CYBER-ATTAQUE : OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Le livre blanc de l’enquête 2015 réalisée par PROVADYS en collaboration avec le CESIN.
L'enquête est aussi téléchargeable sur notre site www.provadys.com
2. Sommaire
Quelques mots sur
Quelques mots sur
Editoriaux. . . . . . . .
Méthodologie / P
Présentation de l’é
Présentation de la
Structure et thémati
Synthèse de l’échan
Dans quel secteur d
A l’exception de la lo
règlements votre en
A l’exception des do
des données sensibl
de santé ou relevant
Chapitre 1 - Prépa
Introduction . . . . . .
Des entreprises co
Votre entreprise a-t-e
cyber-attaque ? . . . .
Quel intérêt représe
Selon vous, quel typ
Comprendre et car
Votre entreprise disp
des menaces de type
Organisez-vous des t
Se préparer à la ge
Avez-vous déjà réalisé
Externalisation et
Evaluez-vous le nive
6. 6 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Quelques mots
sur le CESIN
Le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) est une
association loi 1901,créée en juillet 2012,avec des objectifs de professionnalisation,de
promotion et de partage autour de la sécurité de l’information et du numérique. C’est
un lieu d’échange de connaissances et d’expériences qui permet la coopération entre
experts de la sécurité de l’information et du numérique et les pouvoirs publics.Le Club
conduit des ateliers et groupes de travail, mène des actions de sensibilisation et de
conseil, organise des congrès, colloques, ou conférences. Il participe à des démarches
nationales dont l’objet est la promotion de la sécurité de l’information et du numérique.
Il est force de proposition sur des textes règlementaires,guides et autres référentiels.
Gestion des risques
& Sécurité
de l’information
Spécialiste des technologies de l’information, Provadys accompagne les organisations dans
leurs grands projets de transformation. Pour appréhender au mieux les défis de la gestion des
risques liés aux SI, Provadys tire profit de son ancrage multisectoriel. L’approche globale que
nous mettons en place combine notre expertise en matière de gouvernance et transformation
des SI de gestion globale des risques au bénéfice d’une approche spécifique des risques IT.
Ainsi, l’expertise Provadys Information Security, se déploie en trois axes, la sécurité des SI,
la conformité mais aussi la résilience et la continuité d’activité.
E
Information
Security
Pour une sécurité optimale
7. EPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 7
Numérique) est une
essionnalisation,de
du numérique. C’est
a coopération entre
oirs publics.Le Club
ensibilisation et de
pe à des démarches
on et du numérique.
utres référentiels.
es organisations dans
défis de la gestion des
approche globale que
nce et transformation
ifique des risques IT.
es, la sécurité des SI,
Edito
Luc Delpha
Partner & Lead Provadys
Information Security
Dans nos systèmes d’information de plus
en plus complexes, les pannes, défaillances
matérielles ou logicielles sont devenues
tellement incontournables que toutes les
entreprises se sont préparées à y faire face.
Elles ont donc admis qu’elles devaient être
capables de continuer à fonctionner en
dépit de l’occurrence de ces évènements.
Elles ont également mis en œuvre des
moyens permettant d’atteindre, au moins
partiellement, cet objectif.
De la même manière, les entreprises sont
confrontées au caractère quasi-inévitable
des attaques contre leurs systèmes
d’information. Cette seconde étude menée
par Provadys dans le cadre du CESIN permet
de mesurer le chemin parcouru depuis
2013. Si les entreprises ont aujourd’hui
globalement pris la mesure du phénomène,
notre étude démontre qu’elles sont encore
insuffisamment préparées et outillées pour
faire face à des cyber-attaques de plus en
plus sophistiquées.
Alain Bouillé
Président du CESIN
Cette seconde édition de l’enquête montre
un certain progrès dans la majorité des
entreprises. Ces progrès se traduisent par
un renforcement des capacités de détection
avec des process, des outils sans oublier les
hommes qui commencent à faire leur preuve
dans la capacité de l’entreprise à savoir
qu’elle est attaquée.
Si les entreprises ont, au fil des ans,
appréhendé les différents risques systémiques
qui peuvent s’abattre sur elles au travers de
leurs plans de continuité d’entreprise ; il reste
encore beaucoup de chemin à parcourir pour
intégrer le risque cyber dans les process de
gestion de crise de l’entreprise.
Nos démarches de sensibilisation doivent
être repensées ; malgré tous les efforts déjà
déployés. Car de toute évidence, l’utilisateur
connaîtra de plus en plus de difficultés à
distinguer une sollicitation légitime d’une
malveillante, tant certaines attaques sont
minutieusement planifiées et ciblées.
Egalement, les outils de protection vont
nécessiter de gagner encore en efficacité
pour protéger les entrées au SI de l’entreprise,
qui vont par ailleurs se démultiplier avec
l’ultra-mobilité en marche.
Une étude réalisée dans le cadre d’un partenariat entre Provadys et le CESIN
8. 8 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Méthodologie
Profil des répondants
Synthèse de l
119 RSSI et managers o
et 62% sont des entrep
moins de 50 collaborat
Prése
de la
de l’é
Pré
deL’objectif de cette
est de mettre en l
pour se préparer
mieux comprend
cyber-attaques. C
vise aujourd’hui
9. REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 9
ie
nts
Structure
et thématique
Provadys, en partenariat avec le Cesin, a
réalisé une enquête auprès de Responsables
de la Sécurité des Systèmes d’Information,
mais aussi de Directeurs Techniques et de
Directeurs Généraux d’organisation françaises
et internationales. Un questionnaire en ligne
a ainsi été mis à disposition.Comme en 2013,
celui-ci comportait cinquante questions
abordant cinq thématiques : la préparation,
la détection, la réaction, la récupération
ainsi que la sensibilisation en matière de
cybercriminalité.
Synthèse de l’échantillon
119 RSSI et managers ont participé à l’étude,soit deux fois plus qu’en 2013.Parmi les organisations représentées,27% comptent moins de 250 salariés
et 62% sont des entreprises de très grande taille (plus de 1000 salariés). Par conséquent, même si 11% des répondants sont issus d’organisations de
moins de 50 collaborateurs, notre enquête reflète majoritairement la situation des grandes entreprises.
Présentation
de la méthodologie
de l’étude
Présentation
de l’étudeL’objectif de cette seconde étude réalisée conjointement par le Cesin et Provadys
est de mettre en lumière les actions mises en œuvre par les entreprises françaises
pour se préparer, détecter et faire face à une cyber-attaque. Il s’agit ainsi de
mieux comprendre la situation des organisations en matière de résilience aux
cyber-attaques. Cet enjeu est d’autant plus fondamental que la cybercriminalité
vise aujourd’hui autant les États, les grands groupes, que les PME.
10. 10 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Dans quel secteur d’activité
votre entreprise se situe-t-elle ?
Le panel d’organisations ayant participé à notre
enquête est équilibré avec 13% de réponses
émanant du secteur public, 17% de l’industrie,
20% du secteur Banque/Assurance et 13% de
celui des services aux entreprises.
1 Administration (public) : 13%
2 Association : 5%
3 Assurance : 12%
4 Autres : 6%
5 Banque : 8%
6 Energie : 5%
7 Industrie : 17%
8 Transport : 3%
9 Santé, média, télécoms : 16%
10 Services aux entreprises : 13%
11 Grande distribution : 3%
1
2
3
4
5
6
7
8
9
10
11
À l’exception de
à quels normes
entreprise est-e
La moitié (50%) des or
au secret professionne
enquête de 2013, la
réglementation applica
ARJEL
BALE2/BALE3
SOX
AUTRES
2% 4% 8%8%
11. REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 11
ur d’activité
se situe-t-elle ?
ayant participé à notre
vec 13% de réponses
blic, 17% de l’industrie,
/Assurance et 13% de
treprises.
blic) : 13%
oms : 16%
prises : 13%
n : 3%
À l’exception de la loi informatique et libertés,
à quels normes / lois / règlements votre
entreprise est-elle soumise ?
La moitié (50%) des organisations interrogées ont déclaré être soumises
au secret professionnel ou médical. Pour 19%, contre 22% dans notre
enquête de 2013, la Loi informatique et libertés constitue la seule
réglementation applicable dans leur contexte.
À l’exception des données à caractère
personnel, votre entreprise manipule-
t-elle des données sensibles telles que des
données classifiées, de cartes de paiement,
de santé ou relevant du secret industriel ?
39% des répondants indiquent que leur organisation manipule
des données de santé alors que 15% ont déclaré relever du secret
médical. De même, 28% manipulent des données de carte
de paiement quand 15% se disent soumises aux normes PCI
DSS. Ces écarts montrent que les entreprises n’ont pas toujours
conscience des conséquences réglementaires de leurs activités.
DONNÉESCLASSIFIÉES
(DÉFENSE)
DONNÉESDECARTES
DEPAIEMENT
SECRETSINDUSTRIELS
DONNÉESDESANTÉ
ARJEL
BALE2/BALE3
SOX
AUTRES
LSF
SOLVENCY
ACP
SECRETDEFENSE
PCIDSS
SECRETMEDICAL
RGS
SECRETPROFESSIONNEL
AUCUN
2% 4% 11% 15%8% 13% 34%8% 12% 21%11% 15% 19% 16% 28% 39%29%
12. 12 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Chapitre 1
Préparation
Des
entrep
consc
de leu
expos
aux cy
attaqu
13. CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 13REPRISES FRANÇAISES ?
IntroductionLes entreprises sondées dans le cadre de notre étude ont globalement conscience de
leur niveau d’exposition aux cyber-attaques. La majorité d’entre elles en ont d’ailleurs
déjà été victimes. Depuis 2013, les entreprises se préparent davantage à faire face à
cette menace et sont plus nombreuses à investir dans leur cybersécurité. Cela passe
par l’intégration de ces scénarios spécifiques dans leur dispositif de gestion de crise ou
par la réalisation de tests de pénétration et d’intrusion sur leurs sites les plus sensibles.
Les entreprises peuvent néanmoins gagner en maturité en prenant mieux en compte
les risques liés à leurs activités externalisées et en se préparant à une interruption
d’activité consécutive à une cyber-attaque.
Votre entreprise a-t-elle déjà été affectée
par une ou plusieurs crises de type cyber-attaque ?
En 2013, 52% des organisations interrogées avaient déjà été touchées par au
moins une cyber-attaque. Elles sont aujourd’hui 57%, dans un contexte de
multiplication et d’industrialisation des attaques.Cette réalité est probablement
encore sous-estimée.
Des
entreprises
conscientes
de leur
exposition
aux cyber-
attaques
1
2
3
4
1 Ne sait pas : 11%
2 Oui, antérieures aux
douze derniers mois : 18%
3 Oui, dans les douze
derniers mois : 39%
4 Non : 32%
14. 14 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Selon vous, quel type de cible votre entreprise est-elle ?
La moitié (50%) des organisations interrogées ont déclaré être soumises au secret professionnel
ou médical. Pour 19%, contre 22% dans notre enquête de 2013, la Loi informatique et libertés
constitue la seule réglementation applicable dans leur contexte.
Votre entrep
de moyens s
à la prise en
de type attaq
Conscientes des
l’information, 74
disposent de moy
attaques, contre
une plus grande s
78% des organi
des analyses d
d’information, m
risque de cyber-a
Plus globalement
les scénarios de ty
les toucher.
Quel intérêt représentez-vous pour un attaquant ?
Parmi les organisations s’estimant ciblées, le vol de données serait la principale motivation des
cyber-assaillants. Cette menace fait peser un risque d’autant plus lourd sur les entreprises que la
règlementation européenne s’oriente vers de nouvelles obligations en matière de protection des
données à caractère personnel. Des obligations de notification des autorités et d’information
des clients concernés seront en particulier introduites pour toutes les entreprises.
1 Oui, chaque mois
2 Oui, chaque trime
3 Non : 24%
4 Oui, tous les ans :
5 Oui, tous les deux
1 Ciblée : 39%
2 Ni l’un, ni l’autre : 18%
3 Opportuniste : 43%
3
1
2
Comprendre
et caractériser
la menace
VOLDEDONNÉES
FRAUDE
CHANTAGE
ESPIONNAGE
REVENDICATION
AUTRE
72% 61% 11%36%52% 31%
15. REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 15
Votre entreprise dispose-t-elle
de moyens spécifiques ou dédiés
à la prise en compte des menaces
de type attaques informatiques ?
Conscientes des enjeux liés à la sécurité de
l’information, 74% des organisations interrogées
disposent de moyens de prise en compte des cyber-
attaques, contre 63% en 2013, ce qui démontre
une plus grande sensibilisation à ce sujet.
78% des organisations interrogées conduisent
des analyses de risques sur leurs systèmes
d’information, mais seules 33% y intègrent le
risque de cyber-attaque.
Plus globalement, 61% d’entre elles ont identifié
les scénarios de type cyber-attaque susceptibles de
les toucher.
Organisez-vous des tests
d’intrusion sur vos sites
les plus sensibles ?
Se préparer à faire face à une cyber-attaque
passe entre autres par l’identification des
faiblesses de son SI ; les sites internet sont
des cibles qui exposent les entreprises et qui
peuvent se révéler être des portes d’entrée
dans leur SI. 76% des organisations déclarent
ainsi procéder à des tests d’intrusion sur
leurs sites les plus sensibles, contre 96% en
2013. Cet écart s’explique notamment par
une plus forte représentation des PME dans
cette étude puisque 59% des entreprises de
moins de 250 salariés n’ont jamais pratiqué de
test d’intrusion. A l’inverse, 95% des groupes
de plus de 5000 collaborateurs en réalisent
régulièrement.
1 Oui, chaque mois : 9%
2 Oui, chaque trimestre : 8%
3 Non : 24%
4 Oui, tous les ans : 42%
5 Oui, tous les deux ans : 16%
1
2
34
5
1 Oui, dans des procédures : 12%
2 Non : 41%
3 Ne sait pas : 7%
4 Oui, mais sans
documentation : 7%
5 Oui, dans une analyse
de risques : 33%dre
ériser
e
1
2
3
4
5
16. 16 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Evaluez-vous le
sécurité de vos
L’externalisation de tou
d’information est de
Qu’il s’agisse de Tierce M
de recours au cloud
encore d’infogérance,
font aujourd’hui appe
service. Cette externa
nécessairement de tran
sous-traitant.
Notre Livre Blanc sur
ainsi que seules 41% d
de clauses de transfe
matière de sécurité
responsabilités régleme
à leurs fournisseurs. S
contrats contiennent d
le risque d’attaque inf
compte que dans 57%
sont cependant plus n
niveau de sécurité de
contre 49% en 2013.
1
Externalisation et sécurité, où
françaises ? Provadys en collab
Avez-vous déjà réalisé un exercice
de crise comprenant un scénario de cyber-attaque ?
Toutefois,si les entreprises sont globalement conscientes du niveau de la menace,71% ne
se sont jamais préparées à se confronter à une crise de type cyber-attaque dans le cadre
d’un exercice de crise. 21% ont déclaré avoir réalisé un exercice de crise comprenant un
scénario de cyber-attaque. Pour rappel, 39% des répondants ont indiqué avoir subi une
cyber-attaque dans les douze derniers mois.
Les entreprises qui n’ont jamais été en position de s’exercer à réagir aux cyber-attaques
risquent de se trouver démunies lorsqu’elle seront confrontées de manière réelle à cette
situation.
Exter
et cy
1 Oui, l’année dernière : 21%
2 Oui, il y a deux ans : 6%
3 Oui, il y a trois ans : 3%
4 Non : 71%
1
2
3
4
Se préparer
à la gestion
d’une
cyber-crise
17. REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 17
Evaluez-vous le niveau de
sécurité de vos prestataires ?
L’externalisation de tout ou partie du système
d’information est devenue incontournable.
Qu’il s’agisse de Tierce Maintenance Applicative,
de recours au cloud en SaaS, IaaS, PaaS ou
encore d’infogérance, 82% des entreprises
font aujourd’hui appel à des fournisseurs de
service. Cette externalisation n’implique pas
nécessairement de transférer les risques vers le
sous-traitant.
Notre Livre Blanc sur l’externalisation1
montre
ainsi que seules 41% des entreprises disposent
de clauses de transfert de responsabilité en
matière de sécurité et 39% transfèrent les
responsabilités réglementaires et de conformité
à leurs fournisseurs. Si la plupart– 89% - des
contrats contiennent des exigences de sécurité,
le risque d’attaque informatique n’est pris en
compte que dans 57% des cas. Les entreprises
sont cependant plus nombreuses à évaluer le
niveau de sécurité de leurs prestataires– 55%
contre 49% en 2013.
1
Externalisation et sécurité, où en sont les entreprises
françaises ? Provadys en collaboration avec le CESIN (2014)
ue ?
la menace,71% ne
aque dans le cadre
se comprenant un
qué avoir subi une
aux cyber-attaques
nière réelle à cette
Externalisation
et cybercriminalité
2
3
1 Non : 36%
2 Ne sait pas : 8%
3 Oui : 54%
1
2
3
18. 18 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
La politique de
de votre entrep
le risque de cyb
Les cyber-crises récent
d’une cyber-attaque é
cybercriminalité est d
la continuité des opé
organisations de notre
continuité d’activité ga
de choc extrême. 41%
leurs activités critiques
Cartographier son SI
pour mieux le protéger
Lutter contre les attaques visant son système d’information implique de bien maîtriser son architecture. Cela ne concerne
que les 68% d’entreprises qui indiquent disposer d’une cartographie de leur système d’information. Parmi celles-ci, 80% sont
également en mesure d’identifier ses composants internes les plus sensibles et 54% leurs fournisseurs de services sensibles
de façon à pouvoir les protéger efficacement.
1 Non : 48%
2 Ne sait pas : 11%
3 Oui : 41%
1 Non : 18%
2 Oui : 82%
1
2
3
Gouvernance
en matière
de sécurité
de l’information
et continuité
d’activité
Votre entreprise dispose-t-elle
d’une Politique de Sécurité de l’Information (PSSI) ?
Si dans l’ensemble, 82% des organisations disposent d’une Politique de Sécurité des
Systèmes d’Information (PSSI), seules 59% des PME de moins de 250 salariés en ont mis
une en place.Il reste donc au niveau de ces PME un travail important à faire pour définir le
cadre de référence dans lequel la Sécurité du Système d’Information doit être envisagée.
La PSSI est la garantie d’un engagement de la Direction en faveur de la sécurité de
l’information et de l’existence de moyens humains et financiers permettant de parer au
risque d’incident en général,et de cyber-attaques en particulier.Ce document démontre
un niveau de maturité de l’entreprise en matière de sécurité de l’information et d’une
véritable prise de conscience par l’ensemble des enjeux par la Direction.
19. REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 19
La politique de continuité d’activité
de votre entreprise prend-elle en compte
le risque de cyber-attaque ?
Les cyber-crises récentes ont démontré que l’une des conséquences majeures
d’une cyber-attaque était l’indisponibilité du système d’information. La
cybercriminalité est d’ailleurs aujourd’hui la première menace affectant
la continuité des opérations des entreprises. Cependant, seules 76% des
organisations de notre panel disposent d’une politique ou de procédures de
continuité d’activité garantissant le maintien de leurs activités vitales en cas
de choc extrême. 41% d’entre elles intègrent des mesures visant à préserver
leurs activités critiques en cas de cyber-attaque.
Cela ne concerne
elles-ci, 80% sont
ervices sensibles
1 Non : 48%
2 Ne sait pas : 11%
3 Oui : 41%
1
2
3
Conclusion
Les entreprises ont aujourd’hui bien conscience des
risques induits par les cyber-attaques. Pour la plupart
d’entre elles, le phénomène n’est pas seulement
appréhendé à travers les nombreux cas relatés dans les
journaux, elles y sont directement confrontées. Elles
déploient ainsi davantage de moyens consacrés à la prise
en compte de cette menace. Elles réalisent des tests
d’intrusion et intègrent le scénario cyber-attaque à leurs
dispositifs de gestion de crise, mais cette préparation
reste trop souvent théorique et par conséquent,
insuffisante.
Pour gagner en maturité, il s’agirait désormais de
réévaluer régulièrement la préparation théorique, passer
à la pratique en réalisant des exercices impliquant
l’ensemble des entités et acteurs concernés. En plus
de constituer une menace pour la sécurité de leurs
patrimoines technique et informationnel, les entreprises
devraient également considérer les cyber-attaques
comme un risque majeur pesant sur la continuité de
leurs activités.
nce
é
mation
té
20. 20 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Chapitre 2
Détection
Intro
ductLutter efficacement co
nécessite d’être capab
qu’il ne soit trop tard.
pour cela compter su
de détection des me
exploitent-elles de fa
étude démontre qu’e
réévaluer régulièreme
leurs dispositifs organi
et à davantage s’appuy
Quel
par le
une c
21. REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 21
Intro-
ductionLutter efficacement contre une cyber-attaque
nécessite d’être capable de la détecter avant
qu’il ne soit trop tard. Les entreprises peuvent
pour cela compter sur des outils techniques
de détection des menaces. Cependant, les
exploitent-elles de façon optimale ? Notre
étude démontre qu’elles gagneraient à les
réévaluer régulièrement, à mieux structurer
leurs dispositifs organisationnels de détection
et à davantage s’appuyer sur les utilisateurs.
Votre entreprise a-t-elle mis en place les outils suivants ?
Les organisations interrogées ont globalement mis en place des outils techniques de
détection des cyber-attaques: 77% d’entre elles ont recours à au moins un outil et 58% en
disposent d’au moins deux.En revanche,23% des entreprises n’ont déployé aucun outil de
détection. Les petites entreprises sont ainsi davantage exposées puisque cette proportion
s’élève à 31% pour les organisations comptant moins de 250 salariés.
Quels sont les moyens déployés
par les entreprises pour détecter
une cyber-attaque ?
AUTRES
SYSTÈMEDEDÉTECTIONDESAPT
AUCUN
SYSTÈMEDECORRÉLATIONET
D’AUTOMATISATIONDEL’ANALYSEDESLOGS
SYSTÈMEDEGESTION
DESÉVÈNEMENTSDESÉCURITÉ
SYSTÈMEDEDÉTECTIOND’INTRUSION
SYSTÈMEDEPRÉVENTIOND’INTRUSION
5% 17% 24%23% 30% 57% 59%
22. 22 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Les utilisateurs sont im
des entreprises, contre
s’appuyant sur le phishin
l’ingénierie sociale, ou
effet un maillon fort de
bien compris.
Votre entreprise a-t-elle mis en place
une organisation pour détecter
les incidents de sécurité ?
Cette organisation fait défaut chez 42% des organisations de notre
panel. Les grandes entreprises sont mieux armées puisqu’elles sont
66% à avoir mis en place une organisation consacrée à la détection
des incidents de sécurité.
Cette organisation repose-t-elle
sur une équipe dédiée, une équipe IT
ou bien une équipe transverse ?
Dans 55% des cas, une telle fonction est exercée par une équipe
du département informatique. L’accent peut également être mis
sur la transversalité dans 41% des organisations ou bien sur la
spécialisation (38%).
En matière de détection, disposer d’outils techniques
est inutile si les entreprises ne déploient pas une organisation
capable de diffuser et traiter l’information relative
aux incidents de sécurité.
1 Oui : 58%
2 Non : 42%
1 Une équipe dédiée: 38%
2 Une équipe IT: 55%
1
2
1
2
3
4
1
3 Une équipe transverse: 41%
4 Autre: 3%
1 Oui : 74%
2 Non : 26%
23. REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 23
Les utilisateurs sont impliqués dans ce dispositif de détection dans 74%
des entreprises, contre 47% en 2013. Avec la multiplication des attaques
s’appuyant sur le phishing (hameçonnage),les ransomwares (rançongiciels),
l’ingénierie sociale, ou encore l’usurpation d’identité, l’utilisateur est en
effet un maillon fort de la sécurité de l’information et les entreprises l’ont
bien compris.
pe IT
ée par une équipe
galement être mis
ns ou bien sur la
ation
Votre entreprise dispose-t-elle
d’un SOC, d’un CERT ou d’un CSIRT ?
D’un point de vue organisationnel, 36% des entreprises ont
mis en place un SOC (Information Security Operation Center),
un CERT (Computer Emergency Response Team) ou un CSIRT
(Computer Security Incident Response Team).
Les grandes entreprises (5000 salariés et plus) sont plus
nombreuses à s’être dotées de tels dispositifs puisque 40% d’entre
elles disposent d’un SOC, 21% d’un CERT et 20% d’un CSIRT.
AUCUNDESTROIS
SOC
CERT
CSIRT
1
2
64% 24% 13%14%
pe transverse: 41%
%
1 Oui : 74%
2 Non : 26%
24. 24 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Dans le cadre de la surveillance opérationnelle
de la sécurité de vos systèmes d’information,
des investigations sont-elles réalisées ?
82% des entreprises interrogées indiquent mener des investigations dans le cadre de la
surveillance opérationnelle de leurs systèmes d’information. Un clivage existe cependant
entre les groupes de plus de 5000 salariés, où cette proportion atteint 95% et les PME de
moins de 250 collaborateurs, qui ne sont que 63% à réaliser de telles investigations.
Con
Les entreprises on
des entreprises de
fréquemment. Cela
chaque incident p
rarement de telles
Est-ce que votre
réévalue ses mo
de détection (or
et humains) ?
D’un point de vue or
entreprises ont mis en p
Security Operation Cen
Emergency Response
(Computer Security Inci
Les grandes entreprise
sont plus nombreuses
dispositifs puisque 40%
d’un SOC, 21% d’un CE
1 Oui, pour toutes les anomalies
détectées : 41%
2 Oui, uniquement sur les anomalies
affectant la confidentialité des
informations : 6%
3 Non : 37%
4 Oui, pour toutes les anomalies
touchant les systèmes les plus
sensibles : 3%
5 Oui, uniquement sur les anoma-
lies affectant la disponibilité des
systèmes : 13%
1
2
3
4
5
25. REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 25
Conclusion
Les entreprises ont bien compris qu’elles devaient se protéger face aux cyber-attaques et être dotées de moyens de détection. La majorité
des entreprises de notre panel utilise en effet un ou plusieurs moyens de détection. Ces moyens ne sont cependant pas mis à niveau assez
fréquemment. Cela passe notamment par une réévaluation régulière des moyens déployés ainsi que par la réalisation d’investigations après
chaque incident pour comprendre et corriger ses faiblesses. Pour cela, il faudrait notamment comprendre pourquoi les PME mènent trop
rarement de telles investigations.
Est-ce que votre entreprise
réévalue ses moyens
de détection (organisationnels
et humains) ?
D’un point de vue organisationnel, 36% des
entreprises ont mis en place un SOC (Information
Security Operation Center), un CERT (Computer
Emergency Response Team) ou un CSIRT
(Computer Security Incident Response Team).
Les grandes entreprises (5000 salariés et plus)
sont plus nombreuses à s’être dotées de tels
dispositifs puisque 40% d’entre elles disposent
d’un SOC, 21% d’un CERT et 20% d’un CSIRT.
TRIMESTRIELLE
SEMESTRIELLE
MENSUELLE
APRÈSUNINCIDENT
RAREMENT
NESAITPAS
ANNUELLE
JAMAIS
s anomalies
ur les anomalies
entialité des
s anomalies
mes les plus
ur les anoma-
ponibilité des
2% 4% 11%8% 13%8% 12%11%
26. 26 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Chapitre 3
Réaction
Intr
Comment le
Une fois l’attaque
limiter ses conséq
de prendre les m
techniques de réa
2
27. CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 27REPRISES FRANÇAISES ?
Introduction
Comment les entreprises réagissent-elles en cas d’attaque ?
Une fois l’attaque détectée, les entreprises doivent être en capacité de mobiliser rapidement des moyens humains et techniques visant à
limiter ses conséquences néfastes.Elles doivent pour cela avoir,au préalable,mis en place une organisation et des procédures leur permettant
de prendre les mesures qui s’imposent : solliciter les bons experts, communiquer auprès des utilisateurs, mettre en œuvre les moyens
techniques de réaction. Avant la cyber-crise, ces derniers doivent par ailleurs être réévalués régulièrement pour conserver leur pertinence.
Votre entreprise
dispose-t-elle
d’une organisation
lui permettant de réagir
efficacement en cas d’incident
de sécurité ?
61% des entreprises déclarent disposer d’une
organisation leur permettant de réagir en
cas de cyber-attaque avérée. Les grandes
entreprises sont mieux armées puisque 72%
des groupes de plus de 5000 salariés en sont
dotés, contre 41% des PME de moins de 250
salariés.
1 Oui : 61%
2 Non : 39%
2
1
28. 28 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Cette organisation, repose-t-elle sur
une équipe dédiée, une équipe transverse,
une équipe IT ?
Par réagir en cas de cyber-attaque, 31% des entreprises
peuvent compter sur une équipe spécialisée dans le
traitement des incidents de sécurité. Elles n’étaient que
19%en2013,cequidémontreuneplusgrandemobilisation
des entreprises sur les questions de cybersécurité.
Votre entreprise dispose-t-elle de critères
pour qualifier l’incident de sécurité
et déclencher une situation de cyber-crise ?
En cas d’attaque, il est crucial de réagir de réagir vite pour limiter
l’importance d’éventuels vols de données ou de la contamination
des systèmes d’information.Pour ce faire,il peut être recommandé
de disposer une grille d’évaluation permettant de mesurer la gravité
d’une attaque et de convoquer la cellule de crise rapidement si
nécessaire.
Votre entreprise a-t-elle défini les acteurs,
leurs rôles et responsabilités
en cas de survenance d’une cyber-crise ?
En matière de gestion de cyber-crise, les entreprises ne sont globalement
pas assez outillées. Seules 42% d’entre elles sont à même de mobiliser une
cellule de crise. Cette proportion atteint 56% au sein des entreprises de plus
de 1000 salariés. 21% des organisations peuvent s’appuyer sur des fiches
“réflexe” rappelant les premières actions à mener en cas de crise et 20%
disposent d’un annuaire de crise.
AUTRE
EQUIPEDÉDIÉE
EQUIPETRANSVERSE
EQUIPEIT
OUI-AUTRE
OUI-AUTRES
NESAITPAS
OUI,UNECELLULEDECRISE
NON
OUI,DESFICHESREFLEXEOU
CHECK-LISTSDÉCRIVANTLES
PREMIÈRESACTIONSÀCONDUIRE
OUI,UNANNUAIREDECRISE
OUI,UNEGRILLE
D’ÉVALUATIOND’IMPACT
NON
OUI-AUTRE
OUI-RH
Les collabora
participent-i
d’une maniè
autre aux pla
aux cyber-att
Si 74% des e
impliquer les u
processus de dé
seules 38% d’en
à leurs plans de
attaques.Il est ce
dans certains ca
utilisateurs peut
la propagation ou
causés par une a
1 Oui : 38%
2 Non : 62%
21%8% 42%3% 32%20%
13%8%
31% 51%42%4% 39% 55%6%
29. REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 29
critères
é
ber-crise ?
vite pour limiter
a contamination
tre recommandé
mesurer la gravité
se rapidement si
teurs,
se ?
ne sont globalement
ême de mobiliser une
des entreprises de plus
ppuyer sur des fiches
n cas de crise et 20%
Votre dispositif de crise
prévoit-il la sollicitation
d’experts ?
La majorité des entreprises (59%) déclare
avoir prévu de s’appuyer sur les compétences
d’expertstechniquesencasdecyber-crise.Moins
d’un tiers d’entre elles prévoient cependant de
solliciter des experts en communication ou des
juristes.
NON
OUI-AUTRE
OUI-RH
OUI-SPÉCIALISTE
DELAGESTIONDECRISE
OUI-JURIDIQUE
OUI-COMMUNICATION
NON
OUI-TECHNIQUE
Les collaborateurs
participent-ils
d’une manière ou d’une
autre aux plans de réaction
aux cyber-attaques définis ?
Si 74% des entreprises déclarent
impliquer les utilisateurs dans leur
processus de détection des attaques,
seules 38% d’entre elles les intègrent
à leurs plans de réaction aux cyber-
attaques.Il est cependant reconnu que
dans certains cas, la mobilisation des
utilisateurs peut permettre de limiter
la propagation ou l’ampleur des dégâts
causés par une attaque.
1 Oui : 38%
2 Non : 62%
1
2
31%13% 33% 59%8% 32%18%
55%
30. 30 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Votre entreprise a-t-elle défini des processus
de notifications et de communication ?
Si la moitié des organisations interrogées indiquent avoir défini des
processus de notifications et de communication à l’égard de leurs
salariés, seules 24% en ont prévu pour leurs clients et 20% pour les
autorités. Le projet de règlement sur la protection des données destiné à
remplacer la Directive 95/46/CE va obliger les entreprises à progresser en
la matière puisque celui-ci comprend l’obligation pour les organisations
de notifier l’autorité en charge de la protection des données (la CNIL en
France) dans les 72h suivant un vol de données. Les clients ou usagers
concernés par le vol de leurs données personnelles devront également
être informés rapidement.
Les moyens (tec
de réaction aux
sont-ils réévalué
Par rapport à 2013, le
d’amélioration continu
attaques. Elles sont au
11% après chaque tes
de cette étude. Noton
moyens de réaction
montée en maturité.
Votre entreprise dispose-t-elle d’une ou
plusieurs solutions techniques de réaction ?
Alors que 82% des entreprises estiment constituer une
cible, 34% d’entre elles n’ont déployé aucune solution
technique leur permettant de faire face à une cyber-attaque.
Lorsqu’ils existent, ces outils sont dédiés à la prévention ou
à la détection des attaques. 70% des entreprises seraient
par ailleurs démunies face à une attaque de type DDoS.
OUI,AUTRES
OUI,ANT-APT
OUI,ANTI-DDOS
NON,AUCUNE
OUI,OUTILSDEPRÉVENTION
OUDEDÉTECTION
OUI-AUTRES
OUI-MÉDIAS
OUI-SALARIÉS
OUI,UNECELLULEDECRISE
NON
OUI-ACTIONNAIRES
OUI-AUTORITÉS
(BEFTI,OCLCTIC…)
OUI-AUTRES
OUI-MÉDIAS
32%18% 50% 42%8% 33%20%
34%17%2% 54%30%
18%8%
31. REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 31
s processus
tion ?
quent avoir défini des
on à l’égard de leurs
ients et 20% pour les
des données destiné à
eprises à progresser en
pour les organisations
es données (la CNIL en
Les clients ou usagers
les devront également
Les moyens (techniques et organisationnels)
de réaction aux crises de type cyber-attaque
sont-ils réévalués ?
Par rapport à 2013, les entreprises ont progressé suivant le modèle
d’amélioration continue de leurs dispositifs de réponse aux cyber-
attaques. Elles sont aujourd’hui 21% à les réévaluer chaque année et
11% après chaque test, contre 17% et 7% dans la précédente édition
de cette étude. Notons que seules 18% d’entre elles réévaluent leurs
moyens de réaction après une cyber-attaque, ce qui ralentit leur
montée en maturité.
Conclusion
Les entreprises disposent de moyens de
réaction, mais restent trop peu structurées
d’un point de vue organisationnel pour
faire face efficacement aux attaques. Trop
peu d’entre elles mobilisent une équipe
dédiée à la réponse aux incidents. Les
activités de cette équipe doivent également
s’inscrire dans un processus de gestion de
crise prévoyant la sollicitation d’experts–en
communication et juridiques notamment–
et la notification des autorités compétentes.
La réglementation obligera en effet bientôt
les entreprises à notifier rapidement
l’autorité en charge de la protection des
données personnelles ainsi que leurs clients
dont les données auraient pu être dérobées.
Les utilisateurs doivent en outre également
être impliqués dans la stratégie de réponse
à une cyber-attaque dans la mesure où
leur comportement peut contribuer à
contenir l’ampleur et la gravité de l’attaque.
L’ensemble des moyens de réaction doit
enfin être régulièrement réévalué pour
les adapter aux évolutions techniques et
organisationnelles.
OUI,OUTILSDEPRÉVENTION
OUDEDÉTECTION
OUI-SALARIÉS
OUI,UNECELLULEDECRISE
OUI-AUTRES
OUI-MÉDIAS
OUI-SALARIÉS
NON
OUI-ACTIONNAIRES
OUI-CLIENTS
50% 42%
% 54%
32%18% 50%8% 33%24%
32. 32 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Chapitre 4
Récupération
Intr
duct
Quels moyen
les entrepris
déploient-ell
réparer les co
d’une cyber-a
Si la majorité de
conscientes de le
cyber-attaques, elle
toujours les mesu
d’êtrerésilientesen
En cas d’agression,
pouvoir collecter d
possible la compré
de l’attaque ainsi
lacunes de ses disp
Au-delà de la r
les entreprises do
de réagir en ma
d’assurance pour l
attaques sur leurs fi
33. REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 33
Votre entreprise est-elle
équipée d’outils permettant
la traçabilité /
l’enregistrement / la collecte
des traces
et preuves de l’agression
détectée ?
Trop peu d’organisations (44%) disposent
de moyens permettant la traçabilité, l’enre-
gistrement, la collecte des traces et preuves
des agressions avérées.Or ces éléments sont
essentiels à l’identification des failles et à la
mise en place d’actions correctives.
Intro-
duction
Quels moyens
les entreprises
déploient-elles pour
réparer les conséquences
d’une cyber-attaque ?
Si la majorité des entreprises sont
conscientes de leur exposition aux
cyber-attaques, elles ne prennent pas
toujours les mesures leur permettant
d’êtrerésilientesencasd’attaqueavérée.
En cas d’agression, il est important de
pouvoir collecter des éléments rendant
possible la compréhension des ressorts
de l’attaque ainsi que d’identifier les
lacunes de ses dispositifs de protection.
Au-delà de la réaction technique,
les entreprises doivent être à même
de réagir en matière juridique et
d’assurance pour limiter l’impact des
attaques sur leurs finances. 1 Oui : 44%
2 Non : 56%
2
1
Collecter
des preuves
34. 34 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Votre entreprise dispose-t-elle
de moyens d’analyse post-mortem
des incidents de sécurité (forensic) ?
Comme en 2013, plus du tiers des organisations
n’est pas en mesure d’analyser les incidents post
mortem, alors que davantage d’entre elles mènent des
investigations après avoir constaté une anomalie.Il leur
est donc difficile de comprendre le mode opératoire
des assaillants et d’évaluer précisément l’impact de
l’attaque sur le système d’information et les données
de l’entreprise. Elles ne sont par conséquent pas à
même de capitaliser sur les incidents de sécurité et
restent exposées à des attaques de même nature.
Cela augmente également les conséquences des
attaques pour les entreprises qui sont en incapacité de
déposer plainte.
1
2
3
1 Oui, par des dispositifs
internes : 27%
2 Oui, par des interventions
externes : 37%
3 Non : 36%
Votre entreprise a-t-elle défini
les processus permettant
la prise en compte des aspects
juridique et assurance
(dossier de plainte /
dossier de preuve, estimation
du préjudice subi,
demande d’indemnisation)
suite à une cyber-attaque ?
La proportion d’entreprise déclarant avoir
anticipé les démarches juridiques et assurantiels
consécutives à une cyber-attaque n’a pas
progressé par rapport à 2013. Ce manque de
préparation peut mettre en péril la récupération,
voire la pérennité d’une entreprise fortement
fragilisée par une attaque.
1 Oui : 39%
2 Non : 61%
1
2
35. REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 35
Conclusion
Le déploiement d’outils et de moyens liés à la récupération après une
cyber-attaque reste insuffisant dans les entreprises. Dans un contexte
où la probabilité d’occurrence d’une telle agression est élevée pour les
grands groupes, les PME comme les organisations du secteur public,
d’avantage doit être fait pour se préparer à limiter les conséquences
d’une cyber-attaque. D’un point de vue technique, les entreprises
doivent investir dans des moyens techniques et humains permettant de
tirer les enseignements des attaques qu’elles subissent pour améliorer
leurs dispositifs de détection et de réaction. Elles doivent également
s’appuyer sur les contrats d’assurance complétant les polices classiques
et couvrant notamment les frais d’expertise technique, d’extorsion, de
communication de crise, de justice ou encore les pertes directes et
indirectes suite à une cyber-attaque.
ar des dispositifs
es : 27%
ar des interventions
es : 37%
36%
e a-t-elle défini
ermettant
pte des aspects
urance
nte /
ve, estimation
bi,
mnisation)
er-attaque ?
prise déclarant avoir
uridiques et assurantiels
cyber-attaque n’a pas
2013. Ce manque de
en péril la récupération,
e entreprise fortement
e.
36. 36 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Chapitre 5
Sensibilisation
N
2
37. CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 37REPRISES FRANÇAISES ?
Des campagnes
de sensibilisation à la sécurité
de l’information auprès
des collaborateurs sont-elles
planifiées ?
Engagées dans l’implication des utilisateurs
dans leurs dispositifs de détection des
attaques, 77% des entreprises déclarent mener
des campagnes de sensibilisation auprès de
leurs collaborateurs. Le tiers les sensibilise aux
risques de cyber-attaques. Cette sensibilisation
est d’autant plus importante que la plupart
des attaques ciblent majoritairement les
utilisateurs.
L’amélioration de la résilience des entreprises
face aux cyber-attaques passe donc par
une systématisation et une récurrence de
l’implication des utilisateurs en matière de
prévention, de détection, mais également de
réaction aux attaques.
Cyber-attaque
33%
Information
44%
Non
23%
38. 38 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
1
2
3
Les moyens (techniques
et organisationnels)
de réaction aux crises
de type cyber-attaque
sont-ils réévalués ?
Par rapport à 2013,les entreprises ont progressé
suivant le modèle d’amélioration continue de
leurs dispositifs de réponse aux cyber-attaques.
Elles sont aujourd’hui 21% à les réévaluer
chaque année et 11% après chaque test,contre
17% et 7% dans la précédente édition de cette
étude. Notons que seules 18% d’entre elles
réévaluent leurs moyens de réaction après une
cyber-attaque, ce qui ralentit leur montée en
maturité.
1 Oui - sans scénario
cyber-attque : 7%
2 Oui - avec un scénario
cyber-attque : 28%
3 Non : 65%
Conclusion
L’expérience montre que les attaques actuelles s’appuient généralement sur
des scénarios ciblant les utilisateurs. Ces derniers doivent par conséquent être
impliqués dans tous les dispositifs de lutte contre les cyber-attaques. Cela implique
non seulement de communiquer auprès d’eux pour leur permettre de jouer un
rôle passif dans la sécurité du SI, mais aussi de leur donner un rôle actif. Plus
concrètement, il s’agit de dépasser le modèle selon lequel l’utilisateur était invité à
éviter les comportements à risques pour atteindre une nouvelle forme de défense
intégrant l’utilisateur en matière de prévention, de détection et de réaction.
39. CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 39REPRISES FRANÇAISES ?
Oui - sans scénario
yber-attque : 7%
Oui - avec un scénario
yber-attque : 28%
Non : 65%
Conclusion
générale
Depuis notre précédente étude, en 2013, les entreprises ont
véritablementprislamesuredelamenacequeconstituaitpourellesles
cyber-attaques. Beaucoup reste cependant à faire pour assurer un
niveau de résilience optimal aux entreprises, petites ou grandes.
Les entreprises se sont en effet investies dans la lutte contre la
cybercriminalité, mais cette préparation reste trop théorique dans
la mesure où elles réalisent encore trop peu de simulations de
cyber-crise et ne réévaluent pas régulièrement leurs dispositifs de
détection et de réaction.
La nature et l’ampleur de la menace exigent aujourd’hui de changer
de paradigme en passant d’un modèle de défense rigide s’appuyant
sur la dissuasion et la prévention à une réponse globale incluant des
moyens de réaction aux attaques.
Pour ce faire, les entreprises doivent davantage entraîner leurs
collaborateurs– les équipes techniques comme les utilisateurs– à
identifier les signes d’une attaque en cours. Elles doivent également
œuvrer à l’amélioration continue de leurs outils de détection et de
réponses ainsi qu’à celle de leurs dispositifs organisationnels.
Enfin, notre étude a mis en évidence un dangereux manque de maturité
des petites et moyennes entreprises qui restent moins outillées et
organisées que les grands groupes face aux cyber-attaques.Or elles ne
sont pas moins exposées à cette menace et peuvent être fatalement
fragilisées par un vol de données ou un acte de sabotage de leur SI.
néralement sur
conséquent être
es. Cela implique
tre de jouer un
n rôle actif. Plus
eur était invité à
orme de défense
réaction.