dans l’ensemble, favorable
aux budgets de la sécurité, s’accompagne
néanmoins d’un contrôle des coûts, avec
des KPI associés pour plus de la moitié des
entreprises interrogées. Il est demandé
de prouver l’efficacité des démarches,
notamment au sens de la maîtrise des
coûts. Le message est clair : « investissez,
protégez, mais ne gaspillez pas ».
Mais pour le RSSI d’un distributeur d’énergie
britannique, le contrôle des coûts n’est pas
un bon indicateur de performance en matière
de sécurité :
« Nous ne voyons pas les coûts comme
indicateur de performance de mon point
33%
nous, les KPI devraient concerner le nombre
Ainsi, deux autres KPI fréquemment utilisés
viennent appuyer cette prise de position :
- 39% des entreprises utilisent un
KPI relatif à leur temps de réponse
en cas de crise de sécurité,
- 33% d’entre-elles suivent le temps de
mise en œuvre des correctifs de sécurité.
Mais ils ne sont pas encore assez utilisés
pour une mesure de performance
totalement adaptée au sujet.
Il y a là des pistes de progression certaines.
27%
16%
2%
Maîtrise
des coûts
de sécurité
Délai de réponse
en cas de crise
majeure
Délai de traitement
des correctifs pour
les vulnérabilités
critiques
www.steria.com
Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques? | 29
PARTIE 6
vous êtes mieux protégé; mais cela pourrait
montrer que vous gérez mal vos dépenses
53%
39%
www.steria.com
Satisaction des
clients internes
Prise en compte
de la sécurité
dans les projets
Figure 15 : Indicateurs de performance de la sécurité déjà mis en place
Autre
L’externalisation devient
une alternative
16. 30 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ?
www.steria.com
L’externalisation gagne des adeptes,
e
e
même si aucun modèle ne s’impose à ce jour
o
o
Viennent ensuite l’amélioration de la
détection des attaques (en deuxième
position dans les grandes entreprises (33%),
en troisième position dans l’ensemble des
entreprises (30%)) et la rationalisation de
l’organisation en deuxième position, toutes
tailles d’entreprises confondues (33%).
La réduction des coûts
La rationalisation de votre organisation
Les entreprises européennes voient de
multiples raisons pour ne pas externaliser
(côté critique de la sécurité, priorité aux
ressources internes, indisponibilité d’offres
adéquates, etc.). Seulement une grande
entreprise sur cinq ne voit aucune raison de
s’abstenir à externaliser. Mais en définitive,
les entreprises européennes sont prêtes
à l’externalisation, au moins en partie,
pour des raisons de maitrise des coûts et
d’amélioration du traitement des attaques:
plus de deux-tiers des entreprises considèrent
qu’elles externaliseront une partie de
leur activité de sécurité dans le futur.
L’écart sur cet argument est relativement
significatif entre le pays le plus sensible
(la Norvège à 40%) et le moins
sensible (l’Allemagne à 26%).
La disponibilité des ressources expérimentées
est la troisième raison pour les grandes
entreprises, qui, comme évoqué plus
haut, sont plus concernées par la
pénurie de ressources compétentes.
Cette perspective reste à pondérer par un
principe sous-jacent de prudence. Parmi
les activités les plus citées figurent les
activités « non core » : audits et tests
d’intrusion « Le seul élément que nous
ne pourrions pas internaliser, ce sont les
tests d’intrusion – c’est très spécialisé »,
explique le RSSI d’une société du secteur de
l’énergie ainsi que la gestion des risques.
L’amélioration de la qualité de service
arrive en quatrième position avec 29% des
répondants, 19% seulement en France.
L’amélioration de la capacité à détecter les attaques
La hausse de la qualité de service
Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques? | 31
Perspectives
Contrôler voire réduire les coûts tout en améliorant la qualité de service, avec des
ressources adaptées: tel n’est-il pas l’objectif de l’externalisation ? L’écosystème de
la sécurité est-il prêt?
Le principal intérêt de l’externalisation
vu par les décideurs interrogés reste très
focalisé sur la diminution des coûts: 49% des
entreprises placent la réduction des coûts
dans le Top 3 des raisons d’externaliser.
Ce constat est particulièrement vrai en
France (62%), où l’externalisation est
résolument perçue sous cet angle. Cela
l’est beaucoup moins en Norvège (33%).
www.steria.com
L’accès à de meilleurs compétences
La réduction des investissements mobilisés (CAPEX)
62%
48%
47%
33%
36%
33%
26%
40%
24%
26%
38%
33%
19%
34%
31%
35%
22%
18%
26%
7%
14%
5%
3%
4%
4%
3%
13%
11%
8%
France
Royaume-Uni
Allemagne
En matière de SOC, plus de 20% des
entreprises interrogées (près de 50% pour
les structures de plus de 5000 collaborateurs)
ont déjà un SOC ou prévoient d’en avoir
un. Parmi elles, près d’un tiers l’ont ou le
prévoient dans leurs locaux et un peu plus de
5% sont prêtes à le partager avec d’autres
entreprises. Une grande entreprise sur
quatre a déjà ou aura un SOC externalisé.
18%
5%
Autre
Aucun
Figure 16 : Les arguments en faveur de l’externalisation, par pays (choix multiple)
Norvège
Plus de
2/3
!
des entreprises prévoient de
recourir à l’externalisation
dans les 3 ans à venir
En moyenne, 42% des répondants ont
déjà choisi ou choisiront un partenaire
« régional » pour les accompagner dans
l’externalisation de leur sécurité. Si l’on
considère les grandes entreprises, elles
privilégient quant à elles un acteur «global»
pour l’externalisation de leur sécurité (47%).
Cette différence peut s’expliquer par le
côté lui-même global de ces acteurs, par
leur maturité face à l’externalisation et la
dimension internationale de leurs partenaires
pour l’externalisation d’autres activités.
Quant aux acteurs publics, près de la moitié
(47%) sont accompagnés ou prévoient de
l’être par des acteurs régionaux, comme
l’explique le responsable informatique
d’une administration norvégienne :
« les collaborateurs doivent travailler
de la Norvège (offshore/nearshore sont
exclus). Cela signifie que nous travaillons
pour le moment exclusivement avec des
acteurs régionaux (Scandinaves)».
En toute logique, les PME de moins de 1000
personnes se portent principalement vers
des acteurs locaux (46%) comme l’indique le
porte-parole d’une agence de cyber sécurité
européenne: «Les PME veulent un partenaire
qu’elles peuvent approcher facilement et où
les helpdesks parlent leur langue; et ils sont
plus enclins à travailler avec leur acteur local
plutôt que de s’engager avec une grande
structure impersonnelle, avec laquelle ils ne
sauront même pas comment s’engager !».
17. www.steria.com
32 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ?
Les modes d’achat : La sécurité
« as a service » ne s’impose pas
encore comme alternative crédible
mais est envisagée pour le futur
La sécurité « as a service » n’a pas encore
atteint une maturité de marché. Moins
de 10% des entreprises achètent déjà ou
prévoient d’acheter en 2014, la sécurité « as
a service ». En revanche, les entreprises de
toutes tailles y sont ouvertes pour le futur.
La moitié des entreprises l’ont déjà fait ou
prévoient de le faire plus tard (+ de 40%).
Cette tendance générale est illustrée
par le responsable informatique d’une
administration norvégienne : « Nous
ne fonctionnons pas sur une base de
sécurité «as a service» pour le moment,
Nationaux
Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques? | 33
Face à la sensibilité des activités de sécurité,
t
les industriels sont invités à réviser leur copie
t
n
s
r
p
mais nous pouvons considérer certains
domaines (plus particulièrement les moins
critiques) où elle pourrait être utile, par
exemple pour combler des écarts de
compétence quand cela apparait. Mon
besoin le plus criant : un meilleur contrôle
et des assurances plus robustes.»
Si 33% des grandes entreprises s’appuieront
essentiellement sur des prestataires
externes et 14% pensent rapprocher
leurs activités de sécurité avec d’autres
acteurs de leur secteur, 53% d’entre elles
estiment que d’ici cinq ans, elles gèreront
essentiellement leur sécurité en interne.
Les entreprises européennes
devraient faire plus appel dans le
futur à des prestataires externes.
Plus d’une entreprise sur quatre (une sur trois
parmi les grandes entreprises) déclare que
d’ici cinq ans, la sécurité sera principalement
traitée par des prestataires externes et
15% considèrent qu’ils la partageront
avec d’autres entreprises de leur secteur.
Toutefois, pour plus de 60% des sociétés,
la sécurité restera principalement opérée
en interne dans les cinq ans à venir.
Régionaux
www.steria.com
Le principal frein évoqué, loin devant les
autres, est le côté critique de la sécurité:
46% de l’ensemble des entreprises
place cette contrainte dans le Top 3
des freins à l’externalisation, et plus
particulièrement les grandes entreprises
(64%). Ce taux est particulièrement élevé
en France (60%) et faible en Norvège
(20%) ainsi qu’en Allemagne (28%).
La deuxième raison évoquée est la priorité
donnée aux ressources internes (une
entreprise sur quatre, quelle que soit la
taille, positionne cette raison parmi les
trois plus importantes, et même une
entreprise sur trois en Norvège).
Un trop grand nombre d’entreprises ne
trouvent pas encore d’offres d’externalisation
adaptées à leurs besoins. Ainsi, en
moyenne, une entreprise interrogée sur
cinq (une sur quatre pour les grandes
entreprises) mentionne l’indisponibilité
de solutions adaptées parmi les trois
raisons les plus importantes de ne
pas externaliser. Cette raison est la
deuxième invoquée en Norvège (28%).
Globaux
60%
19%
19%
24%
23%
22%
25%
27%
21%
25%
21%
17%
22%
21%
20%
11%
10%
10%
1%
7%
10%
4%
4%
4%
19%
29%
19%
France
23%
27%
21%
9%
33%
29%
4%
35%
18%
10%
47%
36%
10%
46%
28%
12%
46%
37%
Royaume-Uni
Allemagne
Norvège
La sécurité est trop critique pour être externalisée
Les nécessaires ressources en internes sont présentes
La direction privilégie les recours à des ressources internes
Entre 500 et 1000 salariés
Entre 1000 et 5000 salariés
Manque d’offres appropriées
La protection ne sera pas meilleure
Manque de connaissance des offres de marché
Plus de 5000 salariés
Figure 17 : Type d’acteurs privilégiés en termes de prestataires de sécurité, par taille d’entreprise
Figure 18 : Les freins à l’externalisation par pays
Pas de retour sur investissement démontré
Autre
Aucun
18. 34 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ?
PARTIE 7
La sécurité en question : les
entreprises sont-elles mieux
protégées ?
www.steria.com
www.steria.com
Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques? | 35
L’étude souligne des disparités intéressantes
au sujet de la sécurité en 24/7. Ainsi,
l’Allemagne fait figure de meilleur élève
avec 35% d’entreprises déjà protégées
en 24/7 (contre une moyenne de 27%
tous pays confondus), tandis que la
Norvège fait plus pâle figure avec 20%
d’entreprises protégées en 24/7.
Les entreprises européennes affichent une
confiance particulièrement élevée sur leur
capacité à supporter une crise majeure de
sécurité, alors même qu’elles n’ont pas pris
les mesures ad hoc les plus élémentaires
pour les traiter lorsqu’elles surviennent.
91% des entreprises interrogées estiment
pouvoir supporter une crise majeure de
sécurité, avec une homogénéité élevée entre
toutes les tailles d’entreprises, alors que
seulement un quart d’entre elles ont mis
en place une gestion opérationnelle de leur
sécurité en 24/7. Moins de 40% d’entre elles
envisagent la mettre en place dans les deux
ans à venir. Rappelons qu’à date, seules
14% des entreprises interrogées bénéficient
d’un SOC. Or, le SOC et les activités de
sécurité associées (contrôle, gestion de crise,
surveillance, etc.) restent indispensables
pour répondre à une crise majeure.
Au regard de la nature des risques
très concrets et opérationnels qui
retiennent l’attention des entreprises,
le manque de capacités de sécurité
permanentes semble patent.
90%
25%
14%
des entreprises se disent
capables de faire face à une
crise majeure de sécurité
disposent de capacités
opérationnelles en 24/7
sont équipées en SOC
19. 36 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ?
www.steria.com
www.steria.com
www.steria.com
Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques? | 37
Les entreprises assurent peu leurs risques
e
s
de cyber sécurité
Les politiques de cyber assurance
ne sont pas envisagées par les
deux-tiers des répondants.
Seulement 15% des entreprises estiment
avoir une assurance couvrant leurs cyber
risques (30% parmi les grandes) et 63% des
entreprises ne l’envisagent pas à un horizon
de deux ans (50% parmi les grandes).
Les deux-tiers des répondants n’envisagent
pas ces solutions. La maturité du
marché n’étant pas démontrée, il faudra
probablement plusieurs années pour que
ces offres passent le cap de l’émergence.
C’est aussi un appel à la structuration
et à l’homogénéisation des services et
l’amélioration des performances en
sécurité. Le marché de l’assurance
des cyber risques reste à créer.
L’assurance des cyber risques n’a pas encore
séduit largement, rejoignant le constat
précédent d’une confiance sans doute
excessive des entreprises par rapport aux
crises qu’elles pourraient connaître.
15%
63%
22%
Oui
Non et ce n’est pas prévu
Non, mais c’est prévu dans les deux ans à venir
Figure 19 : Part des entreprises ayant un contrat d’assurance couvrant les cyber risques
CONCLUSIONS ET
RECOMMANDATIONS
20. 38 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ?
Pour pouvoir saisir toutes les opportunités
business de l’univers digital sous toutes
ses formes, il est fondamental d’être
correctement armé contre les cyber risques.
Le risque zéro n’existe pas, mais les
entreprises européennes doivent mettre
en œuvre des capacités de prévention,
détection, protection et réaction en
adéquation avec la réalité des menaces.
Or, face à la sophistication croissante des
attaques, les entreprises européennes
sont encore trop centrées sur les menaces
internes, peu inquiétées par les nouveaux
types d’attaques externes et n’ont pas
encore mis en place les moyens les
plus élémentaires, par exemple pour
gérer des crises majeures 24/7.
Dans ce contexte, il y a néanmoins
des points positifs :
Tout d’abord, les arbitrages budgétaires
se font en faveur de la sécurité, avec
des budgets qui, en la matière, sont
et devraient rester préservés.
En second lieu, le fait que la sécurité est
aujourd’hui positionnée à haut niveau
dans les entreprises favorise la mise
en œuvre de stratégies ambitieuses
répondant aux enjeux business.
S’il reste clairement un effort à faire de
la part des industriels de la sécurité pour
adapter leurs offres d’externalisation aux
besoins de leurs clients et les faire mieux
connaître, l’amélioration de la détection des
attaques arrive déjà comme deuxième raison
d’externaliser chez les grandes entreprises,
juste derrière la réduction des coûts.
La prise de conscience s’accélère… Et la voie
de la mutualisation s’ouvre de plus en plus.
Les deux tiers des entreprises prévoient de
recourir à l’externalisation dans le futur et
plus d’un quart d’entre-elles estiment que
la sécurité sera principalement traitée par
des partenaires externes d’ici cinq ans.
Les motivations restent encore
principalement ciblées sur la maitrise des
coûts, critère principal d’évaluation de la
performance de la sécurité à ce jour.
Il revient aujourd’hui aux industriels
de la sécurité de démontrer l’efficacité
de leurs capacités de prévention, de
détection des attaques et de réaction
pour convaincre les décisionnaires de
la sécurité en Europe des intérêts de la
fédération des moyens de protection.
www.steria.com
www.steria.com
Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques? | 39
Cette conclusion nous amène à quelques
recommandations pour la défense des
intérêts des entreprises dans le cyber
espace. Elle invite notamment à :
- une plus grande coopération en Europe
entre les industriels de la sécurité
et l’ensemble des parties prenantes
pour la création de capacités globales
et fédérées accroissant la force de
frappe des acteurs européens ;
- l’amélioration de la mesure de la
performance en matière de sécurité
en la centrant en premier lieu sur… la
sécurité elle-même (nombres d’attaques
détectées, résolues, temps de réponse,
etc.). Aujourd’hui, bien que les budgets
sécurité soient préservés, le principal
KPI est le contrôle des coûts, alors
même que dépenser plus peut signifier
que vous êtes mieux protégés ;
- une gestion opérationnelle de la
sécurité 24/7 plus systématique ;
- une évolution des offres de services
des industriels pour répondre avec
plus d’ambition au double enjeu de
performance économique et d’efficacité
sécuritaire qu’attendent les entreprises.
Certains industriels ont déjà fortement investi
pour développer des capacités de cyber
sécurité de premier ordre et proposer aux
entreprises d’en partager les résultats. La
coopération entre entreprises et industriels
européens repose sur trois axes :
- un meilleur accompagnement des
entreprises dans la compréhension des
enjeux de sécurité, le diagnostic et la
définition de la gouvernance et des
moyens ajustés aux priorités d’efficacité
et de retour sur investissement ;
- une plus grande maturité des modèles
de mise en œuvre de la sécurité, pour
accélérer sa démocratisation tout en
nivelant les pratiques par le haut ;
- le développement de partenariats
technologiques innovants dans l’espace
européen pour mieux détecter les attaques
les plus avancées (telles les APT) et
pour réagir dans les plus brefs délais.
Ainsi, les entreprises européennes pourront
saisir les multiples opportunités permises
par le digital sous toutes ses formes
tout en maîtrisant les cyber risques.
Elles pourront alors afficher leur confiance
sans pécher par excès d’optimisme.
21. 40 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ?
www.steria.com
A propos de PAC
De la stratégie à l’exécution, PAC apporte des réponses objectives et ciblées aux défis posés par l’essor du
secteur des Technologies de l’Information et de la Communication (TIC).
Fondée en 1976, PAC est une société de conseil et d’études de marché spécialisée dans le domaine du logiciel
et des services informatiques.
PAC aide les fournisseurs de services informatiques à optimiser leur stratégie à travers des analyses quantitatives
et qualitatives ainsi que des prestations de conseil opérationnel et stratégique.
Nous conseillons les DSI et les investisseurs dans l’évaluation des fournisseurs TIC et dans leurs projets
d’investissements. Les organisations et les institutions publiques se réfèrent également à nos études pour
développer leurs politiques informatiques.
Plus d’informations sur www.pac-online.fr
www.steria.com
Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques? | 41
A propos de Steria
Steria délivre des services qui s’appuient sur les nouvelles technologies et qui permettent
aux administrations et aux entreprises d’améliorer leur efficacité et leur rentabilité. Grâce
à une excellente connaissance des activités de ses clients et son expertise des technologies
de l’information et de l’externalisation des processus métiers de l’entreprise, Steria fait siens
les défis de ses clients et les aide à développer des solutions innovantes pour y faire face. De
par son approche collaborative du conseil, Steria travaille avec ses clients pour transformer
leur organisation et leur permettre de se focaliser sur ce qu’ils font le mieux. Les 20 000
collaborateurs de Steria, répartis dans 16 pays, prennent en charge les systèmes, les services
et les processus qui facilitent la vie quotidienne de millions de personnes chaque jour.
Depuis plus de 20 ans, Steria est le partenaire de confiance dans le domaine
de la sécurité et accompagne les organisations publiques et privées dans la
protection de leurs infrastructures, leurs applications et leurs données. Fort de 700
experts en Europe, Steria maîtrise de bout-en-bout le cycle de vie de la sécurité,
de l’élaboration d’une stratégie de sécurité jusqu’aux opérations quotidiennes.
Sa force de conseil de premier ordre permet d’augmenter l’efficacité et le retour sur
investissement des politiques de sécurité de ses clients. Grâce à son Centre de Cyber
sécurité avancé, Steria est à même de prévenir et détecter les attaques les plus
sophistiquées (comme les Advanced Persistent Threats - APT), et de réagir dans les
plus brefs délais. Steria propose également à ses clients des solutions de confiance
numérique alignées sur leurs besoins et processus métiers : gestion des identités et des
accès, protection contre les fuites de données, sécurité dédiée au cloud et à la mobilité…
Créé en 1969, Steria est présent en Europe, en Inde, en Afrique du Nord et en
Asie du Sud-Est. Le Groupe a réalisé un chiffre d’affaires de 1,83 milliard d’euros
en 2012. Son capital est détenu à hauteur de 20 %(*) par ses collaborateurs.
Steria, dont le siège social est basé à Paris, est coté sur Euronext Paris.
(
22. 42 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ?
www.steria.com
www.steria.com
Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques? | 43