SlideShare une entreprise Scribd logo
1  sur  40
Télécharger pour lire hors ligne
CYBER-ATTAQUES
Où en sont les entreprises françaises ?
Sommaire
Quelques mots sur
Quelques mots sur
Editoriaux. . . . . . . .
Méthodologie / P
Présentation de l’é
Présentation de la
Structure et thémati
Synthèse de l’échan
Dans quel secteur d
A l’exception de la lo
règlements votre en
A l’exception des do
des données sensibl
de santé ou relevant
Chapitre 1 - Prépa
Introduction . . . . . .
Des entreprises co
Votre entreprise a-t-e
cyber-attaque ? . . . .
Quel intérêt représe
Selon vous, quel typ
Comprendre et car
Votre entreprise disp
des menaces de type
Organisez-vous des t
Se préparer à la ge
Avez-vous déjà réalisé
Externalisation et
Evaluez-vous le nive
CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 3
Quelques mots sur Provadys. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Quelques mots sur le CESIN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Editoriaux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Méthodologie / Profil des répondants
Présentation de l’étude. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Présentation de la méthodologie de l’étude . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Structure et thématique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Synthèse de l’échantillon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Dans quel secteur d’activité votre entreprise se situe-t-elle ? . . . . . . . . . . . . . . . . . . . . . . . 10
A l’exception de la loi informatique et libertés, à quels normes / lois /
règlements votre entreprise est-elle soumise ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
A l’exception des données à caractère personnel, votre entreprise manipule-t-elle
des données sensibles telles que des données classifiées, de cartes de paiement,
de santé ou relevant du secret industriel ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Chapitre 1 - Préparation
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Des entreprises conscientes de leur exposition aux cyber-attaques . . . . . . . . . . . 13
Votre entreprise a-t-elle déjà été affectée par une ou plusieurs crises de type
cyber-attaque ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Quel intérêt représentez-vous pour un attaquant ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Selon vous, quel type de cible votre entreprise est-elle ? . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Comprendre et caractériser la menace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Votre entreprise dispose-t-elle de moyens spécifiques ou dédiés à la prise en compte
des menaces de type attaques informatiques ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Organisez-vous des tests d’intrusion sur vos sites les plus sensibles ?. . . . . . . . . . . . . . . 15
Se préparer à la gestion d’une cyber-crise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Avez-vous déjà réalisé un exercice de crise comprenant un scénario de cyber-attaque ? . . 16
Externalisation et cybercriminalité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Evaluez-vous le niveau de sécurité de vos prestataires ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
4 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Cartographier son SI pour mieux le protéger. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Gouvernance en matière de sécurité de l’information et continuité d’activité . . 18
Votre entreprise dispose-t-elle d’une Politique de Sécurité de l’Information (PSSI) ?. 18
La politique de continuité d’activité de votre entreprise prend-elle en compte
le risque de cyber-attaque ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Chapitre 2 - Détection
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Votre entreprise a-t-elle mis en place les outils suivants ? . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Votre entreprise a-t-elle mis en place une organisation pour détecter les incidents
de sécurité ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Cette organisation repose-t-elle sur une équipe dédiée, une équipe IT
ou bien une équipe transverse ? : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Votre entreprise dispose-t-elle d’un SOC, d’un CERT ou d’un CSIRT ? : . . . . . . . . . . . . . . 23
Dans le cadre de la surveillance opérationnelle de la sécurité de vos systèmes
d’information, des investigations sont-elles réalisées ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Est-ce que votre entreprise réévalue ses moyens de détection
(organisationnels et humains) ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Chapitre 3 - Réaction
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Votre entreprise dispose-t-elle d’une organisation lui permettant de réagir
efficacement en cas d’incident de sécurité ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Cette organisation, repose-t-elle une équipe dédiée, une équipe transverse,
une équipe IT ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Votre entreprise dispose-t-elle de critères pour qualifier l’incident de sécurité
et déclencher une situation de cyber-crise ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Votre entreprise a-t-elle défini les acteurs, leurs rôles et responsabilités
en cas de survenance d’une cyber-crise ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Votre dispositif de crise prévoit-il la sollicitation d’experts ?. . . . . . . . . . . . . . . . . . . . . . . . 29
Les collaborateurs pa
de réaction aux cybe
Votre entreprise dispo
Votre entreprise a-t-e
Les moyens (techniq
cyber-attaque sont-il
Conclusion. . . . . . . . .
Chapitre 4 - Récup
Introduction . . . . . . .
Votre entreprise est-e
la collecte des traces
Votre entreprise a-t-e
juridique et assuranc
subit, demande d’ind
Votre entreprise disp
de sécurité (forensic)
Conclusion . . . . . . . . .
Chapitre 5 - Sensib
Des campagnes de s
des collaborateurs so
Avez-vous prévu une
Conclusion . . . . . . . . .
Conclusion généra
EPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 5
. . . . . . . . . . . . . . . 18
uité d’activité . . 18
mation (PSSI) ?. 18
n compte
. . . . . . . . . . . . . . . 19
. . . . . . . . . . . . . . . 19
. . . . . . . . . . . . . . . 21
. . . . . . . . . . . . . . . 21
r les incidents
. . . . . . . . . . . . . . . 22
IT
. . . . . . . . . . . . . . . 22
? : . . . . . . . . . . . . . . 23
systèmes
. . . . . . . . . . . . . . . 24
. . . . . . . . . . . . . . . 25
. . . . . . . . . . . . . . . 25
. . . . . . . . . . . . . . . 27
réagir
. . . . . . . . . . . . . . . 27
nsverse,
. . . . . . . . . . . . . . . 28
e sécurité
. . . . . . . . . . . . . . . 28
tés
. . . . . . . . . . . . . . . 28
. . . . . . . . . . . . . . . 29
Les collaborateurs participent-ils d’une manière ou d’une autre aux plans
de réaction aux cyber-attaques définis ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
Votre entreprise dispose-t-elle d’une ou plusieurs solutions techniques de réaction ? . 30
Votre entreprise a-t-elle définit des processus de notifications et de communication ? 30
Les moyens (techniques et organisationnels) de réaction aux crises de type
cyber-attaque sont-ils réévalués ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Conclusion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Chapitre 4 - Récupération
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Votre entreprise est-elle équipée d’outils permettant la traçabilité / l’enregistrement /
la collecte des traces et preuves de l’agression détectée ? . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Votre entreprise a-t-elle défini les processus permettant la prise en compte des aspects
juridique et assurance (dossier de plainte / dossier de preuve, estimation du préjudice
subit, demande d’indemnisation) suite à une Cyber Attaque ? . . . . . . . . . . . . . . . . . . . . . . 34
Votre entreprise dispose-t-elle de moyens d’analyse post-mortem des incidents
de sécurité (forensic) ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Chapitre 5 - Sensibilisation
Des campagnes de sensibilisation à la sécurité de l’information auprès
des collaborateurs sont-elles planifiées ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Avez-vous prévu une simulation de crise dans l’année ? . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Conclusion générale. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
6 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Quelques mots
sur le CESIN
Le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) est une
association loi 1901,créée en juillet 2012,avec des objectifs de professionnalisation,de
promotion et de partage autour de la sécurité de l’information et du numérique. C’est
un lieu d’échange de connaissances et d’expériences qui permet la coopération entre
experts de la sécurité de l’information et du numérique et les pouvoirs publics.Le Club
conduit des ateliers et groupes de travail, mène des actions de sensibilisation et de
conseil, organise des congrès, colloques, ou conférences. Il participe à des démarches
nationales dont l’objet est la promotion de la sécurité de l’information et du numérique.
Il est force de proposition sur des textes règlementaires,guides et autres référentiels.
Gestion des risques
& Sécurité
de l’information
Spécialiste des technologies de l’information, Provadys accompagne les organisations dans
leurs grands projets de transformation. Pour appréhender au mieux les défis de la gestion des
risques liés aux SI, Provadys tire profit de son ancrage multisectoriel. L’approche globale que
nous mettons en place combine notre expertise en matière de gouvernance et transformation
des SI de gestion globale des risques au bénéfice d’une approche spécifique des risques IT.
Ainsi, l’expertise Provadys Information Security, se déploie en trois axes, la sécurité des SI,
la conformité mais aussi la résilience et la continuité d’activité.
E
Information
Security
Pour une sécurité optimale
EPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 7
Numérique) est une
essionnalisation,de
du numérique. C’est
a coopération entre
oirs publics.Le Club
ensibilisation et de
pe à des démarches
on et du numérique.
utres référentiels.
es organisations dans
défis de la gestion des
approche globale que
nce et transformation
ifique des risques IT.
es, la sécurité des SI,
Edito
Luc Delpha
Partner & Lead Provadys
Information Security
Dans nos systèmes d’information de plus
en plus complexes, les pannes, défaillances
matérielles ou logicielles sont devenues
tellement incontournables que toutes les
entreprises se sont préparées à y faire face.
Elles ont donc admis qu’elles devaient être
capables de continuer à fonctionner en
dépit de l’occurrence de ces évènements.
Elles ont également mis en œuvre des
moyens permettant d’atteindre, au moins
partiellement, cet objectif.
De la même manière, les entreprises sont
confrontées au caractère quasi-inévitable
des attaques contre leurs systèmes
d’information. Cette seconde étude menée
par Provadys dans le cadre du CESIN permet
de mesurer le chemin parcouru depuis
2013. Si les entreprises ont aujourd’hui
globalement pris la mesure du phénomène,
notre étude démontre qu’elles sont encore
insuffisamment préparées et outillées pour
faire face à des cyber-attaques de plus en
plus sophistiquées.
Alain Bouillé
Président du CESIN
Cette seconde édition de l’enquête montre
un certain progrès dans la majorité des
entreprises. Ces progrès se traduisent par
un renforcement des capacités de détection
avec des process, des outils sans oublier les
hommes qui commencent à faire leur preuve
dans la capacité de l’entreprise à savoir
qu’elle est attaquée.
Si les entreprises ont, au fil des ans,
appréhendé les différents risques systémiques
qui peuvent s’abattre sur elles au travers de
leurs plans de continuité d’entreprise ; il reste
encore beaucoup de chemin à parcourir pour
intégrer le risque cyber dans les process de
gestion de crise de l’entreprise.
Nos démarches de sensibilisation doivent
être repensées ; malgré tous les efforts déjà
déployés. Car de toute évidence, l’utilisateur
connaîtra de plus en plus de difficultés à
distinguer une sollicitation légitime d’une
malveillante, tant certaines attaques sont
minutieusement planifiées et ciblées.
Egalement, les outils de protection vont
nécessiter de gagner encore en efficacité
pour protéger les entrées au SI de l’entreprise,
qui vont par ailleurs se démultiplier avec
l’ultra-mobilité en marche.
Une étude réalisée dans le cadre d’un partenariat entre Provadys et le CESIN
8 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Méthodologie
Profil des répondants
Synthèse de l
119 RSSI et managers o
et 62% sont des entrep
moins de 50 collaborat
Prése
de la
de l’é
Pré
deL’objectif de cette
est de mettre en l
pour se préparer
mieux comprend
cyber-attaques. C
vise aujourd’hui
REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 9
ie
nts
Structure
et thématique
Provadys, en partenariat avec le Cesin, a
réalisé une enquête auprès de Responsables
de la Sécurité des Systèmes d’Information,
mais aussi de Directeurs Techniques et de
Directeurs Généraux d’organisation françaises
et internationales. Un questionnaire en ligne
a ainsi été mis à disposition.Comme en 2013,
celui-ci comportait cinquante questions
abordant cinq thématiques : la préparation,
la détection, la réaction, la récupération
ainsi que la sensibilisation en matière de
cybercriminalité.
Synthèse de l’échantillon
119 RSSI et managers ont participé à l’étude,soit deux fois plus qu’en 2013.Parmi les organisations représentées,27% comptent moins de 250 salariés
et 62% sont des entreprises de très grande taille (plus de 1000 salariés). Par conséquent, même si 11% des répondants sont issus d’organisations de
moins de 50 collaborateurs, notre enquête reflète majoritairement la situation des grandes entreprises.
Présentation
de la méthodologie
de l’étude
Présentation
de l’étudeL’objectif de cette seconde étude réalisée conjointement par le Cesin et Provadys
est de mettre en lumière les actions mises en œuvre par les entreprises françaises
pour se préparer, détecter et faire face à une cyber-attaque. Il s’agit ainsi de
mieux comprendre la situation des organisations en matière de résilience aux
cyber-attaques. Cet enjeu est d’autant plus fondamental que la cybercriminalité
vise aujourd’hui autant les États, les grands groupes, que les PME.
10 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Dans quel secteur d’activité
votre entreprise se situe-t-elle ?
Le panel d’organisations ayant participé à notre
enquête est équilibré avec 13% de réponses
émanant du secteur public, 17% de l’industrie,
20% du secteur Banque/Assurance et 13% de
celui des services aux entreprises.
1 Administration (public) : 13%
2 Association : 5%
3 Assurance : 12%
4 Autres : 6%
5 Banque : 8%
6 Energie : 5%
7 Industrie : 17%
8 Transport : 3%
9 Santé, média, télécoms : 16%
10 Services aux entreprises : 13%
11 Grande distribution : 3%
1
2
3
4
5
6
7
8
9
10
11
À l’exception de
à quels normes
entreprise est-e
La moitié (50%) des or
au secret professionne
enquête de 2013, la
réglementation applica
ARJEL
BALE2/BALE3
SOX
AUTRES
2% 4% 8%8%
REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 11
ur d’activité
se situe-t-elle ?
ayant participé à notre
vec 13% de réponses
blic, 17% de l’industrie,
/Assurance et 13% de
treprises.
blic) : 13%
oms : 16%
prises : 13%
n : 3%
À l’exception de la loi informatique et libertés,
à quels normes / lois / règlements votre
entreprise est-elle soumise ?
La moitié (50%) des organisations interrogées ont déclaré être soumises
au secret professionnel ou médical. Pour 19%, contre 22% dans notre
enquête de 2013, la Loi informatique et libertés constitue la seule
réglementation applicable dans leur contexte.
À l’exception des données à caractère
personnel, votre entreprise manipule-
t-elle des données sensibles telles que des
données classifiées, de cartes de paiement,
de santé ou relevant du secret industriel ?
39% des répondants indiquent que leur organisation manipule
des données de santé alors que 15% ont déclaré relever du secret
médical. De même, 28% manipulent des données de carte
de paiement quand 15% se disent soumises aux normes PCI
DSS. Ces écarts montrent que les entreprises n’ont pas toujours
conscience des conséquences réglementaires de leurs activités.
DONNÉESCLASSIFIÉES
(DÉFENSE)
DONNÉESDECARTES
DEPAIEMENT
SECRETSINDUSTRIELS
DONNÉESDESANTÉ
ARJEL
BALE2/BALE3
SOX
AUTRES
LSF
SOLVENCY
ACP
SECRETDEFENSE
PCIDSS
SECRETMEDICAL
RGS
SECRETPROFESSIONNEL
AUCUN
2% 4% 11% 15%8% 13% 34%8% 12% 21%11% 15% 19% 16% 28% 39%29%
12 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Chapitre 1
Préparation
Des
entrep
consc
de leu
expos
aux cy
attaqu
CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 13REPRISES FRANÇAISES ?
IntroductionLes entreprises sondées dans le cadre de notre étude ont globalement conscience de
leur niveau d’exposition aux cyber-attaques. La majorité d’entre elles en ont d’ailleurs
déjà été victimes. Depuis 2013, les entreprises se préparent davantage à faire face à
cette menace et sont plus nombreuses à investir dans leur cybersécurité. Cela passe
par l’intégration de ces scénarios spécifiques dans leur dispositif de gestion de crise ou
par la réalisation de tests de pénétration et d’intrusion sur leurs sites les plus sensibles.
Les entreprises peuvent néanmoins gagner en maturité en prenant mieux en compte
les risques liés à leurs activités externalisées et en se préparant à une interruption
d’activité consécutive à une cyber-attaque.
Votre entreprise a-t-elle déjà été affectée
par une ou plusieurs crises de type cyber-attaque ?
En 2013, 52% des organisations interrogées avaient déjà été touchées par au
moins une cyber-attaque. Elles sont aujourd’hui 57%, dans un contexte de
multiplication et d’industrialisation des attaques.Cette réalité est probablement
encore sous-estimée.
Des
entreprises
conscientes
de leur
exposition
aux cyber-
attaques
1
2
3
4
1 Ne sait pas : 11%
2 Oui, antérieures aux
douze derniers mois : 18%
3 Oui, dans les douze
derniers mois : 39%
4 Non : 32%
14 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Selon vous, quel type de cible votre entreprise est-elle ?
La moitié (50%) des organisations interrogées ont déclaré être soumises au secret professionnel
ou médical. Pour 19%, contre 22% dans notre enquête de 2013, la Loi informatique et libertés
constitue la seule réglementation applicable dans leur contexte.
Votre entrep
de moyens s
à la prise en
de type attaq
Conscientes des
l’information, 74
disposent de moy
attaques, contre
une plus grande s
78% des organi
des analyses d
d’information, m
risque de cyber-a
Plus globalement
les scénarios de ty
les toucher.
Quel intérêt représentez-vous pour un attaquant ?
Parmi les organisations s’estimant ciblées, le vol de données serait la principale motivation des
cyber-assaillants. Cette menace fait peser un risque d’autant plus lourd sur les entreprises que la
règlementation européenne s’oriente vers de nouvelles obligations en matière de protection des
données à caractère personnel. Des obligations de notification des autorités et d’information
des clients concernés seront en particulier introduites pour toutes les entreprises.
1 Oui, chaque mois
2 Oui, chaque trime
3 Non : 24%
4 Oui, tous les ans :
5 Oui, tous les deux
1 Ciblée : 39%
2 Ni l’un, ni l’autre : 18%
3 Opportuniste : 43%
3
1
2
Comprendre
et caractériser
la menace
VOLDEDONNÉES
FRAUDE
CHANTAGE
ESPIONNAGE
REVENDICATION
AUTRE
72% 61% 11%36%52% 31%
REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 15
Votre entreprise dispose-t-elle
de moyens spécifiques ou dédiés
à la prise en compte des menaces
de type attaques informatiques ?
Conscientes des enjeux liés à la sécurité de
l’information, 74% des organisations interrogées
disposent de moyens de prise en compte des cyber-
attaques, contre 63% en 2013, ce qui démontre
une plus grande sensibilisation à ce sujet.
78% des organisations interrogées conduisent
des analyses de risques sur leurs systèmes
d’information, mais seules 33% y intègrent le
risque de cyber-attaque.
Plus globalement, 61% d’entre elles ont identifié
les scénarios de type cyber-attaque susceptibles de
les toucher.
Organisez-vous des tests
d’intrusion sur vos sites
les plus sensibles ?
Se préparer à faire face à une cyber-attaque
passe entre autres par l’identification des
faiblesses de son SI ; les sites internet sont
des cibles qui exposent les entreprises et qui
peuvent se révéler être des portes d’entrée
dans leur SI. 76% des organisations déclarent
ainsi procéder à des tests d’intrusion sur
leurs sites les plus sensibles, contre 96% en
2013. Cet écart s’explique notamment par
une plus forte représentation des PME dans
cette étude puisque 59% des entreprises de
moins de 250 salariés n’ont jamais pratiqué de
test d’intrusion. A l’inverse, 95% des groupes
de plus de 5000 collaborateurs en réalisent
régulièrement.
1 Oui, chaque mois : 9%
2 Oui, chaque trimestre : 8%
3 Non : 24%
4 Oui, tous les ans : 42%
5 Oui, tous les deux ans : 16%
1
2
34
5
1 Oui, dans des procédures : 12%
2 Non : 41%
3 Ne sait pas : 7%
4 Oui, mais sans
documentation : 7%
5 Oui, dans une analyse
de risques : 33%dre
ériser
e
1
2
3
4
5
16 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Evaluez-vous le
sécurité de vos
L’externalisation de tou
d’information est de
Qu’il s’agisse de Tierce M
de recours au cloud
encore d’infogérance,
font aujourd’hui appe
service. Cette externa
nécessairement de tran
sous-traitant.
Notre Livre Blanc sur
ainsi que seules 41% d
de clauses de transfe
matière de sécurité
responsabilités régleme
à leurs fournisseurs. S
contrats contiennent d
le risque d’attaque inf
compte que dans 57%
sont cependant plus n
niveau de sécurité de
contre 49% en 2013.
1
Externalisation et sécurité, où
françaises ? Provadys en collab
Avez-vous déjà réalisé un exercice
de crise comprenant un scénario de cyber-attaque ?
Toutefois,si les entreprises sont globalement conscientes du niveau de la menace,71% ne
se sont jamais préparées à se confronter à une crise de type cyber-attaque dans le cadre
d’un exercice de crise. 21% ont déclaré avoir réalisé un exercice de crise comprenant un
scénario de cyber-attaque. Pour rappel, 39% des répondants ont indiqué avoir subi une
cyber-attaque dans les douze derniers mois.
Les entreprises qui n’ont jamais été en position de s’exercer à réagir aux cyber-attaques
risquent de se trouver démunies lorsqu’elle seront confrontées de manière réelle à cette
situation.
Exter
et cy
1 Oui, l’année dernière : 21%
2 Oui, il y a deux ans : 6%
3 Oui, il y a trois ans : 3%
4 Non : 71%
1
2
3
4
Se préparer
à la gestion
d’une
cyber-crise
REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 17
Evaluez-vous le niveau de
sécurité de vos prestataires ?
L’externalisation de tout ou partie du système
d’information est devenue incontournable.
Qu’il s’agisse de Tierce Maintenance Applicative,
de recours au cloud en SaaS, IaaS, PaaS ou
encore d’infogérance, 82% des entreprises
font aujourd’hui appel à des fournisseurs de
service. Cette externalisation n’implique pas
nécessairement de transférer les risques vers le
sous-traitant.
Notre Livre Blanc sur l’externalisation1
montre
ainsi que seules 41% des entreprises disposent
de clauses de transfert de responsabilité en
matière de sécurité et 39% transfèrent les
responsabilités réglementaires et de conformité
à leurs fournisseurs. Si la plupart– 89% - des
contrats contiennent des exigences de sécurité,
le risque d’attaque informatique n’est pris en
compte que dans 57% des cas. Les entreprises
sont cependant plus nombreuses à évaluer le
niveau de sécurité de leurs prestataires– 55%
contre 49% en 2013.
1
Externalisation et sécurité, où en sont les entreprises
françaises ? Provadys en collaboration avec le CESIN (2014)
ue ?
la menace,71% ne
aque dans le cadre
se comprenant un
qué avoir subi une
aux cyber-attaques
nière réelle à cette
Externalisation
et cybercriminalité
2
3
1 Non : 36%
2 Ne sait pas : 8%
3 Oui : 54%
1
2
3
18 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
La politique de
de votre entrep
le risque de cyb
Les cyber-crises récent
d’une cyber-attaque é
cybercriminalité est d
la continuité des opé
organisations de notre
continuité d’activité ga
de choc extrême. 41%
leurs activités critiques
Cartographier son SI
pour mieux le protéger
Lutter contre les attaques visant son système d’information implique de bien maîtriser son architecture. Cela ne concerne
que les 68% d’entreprises qui indiquent disposer d’une cartographie de leur système d’information. Parmi celles-ci, 80% sont
également en mesure d’identifier ses composants internes les plus sensibles et 54% leurs fournisseurs de services sensibles
de façon à pouvoir les protéger efficacement.
1 Non : 48%
2 Ne sait pas : 11%
3 Oui : 41%
1 Non : 18%
2 Oui : 82%
1
2
3
Gouvernance
en matière
de sécurité
de l’information
et continuité
d’activité
Votre entreprise dispose-t-elle
d’une Politique de Sécurité de l’Information (PSSI) ?
Si dans l’ensemble, 82% des organisations disposent d’une Politique de Sécurité des
Systèmes d’Information (PSSI), seules 59% des PME de moins de 250 salariés en ont mis
une en place.Il reste donc au niveau de ces PME un travail important à faire pour définir le
cadre de référence dans lequel la Sécurité du Système d’Information doit être envisagée.
La PSSI est la garantie d’un engagement de la Direction en faveur de la sécurité de
l’information et de l’existence de moyens humains et financiers permettant de parer au
risque d’incident en général,et de cyber-attaques en particulier.Ce document démontre
un niveau de maturité de l’entreprise en matière de sécurité de l’information et d’une
véritable prise de conscience par l’ensemble des enjeux par la Direction.
REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 19
La politique de continuité d’activité
de votre entreprise prend-elle en compte
le risque de cyber-attaque ?
Les cyber-crises récentes ont démontré que l’une des conséquences majeures
d’une cyber-attaque était l’indisponibilité du système d’information. La
cybercriminalité est d’ailleurs aujourd’hui la première menace affectant
la continuité des opérations des entreprises. Cependant, seules 76% des
organisations de notre panel disposent d’une politique ou de procédures de
continuité d’activité garantissant le maintien de leurs activités vitales en cas
de choc extrême. 41% d’entre elles intègrent des mesures visant à préserver
leurs activités critiques en cas de cyber-attaque.
Cela ne concerne
elles-ci, 80% sont
ervices sensibles
1 Non : 48%
2 Ne sait pas : 11%
3 Oui : 41%
1
2
3
Conclusion
Les entreprises ont aujourd’hui bien conscience des
risques induits par les cyber-attaques. Pour la plupart
d’entre elles, le phénomène n’est pas seulement
appréhendé à travers les nombreux cas relatés dans les
journaux, elles y sont directement confrontées. Elles
déploient ainsi davantage de moyens consacrés à la prise
en compte de cette menace. Elles réalisent des tests
d’intrusion et intègrent le scénario cyber-attaque à leurs
dispositifs de gestion de crise, mais cette préparation
reste trop souvent théorique et par conséquent,
insuffisante.
Pour gagner en maturité, il s’agirait désormais de
réévaluer régulièrement la préparation théorique, passer
à la pratique en réalisant des exercices impliquant
l’ensemble des entités et acteurs concernés. En plus
de constituer une menace pour la sécurité de leurs
patrimoines technique et informationnel, les entreprises
devraient également considérer les cyber-attaques
comme un risque majeur pesant sur la continuité de
leurs activités.
nce
é
mation
té
20 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Chapitre 2
Détection
Intro
ductLutter efficacement co
nécessite d’être capab
qu’il ne soit trop tard.
pour cela compter su
de détection des me
exploitent-elles de fa
étude démontre qu’e
réévaluer régulièreme
leurs dispositifs organi
et à davantage s’appuy
Quel
par le
une c
REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 21
Intro-
ductionLutter efficacement contre une cyber-attaque
nécessite d’être capable de la détecter avant
qu’il ne soit trop tard. Les entreprises peuvent
pour cela compter sur des outils techniques
de détection des menaces. Cependant, les
exploitent-elles de façon optimale ? Notre
étude démontre qu’elles gagneraient à les
réévaluer régulièrement, à mieux structurer
leurs dispositifs organisationnels de détection
et à davantage s’appuyer sur les utilisateurs.
Votre entreprise a-t-elle mis en place les outils suivants ?
Les organisations interrogées ont globalement mis en place des outils techniques de
détection des cyber-attaques: 77% d’entre elles ont recours à au moins un outil et 58% en
disposent d’au moins deux.En revanche,23% des entreprises n’ont déployé aucun outil de
détection. Les petites entreprises sont ainsi davantage exposées puisque cette proportion
s’élève à 31% pour les organisations comptant moins de 250 salariés.
Quels sont les moyens déployés
par les entreprises pour détecter
une cyber-attaque ?
AUTRES
SYSTÈMEDEDÉTECTIONDESAPT
AUCUN
SYSTÈMEDECORRÉLATIONET
D’AUTOMATISATIONDEL’ANALYSEDESLOGS
SYSTÈMEDEGESTION
DESÉVÈNEMENTSDESÉCURITÉ
SYSTÈMEDEDÉTECTIOND’INTRUSION
SYSTÈMEDEPRÉVENTIOND’INTRUSION
5% 17% 24%23% 30% 57% 59%
22 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Les utilisateurs sont im
des entreprises, contre
s’appuyant sur le phishin
l’ingénierie sociale, ou
effet un maillon fort de
bien compris.
Votre entreprise a-t-elle mis en place
une organisation pour détecter
les incidents de sécurité ?
Cette organisation fait défaut chez 42% des organisations de notre
panel. Les grandes entreprises sont mieux armées puisqu’elles sont
66% à avoir mis en place une organisation consacrée à la détection
des incidents de sécurité.
Cette organisation repose-t-elle
sur une équipe dédiée, une équipe IT
ou bien une équipe transverse ?
Dans 55% des cas, une telle fonction est exercée par une équipe
du département informatique. L’accent peut également être mis
sur la transversalité dans 41% des organisations ou bien sur la
spécialisation (38%).
En matière de détection, disposer d’outils techniques
est inutile si les entreprises ne déploient pas une organisation
capable de diffuser et traiter l’information relative
aux incidents de sécurité.
1 Oui : 58%
2 Non : 42%
1 Une équipe dédiée: 38%
2 Une équipe IT: 55%
1
2
1
2
3
4
1
3 Une équipe transverse: 41%
4 Autre: 3%
1 Oui : 74%
2 Non : 26%
REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 23
Les utilisateurs sont impliqués dans ce dispositif de détection dans 74%
des entreprises, contre 47% en 2013. Avec la multiplication des attaques
s’appuyant sur le phishing (hameçonnage),les ransomwares (rançongiciels),
l’ingénierie sociale, ou encore l’usurpation d’identité, l’utilisateur est en
effet un maillon fort de la sécurité de l’information et les entreprises l’ont
bien compris.
pe IT
ée par une équipe
galement être mis
ns ou bien sur la
ation
Votre entreprise dispose-t-elle
d’un SOC, d’un CERT ou d’un CSIRT ?
D’un point de vue organisationnel, 36% des entreprises ont
mis en place un SOC (Information Security Operation Center),
un CERT (Computer Emergency Response Team) ou un CSIRT
(Computer Security Incident Response Team).
Les grandes entreprises (5000 salariés et plus) sont plus
nombreuses à s’être dotées de tels dispositifs puisque 40% d’entre
elles disposent d’un SOC, 21% d’un CERT et 20% d’un CSIRT.
AUCUNDESTROIS
SOC
CERT
CSIRT
1
2
64% 24% 13%14%
pe transverse: 41%
%
1 Oui : 74%
2 Non : 26%
24 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Dans le cadre de la surveillance opérationnelle
de la sécurité de vos systèmes d’information,
des investigations sont-elles réalisées ?
82% des entreprises interrogées indiquent mener des investigations dans le cadre de la
surveillance opérationnelle de leurs systèmes d’information. Un clivage existe cependant
entre les groupes de plus de 5000 salariés, où cette proportion atteint 95% et les PME de
moins de 250 collaborateurs, qui ne sont que 63% à réaliser de telles investigations.
Con
Les entreprises on
des entreprises de
fréquemment. Cela
chaque incident p
rarement de telles
Est-ce que votre
réévalue ses mo
de détection (or
et humains) ?
D’un point de vue or
entreprises ont mis en p
Security Operation Cen
Emergency Response
(Computer Security Inci
Les grandes entreprise
sont plus nombreuses
dispositifs puisque 40%
d’un SOC, 21% d’un CE
1 Oui, pour toutes les anomalies
détectées : 41%
2 Oui, uniquement sur les anomalies
affectant la confidentialité des
informations : 6%
3 Non : 37%
4 Oui, pour toutes les anomalies
touchant les systèmes les plus
sensibles : 3%
5 Oui, uniquement sur les anoma-
lies affectant la disponibilité des
systèmes : 13%
1
2
3
4
5
REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 25
Conclusion
Les entreprises ont bien compris qu’elles devaient se protéger face aux cyber-attaques et être dotées de moyens de détection. La majorité
des entreprises de notre panel utilise en effet un ou plusieurs moyens de détection. Ces moyens ne sont cependant pas mis à niveau assez
fréquemment. Cela passe notamment par une réévaluation régulière des moyens déployés ainsi que par la réalisation d’investigations après
chaque incident pour comprendre et corriger ses faiblesses. Pour cela, il faudrait notamment comprendre pourquoi les PME mènent trop
rarement de telles investigations.
Est-ce que votre entreprise
réévalue ses moyens
de détection (organisationnels
et humains) ?
D’un point de vue organisationnel, 36% des
entreprises ont mis en place un SOC (Information
Security Operation Center), un CERT (Computer
Emergency Response Team) ou un CSIRT
(Computer Security Incident Response Team).
Les grandes entreprises (5000 salariés et plus)
sont plus nombreuses à s’être dotées de tels
dispositifs puisque 40% d’entre elles disposent
d’un SOC, 21% d’un CERT et 20% d’un CSIRT.
TRIMESTRIELLE
SEMESTRIELLE
MENSUELLE
APRÈSUNINCIDENT
RAREMENT
NESAITPAS
ANNUELLE
JAMAIS
s anomalies
ur les anomalies
entialité des
s anomalies
mes les plus
ur les anoma-
ponibilité des
2% 4% 11%8% 13%8% 12%11%
26 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Chapitre 3
Réaction
Intr
Comment le
Une fois l’attaque
limiter ses conséq
de prendre les m
techniques de réa
2
CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 27REPRISES FRANÇAISES ?
Introduction
Comment les entreprises réagissent-elles en cas d’attaque ?
Une fois l’attaque détectée, les entreprises doivent être en capacité de mobiliser rapidement des moyens humains et techniques visant à
limiter ses conséquences néfastes.Elles doivent pour cela avoir,au préalable,mis en place une organisation et des procédures leur permettant
de prendre les mesures qui s’imposent : solliciter les bons experts, communiquer auprès des utilisateurs, mettre en œuvre les moyens
techniques de réaction. Avant la cyber-crise, ces derniers doivent par ailleurs être réévalués régulièrement pour conserver leur pertinence.
Votre entreprise
dispose-t-elle
d’une organisation
lui permettant de réagir
efficacement en cas d’incident
de sécurité ?
61% des entreprises déclarent disposer d’une
organisation leur permettant de réagir en
cas de cyber-attaque avérée. Les grandes
entreprises sont mieux armées puisque 72%
des groupes de plus de 5000 salariés en sont
dotés, contre 41% des PME de moins de 250
salariés.
1 Oui : 61%
2 Non : 39%
2
1
28 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Cette organisation, repose-t-elle sur
une équipe dédiée, une équipe transverse,
une équipe IT ?
Par réagir en cas de cyber-attaque, 31% des entreprises
peuvent compter sur une équipe spécialisée dans le
traitement des incidents de sécurité. Elles n’étaient que
19%en2013,cequidémontreuneplusgrandemobilisation
des entreprises sur les questions de cybersécurité.
Votre entreprise dispose-t-elle de critères
pour qualifier l’incident de sécurité
et déclencher une situation de cyber-crise ?
En cas d’attaque, il est crucial de réagir de réagir vite pour limiter
l’importance d’éventuels vols de données ou de la contamination
des systèmes d’information.Pour ce faire,il peut être recommandé
de disposer une grille d’évaluation permettant de mesurer la gravité
d’une attaque et de convoquer la cellule de crise rapidement si
nécessaire.
Votre entreprise a-t-elle défini les acteurs,
leurs rôles et responsabilités
en cas de survenance d’une cyber-crise ?
En matière de gestion de cyber-crise, les entreprises ne sont globalement
pas assez outillées. Seules 42% d’entre elles sont à même de mobiliser une
cellule de crise. Cette proportion atteint 56% au sein des entreprises de plus
de 1000 salariés. 21% des organisations peuvent s’appuyer sur des fiches
“réflexe” rappelant les premières actions à mener en cas de crise et 20%
disposent d’un annuaire de crise.
AUTRE
EQUIPEDÉDIÉE
EQUIPETRANSVERSE
EQUIPEIT
OUI-AUTRE
OUI-AUTRES
NESAITPAS
OUI,UNECELLULEDECRISE
NON
OUI,DESFICHESREFLEXEOU
CHECK-LISTSDÉCRIVANTLES
PREMIÈRESACTIONSÀCONDUIRE
OUI,UNANNUAIREDECRISE
OUI,UNEGRILLE
D’ÉVALUATIOND’IMPACT
NON
OUI-AUTRE
OUI-RH
Les collabora
participent-i
d’une maniè
autre aux pla
aux cyber-att
Si 74% des e
impliquer les u
processus de dé
seules 38% d’en
à leurs plans de
attaques.Il est ce
dans certains ca
utilisateurs peut
la propagation ou
causés par une a
1 Oui : 38%
2 Non : 62%
21%8% 42%3% 32%20%
13%8%
31% 51%42%4% 39% 55%6%
REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 29
critères
é
ber-crise ?
vite pour limiter
a contamination
tre recommandé
mesurer la gravité
se rapidement si
teurs,
se ?
ne sont globalement
ême de mobiliser une
des entreprises de plus
ppuyer sur des fiches
n cas de crise et 20%
Votre dispositif de crise
prévoit-il la sollicitation
d’experts ?
La majorité des entreprises (59%) déclare
avoir prévu de s’appuyer sur les compétences
d’expertstechniquesencasdecyber-crise.Moins
d’un tiers d’entre elles prévoient cependant de
solliciter des experts en communication ou des
juristes.
NON
OUI-AUTRE
OUI-RH
OUI-SPÉCIALISTE
DELAGESTIONDECRISE
OUI-JURIDIQUE
OUI-COMMUNICATION
NON
OUI-TECHNIQUE
Les collaborateurs
participent-ils
d’une manière ou d’une
autre aux plans de réaction
aux cyber-attaques définis ?
Si 74% des entreprises déclarent
impliquer les utilisateurs dans leur
processus de détection des attaques,
seules 38% d’entre elles les intègrent
à leurs plans de réaction aux cyber-
attaques.Il est cependant reconnu que
dans certains cas, la mobilisation des
utilisateurs peut permettre de limiter
la propagation ou l’ampleur des dégâts
causés par une attaque.
1 Oui : 38%
2 Non : 62%
1
2
31%13% 33% 59%8% 32%18%
55%
30 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Votre entreprise a-t-elle défini des processus
de notifications et de communication ?
Si la moitié des organisations interrogées indiquent avoir défini des
processus de notifications et de communication à l’égard de leurs
salariés, seules 24% en ont prévu pour leurs clients et 20% pour les
autorités. Le projet de règlement sur la protection des données destiné à
remplacer la Directive 95/46/CE va obliger les entreprises à progresser en
la matière puisque celui-ci comprend l’obligation pour les organisations
de notifier l’autorité en charge de la protection des données (la CNIL en
France) dans les 72h suivant un vol de données. Les clients ou usagers
concernés par le vol de leurs données personnelles devront également
être informés rapidement.
Les moyens (tec
de réaction aux
sont-ils réévalué
Par rapport à 2013, le
d’amélioration continu
attaques. Elles sont au
11% après chaque tes
de cette étude. Noton
moyens de réaction
montée en maturité.
Votre entreprise dispose-t-elle d’une ou
plusieurs solutions techniques de réaction ?
Alors que 82% des entreprises estiment constituer une
cible, 34% d’entre elles n’ont déployé aucune solution
technique leur permettant de faire face à une cyber-attaque.
Lorsqu’ils existent, ces outils sont dédiés à la prévention ou
à la détection des attaques. 70% des entreprises seraient
par ailleurs démunies face à une attaque de type DDoS.
OUI,AUTRES
OUI,ANT-APT
OUI,ANTI-DDOS
NON,AUCUNE
OUI,OUTILSDEPRÉVENTION
OUDEDÉTECTION
OUI-AUTRES
OUI-MÉDIAS
OUI-SALARIÉS
OUI,UNECELLULEDECRISE
NON
OUI-ACTIONNAIRES
OUI-AUTORITÉS
(BEFTI,OCLCTIC…)
OUI-AUTRES
OUI-MÉDIAS
32%18% 50% 42%8% 33%20%
34%17%2% 54%30%
18%8%
REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 31
s processus
tion ?
quent avoir défini des
on à l’égard de leurs
ients et 20% pour les
des données destiné à
eprises à progresser en
pour les organisations
es données (la CNIL en
Les clients ou usagers
les devront également
Les moyens (techniques et organisationnels)
de réaction aux crises de type cyber-attaque
sont-ils réévalués ?
Par rapport à 2013, les entreprises ont progressé suivant le modèle
d’amélioration continue de leurs dispositifs de réponse aux cyber-
attaques. Elles sont aujourd’hui 21% à les réévaluer chaque année et
11% après chaque test, contre 17% et 7% dans la précédente édition
de cette étude. Notons que seules 18% d’entre elles réévaluent leurs
moyens de réaction après une cyber-attaque, ce qui ralentit leur
montée en maturité.
Conclusion
Les entreprises disposent de moyens de
réaction, mais restent trop peu structurées
d’un point de vue organisationnel pour
faire face efficacement aux attaques. Trop
peu d’entre elles mobilisent une équipe
dédiée à la réponse aux incidents. Les
activités de cette équipe doivent également
s’inscrire dans un processus de gestion de
crise prévoyant la sollicitation d’experts–en
communication et juridiques notamment–
et la notification des autorités compétentes.
La réglementation obligera en effet bientôt
les entreprises à notifier rapidement
l’autorité en charge de la protection des
données personnelles ainsi que leurs clients
dont les données auraient pu être dérobées.
Les utilisateurs doivent en outre également
être impliqués dans la stratégie de réponse
à une cyber-attaque dans la mesure où
leur comportement peut contribuer à
contenir l’ampleur et la gravité de l’attaque.
L’ensemble des moyens de réaction doit
enfin être régulièrement réévalué pour
les adapter aux évolutions techniques et
organisationnelles.
OUI,OUTILSDEPRÉVENTION
OUDEDÉTECTION
OUI-SALARIÉS
OUI,UNECELLULEDECRISE
OUI-AUTRES
OUI-MÉDIAS
OUI-SALARIÉS
NON
OUI-ACTIONNAIRES
OUI-CLIENTS
50% 42%
% 54%
32%18% 50%8% 33%24%
32 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Chapitre 4
Récupération
Intr
duct
Quels moyen
les entrepris
déploient-ell
réparer les co
d’une cyber-a
Si la majorité de
conscientes de le
cyber-attaques, elle
toujours les mesu
d’êtrerésilientesen
En cas d’agression,
pouvoir collecter d
possible la compré
de l’attaque ainsi
lacunes de ses disp
Au-delà de la r
les entreprises do
de réagir en ma
d’assurance pour l
attaques sur leurs fi
REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 33
Votre entreprise est-elle
équipée d’outils permettant
la traçabilité /
l’enregistrement / la collecte
des traces
et preuves de l’agression
détectée ?
Trop peu d’organisations (44%) disposent
de moyens permettant la traçabilité, l’enre-
gistrement, la collecte des traces et preuves
des agressions avérées.Or ces éléments sont
essentiels à l’identification des failles et à la
mise en place d’actions correctives.
Intro-
duction
Quels moyens
les entreprises
déploient-elles pour
réparer les conséquences
d’une cyber-attaque ?
Si la majorité des entreprises sont
conscientes de leur exposition aux
cyber-attaques, elles ne prennent pas
toujours les mesures leur permettant
d’êtrerésilientesencasd’attaqueavérée.
En cas d’agression, il est important de
pouvoir collecter des éléments rendant
possible la compréhension des ressorts
de l’attaque ainsi que d’identifier les
lacunes de ses dispositifs de protection.
Au-delà de la réaction technique,
les entreprises doivent être à même
de réagir en matière juridique et
d’assurance pour limiter l’impact des
attaques sur leurs finances. 1 Oui : 44%
2 Non : 56%
2
1
Collecter
des preuves
34 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Votre entreprise dispose-t-elle
de moyens d’analyse post-mortem
des incidents de sécurité (forensic) ?
Comme en 2013, plus du tiers des organisations
n’est pas en mesure d’analyser les incidents post
mortem, alors que davantage d’entre elles mènent des
investigations après avoir constaté une anomalie.Il leur
est donc difficile de comprendre le mode opératoire
des assaillants et d’évaluer précisément l’impact de
l’attaque sur le système d’information et les données
de l’entreprise. Elles ne sont par conséquent pas à
même de capitaliser sur les incidents de sécurité et
restent exposées à des attaques de même nature.
Cela augmente également les conséquences des
attaques pour les entreprises qui sont en incapacité de
déposer plainte.
1
2
3
1 Oui, par des dispositifs
internes : 27%
2 Oui, par des interventions
externes : 37%
3 Non : 36%
Votre entreprise a-t-elle défini
les processus permettant
la prise en compte des aspects
juridique et assurance
(dossier de plainte /
dossier de preuve, estimation
du préjudice subi,
demande d’indemnisation)
suite à une cyber-attaque ?
La proportion d’entreprise déclarant avoir
anticipé les démarches juridiques et assurantiels
consécutives à une cyber-attaque n’a pas
progressé par rapport à 2013. Ce manque de
préparation peut mettre en péril la récupération,
voire la pérennité d’une entreprise fortement
fragilisée par une attaque.
1 Oui : 39%
2 Non : 61%
1
2
REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 35
Conclusion
Le déploiement d’outils et de moyens liés à la récupération après une
cyber-attaque reste insuffisant dans les entreprises. Dans un contexte
où la probabilité d’occurrence d’une telle agression est élevée pour les
grands groupes, les PME comme les organisations du secteur public,
d’avantage doit être fait pour se préparer à limiter les conséquences
d’une cyber-attaque. D’un point de vue technique, les entreprises
doivent investir dans des moyens techniques et humains permettant de
tirer les enseignements des attaques qu’elles subissent pour améliorer
leurs dispositifs de détection et de réaction. Elles doivent également
s’appuyer sur les contrats d’assurance complétant les polices classiques
et couvrant notamment les frais d’expertise technique, d’extorsion, de
communication de crise, de justice ou encore les pertes directes et
indirectes suite à une cyber-attaque.
ar des dispositifs
es : 27%
ar des interventions
es : 37%
36%
e a-t-elle défini
ermettant
pte des aspects
urance
nte /
ve, estimation
bi,
mnisation)
er-attaque ?
prise déclarant avoir
uridiques et assurantiels
cyber-attaque n’a pas
2013. Ce manque de
en péril la récupération,
e entreprise fortement
e.
36 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
Chapitre 5
Sensibilisation
N
2
CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 37REPRISES FRANÇAISES ?
Des campagnes
de sensibilisation à la sécurité
de l’information auprès
des collaborateurs sont-elles
planifiées ?
Engagées dans l’implication des utilisateurs
dans leurs dispositifs de détection des
attaques, 77% des entreprises déclarent mener
des campagnes de sensibilisation auprès de
leurs collaborateurs. Le tiers les sensibilise aux
risques de cyber-attaques. Cette sensibilisation
est d’autant plus importante que la plupart
des attaques ciblent majoritairement les
utilisateurs.
L’amélioration de la résilience des entreprises
face aux cyber-attaques passe donc par
une systématisation et une récurrence de
l’implication des utilisateurs en matière de
prévention, de détection, mais également de
réaction aux attaques.
Cyber-attaque
33%
Information
44%
Non
23%
38 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ?
1
2
3
Les moyens (techniques
et organisationnels)
de réaction aux crises
de type cyber-attaque
sont-ils réévalués ?
Par rapport à 2013,les entreprises ont progressé
suivant le modèle d’amélioration continue de
leurs dispositifs de réponse aux cyber-attaques.
Elles sont aujourd’hui 21% à les réévaluer
chaque année et 11% après chaque test,contre
17% et 7% dans la précédente édition de cette
étude. Notons que seules 18% d’entre elles
réévaluent leurs moyens de réaction après une
cyber-attaque, ce qui ralentit leur montée en
maturité.
1 Oui - sans scénario
cyber-attque : 7%
2 Oui - avec un scénario
cyber-attque : 28%
3 Non : 65%
Conclusion
L’expérience montre que les attaques actuelles s’appuient généralement sur
des scénarios ciblant les utilisateurs. Ces derniers doivent par conséquent être
impliqués dans tous les dispositifs de lutte contre les cyber-attaques. Cela implique
non seulement de communiquer auprès d’eux pour leur permettre de jouer un
rôle passif dans la sécurité du SI, mais aussi de leur donner un rôle actif. Plus
concrètement, il s’agit de dépasser le modèle selon lequel l’utilisateur était invité à
éviter les comportements à risques pour atteindre une nouvelle forme de défense
intégrant l’utilisateur en matière de prévention, de détection et de réaction.
CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 39REPRISES FRANÇAISES ?
Oui - sans scénario
yber-attque : 7%
Oui - avec un scénario
yber-attque : 28%
Non : 65%
Conclusion
générale
Depuis notre précédente étude, en 2013, les entreprises ont
véritablementprislamesuredelamenacequeconstituaitpourellesles
cyber-attaques. Beaucoup reste cependant à faire pour assurer un
niveau de résilience optimal aux entreprises, petites ou grandes.
Les entreprises se sont en effet investies dans la lutte contre la
cybercriminalité, mais cette préparation reste trop théorique dans
la mesure où elles réalisent encore trop peu de simulations de
cyber-crise et ne réévaluent pas régulièrement leurs dispositifs de
détection et de réaction.
La nature et l’ampleur de la menace exigent aujourd’hui de changer
de paradigme en passant d’un modèle de défense rigide s’appuyant
sur la dissuasion et la prévention à une réponse globale incluant des
moyens de réaction aux attaques.
Pour ce faire, les entreprises doivent davantage entraîner leurs
collaborateurs– les équipes techniques comme les utilisateurs– à
identifier les signes d’une attaque en cours. Elles doivent également
œuvrer à l’amélioration continue de leurs outils de détection et de
réponses ainsi qu’à celle de leurs dispositifs organisationnels.
Enfin, notre étude a mis en évidence un dangereux manque de maturité
des petites et moyennes entreprises qui restent moins outillées et
organisées que les grands groupes face aux cyber-attaques.Or elles ne
sont pas moins exposées à cette menace et peuvent être fatalement
fragilisées par un vol de données ou un acte de sabotage de leur SI.
néralement sur
conséquent être
es. Cela implique
tre de jouer un
n rôle actif. Plus
eur était invité à
orme de défense
réaction.
CYBER-ATTAQUE: OÙ EN SONT LES ENTREPRISES FRANÇAISES ? Enquête 2015

Contenu connexe

Tendances

rapport de projet de fin d'étude_PFE
rapport de projet de fin d'étude_PFErapport de projet de fin d'étude_PFE
rapport de projet de fin d'étude_PFEDonia Hammami
 
PFE :: Application de gestion des dus d'enseignement
PFE :: Application de gestion des dus d'enseignementPFE :: Application de gestion des dus d'enseignement
PFE :: Application de gestion des dus d'enseignementNassim Bahri
 
Rapport de projet de conception et de développement
Rapport de projet de conception et de développementRapport de projet de conception et de développement
Rapport de projet de conception et de développementDonia Hammami
 
Mémoire fin d'étude gestion des interventions
Mémoire fin d'étude gestion des interventionsMémoire fin d'étude gestion des interventions
Mémoire fin d'étude gestion des interventionsMohamed Arar
 
Conception et développement de la gestion de visa sous Dynamics Ax R2
Conception et développement de la gestion de visa sous Dynamics Ax R2Conception et développement de la gestion de visa sous Dynamics Ax R2
Conception et développement de la gestion de visa sous Dynamics Ax R2Rawdha MABROUKI
 
réaliser une plateforme d’automatisation et de génération des rapports de test
réaliser une plateforme d’automatisation et de génération des rapports de testréaliser une plateforme d’automatisation et de génération des rapports de test
réaliser une plateforme d’automatisation et de génération des rapports de testahmed oumezzine
 
Evaluation de la quantité de travail (in)utile dans l’exécution des programmes
Evaluation de la quantité de travail (in)utile dans l’exécution des programmesEvaluation de la quantité de travail (in)utile dans l’exécution des programmes
Evaluation de la quantité de travail (in)utile dans l’exécution des programmesBenjamin Vidal
 
Le logiciel libre dans le secteur public, un état des lieux en juin 2013
Le logiciel libre dans le secteur public, un état des lieux en juin 2013Le logiciel libre dans le secteur public, un état des lieux en juin 2013
Le logiciel libre dans le secteur public, un état des lieux en juin 2013Benjamin Vidal
 
Livre blanc de J2ME
Livre blanc de J2MELivre blanc de J2ME
Livre blanc de J2MEBruno Delb
 
Rapport Auditeurs Cigref Inhesj - Sécurité des objets connectés - Décembre 2014
Rapport Auditeurs Cigref Inhesj - Sécurité des objets connectés - Décembre 2014Rapport Auditeurs Cigref Inhesj - Sécurité des objets connectés - Décembre 2014
Rapport Auditeurs Cigref Inhesj - Sécurité des objets connectés - Décembre 2014polenumerique33
 
Cours gestion-de-production
Cours gestion-de-productionCours gestion-de-production
Cours gestion-de-productionRachid Rachido
 
Management des risques_ww_w.vosbooks.net__0
Management des risques_ww_w.vosbooks.net__0Management des risques_ww_w.vosbooks.net__0
Management des risques_ww_w.vosbooks.net__0rahma amine
 
Outpatient Department System (OPD)
Outpatient Department System (OPD) Outpatient Department System (OPD)
Outpatient Department System (OPD) Ben Ahmed Zohra
 
Conception et developpement d'une application mobile Android e-location
Conception et developpement d'une application mobile Android e-locationConception et developpement d'une application mobile Android e-location
Conception et developpement d'une application mobile Android e-locationALALSYSE
 

Tendances (18)

rapport de projet de fin d'étude_PFE
rapport de projet de fin d'étude_PFErapport de projet de fin d'étude_PFE
rapport de projet de fin d'étude_PFE
 
PFE :: Application de gestion des dus d'enseignement
PFE :: Application de gestion des dus d'enseignementPFE :: Application de gestion des dus d'enseignement
PFE :: Application de gestion des dus d'enseignement
 
Rapport de projet de conception et de développement
Rapport de projet de conception et de développementRapport de projet de conception et de développement
Rapport de projet de conception et de développement
 
Nagios
NagiosNagios
Nagios
 
Rapport pfev7
Rapport pfev7Rapport pfev7
Rapport pfev7
 
Mémoire fin d'étude gestion des interventions
Mémoire fin d'étude gestion des interventionsMémoire fin d'étude gestion des interventions
Mémoire fin d'étude gestion des interventions
 
Conception et développement de la gestion de visa sous Dynamics Ax R2
Conception et développement de la gestion de visa sous Dynamics Ax R2Conception et développement de la gestion de visa sous Dynamics Ax R2
Conception et développement de la gestion de visa sous Dynamics Ax R2
 
réaliser une plateforme d’automatisation et de génération des rapports de test
réaliser une plateforme d’automatisation et de génération des rapports de testréaliser une plateforme d’automatisation et de génération des rapports de test
réaliser une plateforme d’automatisation et de génération des rapports de test
 
Evaluation de la quantité de travail (in)utile dans l’exécution des programmes
Evaluation de la quantité de travail (in)utile dans l’exécution des programmesEvaluation de la quantité de travail (in)utile dans l’exécution des programmes
Evaluation de la quantité de travail (in)utile dans l’exécution des programmes
 
Technocles2010 1
Technocles2010 1Technocles2010 1
Technocles2010 1
 
Le logiciel libre dans le secteur public, un état des lieux en juin 2013
Le logiciel libre dans le secteur public, un état des lieux en juin 2013Le logiciel libre dans le secteur public, un état des lieux en juin 2013
Le logiciel libre dans le secteur public, un état des lieux en juin 2013
 
Livre blanc de J2ME
Livre blanc de J2MELivre blanc de J2ME
Livre blanc de J2ME
 
Rapport Auditeurs Cigref Inhesj - Sécurité des objets connectés - Décembre 2014
Rapport Auditeurs Cigref Inhesj - Sécurité des objets connectés - Décembre 2014Rapport Auditeurs Cigref Inhesj - Sécurité des objets connectés - Décembre 2014
Rapport Auditeurs Cigref Inhesj - Sécurité des objets connectés - Décembre 2014
 
Pfe 2015
Pfe 2015Pfe 2015
Pfe 2015
 
Cours gestion-de-production
Cours gestion-de-productionCours gestion-de-production
Cours gestion-de-production
 
Management des risques_ww_w.vosbooks.net__0
Management des risques_ww_w.vosbooks.net__0Management des risques_ww_w.vosbooks.net__0
Management des risques_ww_w.vosbooks.net__0
 
Outpatient Department System (OPD)
Outpatient Department System (OPD) Outpatient Department System (OPD)
Outpatient Department System (OPD)
 
Conception et developpement d'une application mobile Android e-location
Conception et developpement d'une application mobile Android e-locationConception et developpement d'une application mobile Android e-location
Conception et developpement d'une application mobile Android e-location
 

En vedette

How to become a Networking Master
How to become a Networking MasterHow to become a Networking Master
How to become a Networking MasterSofia M
 
Make your home more Eco-Friendly
Make your home more Eco-FriendlyMake your home more Eco-Friendly
Make your home more Eco-FriendlySofia M
 
برنامج سكايب
برنامج سكايببرنامج سكايب
برنامج سكايبsaeed-2009
 
Estudio de caso
Estudio de casoEstudio de caso
Estudio de casoYeison Al
 
Clinical Case Management of Outbreaks of Influenza-Like
Clinical Case Management of Outbreaks of Influenza-Like Clinical Case Management of Outbreaks of Influenza-Like
Clinical Case Management of Outbreaks of Influenza-Like Ashraf ElAdawy
 
في التعليمYoutube استخدام
  في التعليمYoutube استخدام  في التعليمYoutube استخدام
في التعليمYoutube استخدامGrany E
 
ورشة عمل تصميم طرق البحث
ورشة عمل تصميم طرق البحثورشة عمل تصميم طرق البحث
ورشة عمل تصميم طرق البحثresearchcenterm
 
تقويم التعليم المدمج
تقويم التعليم المدمجتقويم التعليم المدمج
تقويم التعليم المدمجsaeed-2009
 
Extraction mots de passe par attaque Man-in-the-middle
Extraction mots de passe par attaque Man-in-the-middleExtraction mots de passe par attaque Man-in-the-middle
Extraction mots de passe par attaque Man-in-the-middleBruno Valentin
 
4.2.8 plan familiar de emergencias
4.2.8 plan familiar de emergencias4.2.8 plan familiar de emergencias
4.2.8 plan familiar de emergenciasDiego Ramirez
 

En vedette (15)

Bbm k
Bbm kBbm k
Bbm k
 
How to become a Networking Master
How to become a Networking MasterHow to become a Networking Master
How to become a Networking Master
 
Make your home more Eco-Friendly
Make your home more Eco-FriendlyMake your home more Eco-Friendly
Make your home more Eco-Friendly
 
برنامج سكايب
برنامج سكايببرنامج سكايب
برنامج سكايب
 
Estudio de caso
Estudio de casoEstudio de caso
Estudio de caso
 
Clinical Case Management of Outbreaks of Influenza-Like
Clinical Case Management of Outbreaks of Influenza-Like Clinical Case Management of Outbreaks of Influenza-Like
Clinical Case Management of Outbreaks of Influenza-Like
 
Climate graphs
Climate graphsClimate graphs
Climate graphs
 
في التعليمYoutube استخدام
  في التعليمYoutube استخدام  في التعليمYoutube استخدام
في التعليمYoutube استخدام
 
Ijmet 06 10_009
Ijmet 06 10_009Ijmet 06 10_009
Ijmet 06 10_009
 
ورشة عمل تصميم طرق البحث
ورشة عمل تصميم طرق البحثورشة عمل تصميم طرق البحث
ورشة عمل تصميم طرق البحث
 
تقويم التعليم المدمج
تقويم التعليم المدمجتقويم التعليم المدمج
تقويم التعليم المدمج
 
Extraction mots de passe par attaque Man-in-the-middle
Extraction mots de passe par attaque Man-in-the-middleExtraction mots de passe par attaque Man-in-the-middle
Extraction mots de passe par attaque Man-in-the-middle
 
4.2.8 plan familiar de emergencias
4.2.8 plan familiar de emergencias4.2.8 plan familiar de emergencias
4.2.8 plan familiar de emergencias
 
Spirometry
SpirometrySpirometry
Spirometry
 
IoT_Implemented
IoT_ImplementedIoT_Implemented
IoT_Implemented
 

Similaire à CYBER-ATTAQUE: OÙ EN SONT LES ENTREPRISES FRANÇAISES ? Enquête 2015

Guide routard intelligence économique 2014
Guide routard intelligence économique 2014Guide routard intelligence économique 2014
Guide routard intelligence économique 2014polenumerique33
 
Guide du routard de l'intelligence économique - édition 2014
Guide du routard de l'intelligence économique - édition 2014 Guide du routard de l'intelligence économique - édition 2014
Guide du routard de l'intelligence économique - édition 2014 echangeurba
 
Livre blanc : La cyber-résilience : une nouvelle vision sur la sécurité
Livre blanc : La cyber-résilience : une nouvelle vision sur la sécuritéLivre blanc : La cyber-résilience : une nouvelle vision sur la sécurité
Livre blanc : La cyber-résilience : une nouvelle vision sur la sécuritéSymantec
 
M-Trends 2015 : Les nouvelles du front
M-Trends 2015 : Les nouvelles du frontM-Trends 2015 : Les nouvelles du front
M-Trends 2015 : Les nouvelles du frontFireEye, Inc.
 
Advergaming et génération Y
Advergaming et génération YAdvergaming et génération Y
Advergaming et génération YCamille Anscombre
 
Livre blanc Guide d'évaluation SAP
Livre blanc Guide d'évaluation SAPLivre blanc Guide d'évaluation SAP
Livre blanc Guide d'évaluation SAPAntoine Vigneron
 
Bi methodes agiles
Bi methodes agilesBi methodes agiles
Bi methodes agilesyoussef222
 
Construire un Design System
Construire un Design SystemConstruire un Design System
Construire un Design SystemWORLD OF DIGITS
 
Document 1298928018
Document 1298928018Document 1298928018
Document 1298928018haytam00
 
Rapport Projet de Fin d'Etudes
Rapport Projet de Fin d'EtudesRapport Projet de Fin d'Etudes
Rapport Projet de Fin d'EtudesHosni Mansour
 
ETUDE - Le Digital dans l'Assurance
ETUDE - Le Digital dans l'AssuranceETUDE - Le Digital dans l'Assurance
ETUDE - Le Digital dans l'AssuranceYann Fontes
 
La boîte à outils de l'Intelligence Economique
La boîte à outils de l'Intelligence EconomiqueLa boîte à outils de l'Intelligence Economique
La boîte à outils de l'Intelligence EconomiqueTerry ZIMMER
 
En association avec le CEFRIO et HEC Montréal, le CIGREF délivre les résultat...
En association avec le CEFRIO et HEC Montréal, le CIGREF délivre les résultat...En association avec le CEFRIO et HEC Montréal, le CIGREF délivre les résultat...
En association avec le CEFRIO et HEC Montréal, le CIGREF délivre les résultat...nuntiis
 
Rapport pfe isi_Big data Analytique
Rapport pfe isi_Big data AnalytiqueRapport pfe isi_Big data Analytique
Rapport pfe isi_Big data AnalytiqueYosra ADDALI
 
Tendances cloud-livre-blanc-collaboratif
Tendances cloud-livre-blanc-collaboratifTendances cloud-livre-blanc-collaboratif
Tendances cloud-livre-blanc-collaboratifharrybosch
 
Conception et développement d'une application de gestion de production et de ...
Conception et développement d'une application de gestion de production et de ...Conception et développement d'une application de gestion de production et de ...
Conception et développement d'une application de gestion de production et de ...Mohamed Aziz Chetoui
 
Quelles compétences pour demain ?
Quelles compétences pour demain ?Quelles compétences pour demain ?
Quelles compétences pour demain ?Expectra
 
Quelles compétences pour demain? Le guide des métiers en évolution
Quelles compétences pour demain? Le guide des métiers en évolutionQuelles compétences pour demain? Le guide des métiers en évolution
Quelles compétences pour demain? Le guide des métiers en évolutionGroupe Randstad France
 

Similaire à CYBER-ATTAQUE: OÙ EN SONT LES ENTREPRISES FRANÇAISES ? Enquête 2015 (20)

Guide routard intelligence économique 2014
Guide routard intelligence économique 2014Guide routard intelligence économique 2014
Guide routard intelligence économique 2014
 
Guide du routard de l'intelligence économique - édition 2014
Guide du routard de l'intelligence économique - édition 2014 Guide du routard de l'intelligence économique - édition 2014
Guide du routard de l'intelligence économique - édition 2014
 
Livre blanc : La cyber-résilience : une nouvelle vision sur la sécurité
Livre blanc : La cyber-résilience : une nouvelle vision sur la sécuritéLivre blanc : La cyber-résilience : une nouvelle vision sur la sécurité
Livre blanc : La cyber-résilience : une nouvelle vision sur la sécurité
 
M-Trends 2015 : Les nouvelles du front
M-Trends 2015 : Les nouvelles du frontM-Trends 2015 : Les nouvelles du front
M-Trends 2015 : Les nouvelles du front
 
Advergaming et génération Y
Advergaming et génération YAdvergaming et génération Y
Advergaming et génération Y
 
Livre blanc Guide d'évaluation SAP
Livre blanc Guide d'évaluation SAPLivre blanc Guide d'évaluation SAP
Livre blanc Guide d'évaluation SAP
 
Bi methodes agiles
Bi methodes agilesBi methodes agiles
Bi methodes agiles
 
Construire un Design System
Construire un Design SystemConstruire un Design System
Construire un Design System
 
Document 1298928018
Document 1298928018Document 1298928018
Document 1298928018
 
Rapport Projet de Fin d'Etudes
Rapport Projet de Fin d'EtudesRapport Projet de Fin d'Etudes
Rapport Projet de Fin d'Etudes
 
ETUDE - Le Digital dans l'Assurance
ETUDE - Le Digital dans l'AssuranceETUDE - Le Digital dans l'Assurance
ETUDE - Le Digital dans l'Assurance
 
La boîte à outils de l'Intelligence Economique
La boîte à outils de l'Intelligence EconomiqueLa boîte à outils de l'Intelligence Economique
La boîte à outils de l'Intelligence Economique
 
En association avec le CEFRIO et HEC Montréal, le CIGREF délivre les résultat...
En association avec le CEFRIO et HEC Montréal, le CIGREF délivre les résultat...En association avec le CEFRIO et HEC Montréal, le CIGREF délivre les résultat...
En association avec le CEFRIO et HEC Montréal, le CIGREF délivre les résultat...
 
Coder proprement
Coder proprementCoder proprement
Coder proprement
 
Rapport pfe isi_Big data Analytique
Rapport pfe isi_Big data AnalytiqueRapport pfe isi_Big data Analytique
Rapport pfe isi_Big data Analytique
 
Tendances cloud
Tendances cloudTendances cloud
Tendances cloud
 
Tendances cloud-livre-blanc-collaboratif
Tendances cloud-livre-blanc-collaboratifTendances cloud-livre-blanc-collaboratif
Tendances cloud-livre-blanc-collaboratif
 
Conception et développement d'une application de gestion de production et de ...
Conception et développement d'une application de gestion de production et de ...Conception et développement d'une application de gestion de production et de ...
Conception et développement d'une application de gestion de production et de ...
 
Quelles compétences pour demain ?
Quelles compétences pour demain ?Quelles compétences pour demain ?
Quelles compétences pour demain ?
 
Quelles compétences pour demain? Le guide des métiers en évolution
Quelles compétences pour demain? Le guide des métiers en évolutionQuelles compétences pour demain? Le guide des métiers en évolution
Quelles compétences pour demain? Le guide des métiers en évolution
 

Dernier

KIT-COPILOT and more Article du 20240311
KIT-COPILOT and more Article du 20240311KIT-COPILOT and more Article du 20240311
KIT-COPILOT and more Article du 20240311Erol GIRAUDY
 
Installation de Sylius 2.0 et découverte du nouveau backoffice en Bootstrap
Installation de Sylius 2.0 et découverte du nouveau backoffice en BootstrapInstallation de Sylius 2.0 et découverte du nouveau backoffice en Bootstrap
Installation de Sylius 2.0 et découverte du nouveau backoffice en BootstrapMaxime Huran 🌈
 
Mes succès sur Microsoft LEARN et examens
Mes succès sur Microsoft LEARN et examensMes succès sur Microsoft LEARN et examens
Mes succès sur Microsoft LEARN et examensErol GIRAUDY
 
Les Metiers de l'Intelligence Artificielle
Les Metiers de l'Intelligence ArtificielleLes Metiers de l'Intelligence Artificielle
Les Metiers de l'Intelligence ArtificielleErol GIRAUDY
 
The Importance of Indoor Air Quality (French)
The Importance of Indoor Air Quality (French)The Importance of Indoor Air Quality (French)
The Importance of Indoor Air Quality (French)IES VE
 
Workshop l'IA au service de l'industrie - Présentation générale - Extra 14...
Workshop l'IA au service de l'industrie - Présentation générale - Extra 14...Workshop l'IA au service de l'industrie - Présentation générale - Extra 14...
Workshop l'IA au service de l'industrie - Présentation générale - Extra 14...Infopole1
 

Dernier (6)

KIT-COPILOT and more Article du 20240311
KIT-COPILOT and more Article du 20240311KIT-COPILOT and more Article du 20240311
KIT-COPILOT and more Article du 20240311
 
Installation de Sylius 2.0 et découverte du nouveau backoffice en Bootstrap
Installation de Sylius 2.0 et découverte du nouveau backoffice en BootstrapInstallation de Sylius 2.0 et découverte du nouveau backoffice en Bootstrap
Installation de Sylius 2.0 et découverte du nouveau backoffice en Bootstrap
 
Mes succès sur Microsoft LEARN et examens
Mes succès sur Microsoft LEARN et examensMes succès sur Microsoft LEARN et examens
Mes succès sur Microsoft LEARN et examens
 
Les Metiers de l'Intelligence Artificielle
Les Metiers de l'Intelligence ArtificielleLes Metiers de l'Intelligence Artificielle
Les Metiers de l'Intelligence Artificielle
 
The Importance of Indoor Air Quality (French)
The Importance of Indoor Air Quality (French)The Importance of Indoor Air Quality (French)
The Importance of Indoor Air Quality (French)
 
Workshop l'IA au service de l'industrie - Présentation générale - Extra 14...
Workshop l'IA au service de l'industrie - Présentation générale - Extra 14...Workshop l'IA au service de l'industrie - Présentation générale - Extra 14...
Workshop l'IA au service de l'industrie - Présentation générale - Extra 14...
 

CYBER-ATTAQUE: OÙ EN SONT LES ENTREPRISES FRANÇAISES ? Enquête 2015

  • 1. CYBER-ATTAQUES Où en sont les entreprises françaises ?
  • 2. Sommaire Quelques mots sur Quelques mots sur Editoriaux. . . . . . . . Méthodologie / P Présentation de l’é Présentation de la Structure et thémati Synthèse de l’échan Dans quel secteur d A l’exception de la lo règlements votre en A l’exception des do des données sensibl de santé ou relevant Chapitre 1 - Prépa Introduction . . . . . . Des entreprises co Votre entreprise a-t-e cyber-attaque ? . . . . Quel intérêt représe Selon vous, quel typ Comprendre et car Votre entreprise disp des menaces de type Organisez-vous des t Se préparer à la ge Avez-vous déjà réalisé Externalisation et Evaluez-vous le nive
  • 3. CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 3 Quelques mots sur Provadys. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Quelques mots sur le CESIN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Editoriaux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Méthodologie / Profil des répondants Présentation de l’étude. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Présentation de la méthodologie de l’étude . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Structure et thématique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Synthèse de l’échantillon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Dans quel secteur d’activité votre entreprise se situe-t-elle ? . . . . . . . . . . . . . . . . . . . . . . . 10 A l’exception de la loi informatique et libertés, à quels normes / lois / règlements votre entreprise est-elle soumise ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 A l’exception des données à caractère personnel, votre entreprise manipule-t-elle des données sensibles telles que des données classifiées, de cartes de paiement, de santé ou relevant du secret industriel ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Chapitre 1 - Préparation Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Des entreprises conscientes de leur exposition aux cyber-attaques . . . . . . . . . . . 13 Votre entreprise a-t-elle déjà été affectée par une ou plusieurs crises de type cyber-attaque ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Quel intérêt représentez-vous pour un attaquant ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 Selon vous, quel type de cible votre entreprise est-elle ? . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 Comprendre et caractériser la menace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 Votre entreprise dispose-t-elle de moyens spécifiques ou dédiés à la prise en compte des menaces de type attaques informatiques ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Organisez-vous des tests d’intrusion sur vos sites les plus sensibles ?. . . . . . . . . . . . . . . 15 Se préparer à la gestion d’une cyber-crise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 Avez-vous déjà réalisé un exercice de crise comprenant un scénario de cyber-attaque ? . . 16 Externalisation et cybercriminalité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 Evaluez-vous le niveau de sécurité de vos prestataires ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
  • 4. 4 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? Cartographier son SI pour mieux le protéger. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 Gouvernance en matière de sécurité de l’information et continuité d’activité . . 18 Votre entreprise dispose-t-elle d’une Politique de Sécurité de l’Information (PSSI) ?. 18 La politique de continuité d’activité de votre entreprise prend-elle en compte le risque de cyber-attaque ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 Chapitre 2 - Détection Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 Votre entreprise a-t-elle mis en place les outils suivants ? . . . . . . . . . . . . . . . . . . . . . . . . . . 21 Votre entreprise a-t-elle mis en place une organisation pour détecter les incidents de sécurité ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 Cette organisation repose-t-elle sur une équipe dédiée, une équipe IT ou bien une équipe transverse ? : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 Votre entreprise dispose-t-elle d’un SOC, d’un CERT ou d’un CSIRT ? : . . . . . . . . . . . . . . 23 Dans le cadre de la surveillance opérationnelle de la sécurité de vos systèmes d’information, des investigations sont-elles réalisées ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 Est-ce que votre entreprise réévalue ses moyens de détection (organisationnels et humains) ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 Chapitre 3 - Réaction Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 Votre entreprise dispose-t-elle d’une organisation lui permettant de réagir efficacement en cas d’incident de sécurité ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 Cette organisation, repose-t-elle une équipe dédiée, une équipe transverse, une équipe IT ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 Votre entreprise dispose-t-elle de critères pour qualifier l’incident de sécurité et déclencher une situation de cyber-crise ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 Votre entreprise a-t-elle défini les acteurs, leurs rôles et responsabilités en cas de survenance d’une cyber-crise ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 Votre dispositif de crise prévoit-il la sollicitation d’experts ?. . . . . . . . . . . . . . . . . . . . . . . . 29 Les collaborateurs pa de réaction aux cybe Votre entreprise dispo Votre entreprise a-t-e Les moyens (techniq cyber-attaque sont-il Conclusion. . . . . . . . . Chapitre 4 - Récup Introduction . . . . . . . Votre entreprise est-e la collecte des traces Votre entreprise a-t-e juridique et assuranc subit, demande d’ind Votre entreprise disp de sécurité (forensic) Conclusion . . . . . . . . . Chapitre 5 - Sensib Des campagnes de s des collaborateurs so Avez-vous prévu une Conclusion . . . . . . . . . Conclusion généra
  • 5. EPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 5 . . . . . . . . . . . . . . . 18 uité d’activité . . 18 mation (PSSI) ?. 18 n compte . . . . . . . . . . . . . . . 19 . . . . . . . . . . . . . . . 19 . . . . . . . . . . . . . . . 21 . . . . . . . . . . . . . . . 21 r les incidents . . . . . . . . . . . . . . . 22 IT . . . . . . . . . . . . . . . 22 ? : . . . . . . . . . . . . . . 23 systèmes . . . . . . . . . . . . . . . 24 . . . . . . . . . . . . . . . 25 . . . . . . . . . . . . . . . 25 . . . . . . . . . . . . . . . 27 réagir . . . . . . . . . . . . . . . 27 nsverse, . . . . . . . . . . . . . . . 28 e sécurité . . . . . . . . . . . . . . . 28 tés . . . . . . . . . . . . . . . 28 . . . . . . . . . . . . . . . 29 Les collaborateurs participent-ils d’une manière ou d’une autre aux plans de réaction aux cyber-attaques définis ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 Votre entreprise dispose-t-elle d’une ou plusieurs solutions techniques de réaction ? . 30 Votre entreprise a-t-elle définit des processus de notifications et de communication ? 30 Les moyens (techniques et organisationnels) de réaction aux crises de type cyber-attaque sont-ils réévalués ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 Conclusion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 Chapitre 4 - Récupération Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 Votre entreprise est-elle équipée d’outils permettant la traçabilité / l’enregistrement / la collecte des traces et preuves de l’agression détectée ? . . . . . . . . . . . . . . . . . . . . . . . . . . 33 Votre entreprise a-t-elle défini les processus permettant la prise en compte des aspects juridique et assurance (dossier de plainte / dossier de preuve, estimation du préjudice subit, demande d’indemnisation) suite à une Cyber Attaque ? . . . . . . . . . . . . . . . . . . . . . . 34 Votre entreprise dispose-t-elle de moyens d’analyse post-mortem des incidents de sécurité (forensic) ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 Chapitre 5 - Sensibilisation Des campagnes de sensibilisation à la sécurité de l’information auprès des collaborateurs sont-elles planifiées ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 Avez-vous prévu une simulation de crise dans l’année ? . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 Conclusion générale. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
  • 6. 6 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? Quelques mots sur le CESIN Le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) est une association loi 1901,créée en juillet 2012,avec des objectifs de professionnalisation,de promotion et de partage autour de la sécurité de l’information et du numérique. C’est un lieu d’échange de connaissances et d’expériences qui permet la coopération entre experts de la sécurité de l’information et du numérique et les pouvoirs publics.Le Club conduit des ateliers et groupes de travail, mène des actions de sensibilisation et de conseil, organise des congrès, colloques, ou conférences. Il participe à des démarches nationales dont l’objet est la promotion de la sécurité de l’information et du numérique. Il est force de proposition sur des textes règlementaires,guides et autres référentiels. Gestion des risques & Sécurité de l’information Spécialiste des technologies de l’information, Provadys accompagne les organisations dans leurs grands projets de transformation. Pour appréhender au mieux les défis de la gestion des risques liés aux SI, Provadys tire profit de son ancrage multisectoriel. L’approche globale que nous mettons en place combine notre expertise en matière de gouvernance et transformation des SI de gestion globale des risques au bénéfice d’une approche spécifique des risques IT. Ainsi, l’expertise Provadys Information Security, se déploie en trois axes, la sécurité des SI, la conformité mais aussi la résilience et la continuité d’activité. E Information Security Pour une sécurité optimale
  • 7. EPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 7 Numérique) est une essionnalisation,de du numérique. C’est a coopération entre oirs publics.Le Club ensibilisation et de pe à des démarches on et du numérique. utres référentiels. es organisations dans défis de la gestion des approche globale que nce et transformation ifique des risques IT. es, la sécurité des SI, Edito Luc Delpha Partner & Lead Provadys Information Security Dans nos systèmes d’information de plus en plus complexes, les pannes, défaillances matérielles ou logicielles sont devenues tellement incontournables que toutes les entreprises se sont préparées à y faire face. Elles ont donc admis qu’elles devaient être capables de continuer à fonctionner en dépit de l’occurrence de ces évènements. Elles ont également mis en œuvre des moyens permettant d’atteindre, au moins partiellement, cet objectif. De la même manière, les entreprises sont confrontées au caractère quasi-inévitable des attaques contre leurs systèmes d’information. Cette seconde étude menée par Provadys dans le cadre du CESIN permet de mesurer le chemin parcouru depuis 2013. Si les entreprises ont aujourd’hui globalement pris la mesure du phénomène, notre étude démontre qu’elles sont encore insuffisamment préparées et outillées pour faire face à des cyber-attaques de plus en plus sophistiquées. Alain Bouillé Président du CESIN Cette seconde édition de l’enquête montre un certain progrès dans la majorité des entreprises. Ces progrès se traduisent par un renforcement des capacités de détection avec des process, des outils sans oublier les hommes qui commencent à faire leur preuve dans la capacité de l’entreprise à savoir qu’elle est attaquée. Si les entreprises ont, au fil des ans, appréhendé les différents risques systémiques qui peuvent s’abattre sur elles au travers de leurs plans de continuité d’entreprise ; il reste encore beaucoup de chemin à parcourir pour intégrer le risque cyber dans les process de gestion de crise de l’entreprise. Nos démarches de sensibilisation doivent être repensées ; malgré tous les efforts déjà déployés. Car de toute évidence, l’utilisateur connaîtra de plus en plus de difficultés à distinguer une sollicitation légitime d’une malveillante, tant certaines attaques sont minutieusement planifiées et ciblées. Egalement, les outils de protection vont nécessiter de gagner encore en efficacité pour protéger les entrées au SI de l’entreprise, qui vont par ailleurs se démultiplier avec l’ultra-mobilité en marche. Une étude réalisée dans le cadre d’un partenariat entre Provadys et le CESIN
  • 8. 8 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? Méthodologie Profil des répondants Synthèse de l 119 RSSI et managers o et 62% sont des entrep moins de 50 collaborat Prése de la de l’é Pré deL’objectif de cette est de mettre en l pour se préparer mieux comprend cyber-attaques. C vise aujourd’hui
  • 9. REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 9 ie nts Structure et thématique Provadys, en partenariat avec le Cesin, a réalisé une enquête auprès de Responsables de la Sécurité des Systèmes d’Information, mais aussi de Directeurs Techniques et de Directeurs Généraux d’organisation françaises et internationales. Un questionnaire en ligne a ainsi été mis à disposition.Comme en 2013, celui-ci comportait cinquante questions abordant cinq thématiques : la préparation, la détection, la réaction, la récupération ainsi que la sensibilisation en matière de cybercriminalité. Synthèse de l’échantillon 119 RSSI et managers ont participé à l’étude,soit deux fois plus qu’en 2013.Parmi les organisations représentées,27% comptent moins de 250 salariés et 62% sont des entreprises de très grande taille (plus de 1000 salariés). Par conséquent, même si 11% des répondants sont issus d’organisations de moins de 50 collaborateurs, notre enquête reflète majoritairement la situation des grandes entreprises. Présentation de la méthodologie de l’étude Présentation de l’étudeL’objectif de cette seconde étude réalisée conjointement par le Cesin et Provadys est de mettre en lumière les actions mises en œuvre par les entreprises françaises pour se préparer, détecter et faire face à une cyber-attaque. Il s’agit ainsi de mieux comprendre la situation des organisations en matière de résilience aux cyber-attaques. Cet enjeu est d’autant plus fondamental que la cybercriminalité vise aujourd’hui autant les États, les grands groupes, que les PME.
  • 10. 10 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? Dans quel secteur d’activité votre entreprise se situe-t-elle ? Le panel d’organisations ayant participé à notre enquête est équilibré avec 13% de réponses émanant du secteur public, 17% de l’industrie, 20% du secteur Banque/Assurance et 13% de celui des services aux entreprises. 1 Administration (public) : 13% 2 Association : 5% 3 Assurance : 12% 4 Autres : 6% 5 Banque : 8% 6 Energie : 5% 7 Industrie : 17% 8 Transport : 3% 9 Santé, média, télécoms : 16% 10 Services aux entreprises : 13% 11 Grande distribution : 3% 1 2 3 4 5 6 7 8 9 10 11 À l’exception de à quels normes entreprise est-e La moitié (50%) des or au secret professionne enquête de 2013, la réglementation applica ARJEL BALE2/BALE3 SOX AUTRES 2% 4% 8%8%
  • 11. REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 11 ur d’activité se situe-t-elle ? ayant participé à notre vec 13% de réponses blic, 17% de l’industrie, /Assurance et 13% de treprises. blic) : 13% oms : 16% prises : 13% n : 3% À l’exception de la loi informatique et libertés, à quels normes / lois / règlements votre entreprise est-elle soumise ? La moitié (50%) des organisations interrogées ont déclaré être soumises au secret professionnel ou médical. Pour 19%, contre 22% dans notre enquête de 2013, la Loi informatique et libertés constitue la seule réglementation applicable dans leur contexte. À l’exception des données à caractère personnel, votre entreprise manipule- t-elle des données sensibles telles que des données classifiées, de cartes de paiement, de santé ou relevant du secret industriel ? 39% des répondants indiquent que leur organisation manipule des données de santé alors que 15% ont déclaré relever du secret médical. De même, 28% manipulent des données de carte de paiement quand 15% se disent soumises aux normes PCI DSS. Ces écarts montrent que les entreprises n’ont pas toujours conscience des conséquences réglementaires de leurs activités. DONNÉESCLASSIFIÉES (DÉFENSE) DONNÉESDECARTES DEPAIEMENT SECRETSINDUSTRIELS DONNÉESDESANTÉ ARJEL BALE2/BALE3 SOX AUTRES LSF SOLVENCY ACP SECRETDEFENSE PCIDSS SECRETMEDICAL RGS SECRETPROFESSIONNEL AUCUN 2% 4% 11% 15%8% 13% 34%8% 12% 21%11% 15% 19% 16% 28% 39%29%
  • 12. 12 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? Chapitre 1 Préparation Des entrep consc de leu expos aux cy attaqu
  • 13. CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 13REPRISES FRANÇAISES ? IntroductionLes entreprises sondées dans le cadre de notre étude ont globalement conscience de leur niveau d’exposition aux cyber-attaques. La majorité d’entre elles en ont d’ailleurs déjà été victimes. Depuis 2013, les entreprises se préparent davantage à faire face à cette menace et sont plus nombreuses à investir dans leur cybersécurité. Cela passe par l’intégration de ces scénarios spécifiques dans leur dispositif de gestion de crise ou par la réalisation de tests de pénétration et d’intrusion sur leurs sites les plus sensibles. Les entreprises peuvent néanmoins gagner en maturité en prenant mieux en compte les risques liés à leurs activités externalisées et en se préparant à une interruption d’activité consécutive à une cyber-attaque. Votre entreprise a-t-elle déjà été affectée par une ou plusieurs crises de type cyber-attaque ? En 2013, 52% des organisations interrogées avaient déjà été touchées par au moins une cyber-attaque. Elles sont aujourd’hui 57%, dans un contexte de multiplication et d’industrialisation des attaques.Cette réalité est probablement encore sous-estimée. Des entreprises conscientes de leur exposition aux cyber- attaques 1 2 3 4 1 Ne sait pas : 11% 2 Oui, antérieures aux douze derniers mois : 18% 3 Oui, dans les douze derniers mois : 39% 4 Non : 32%
  • 14. 14 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? Selon vous, quel type de cible votre entreprise est-elle ? La moitié (50%) des organisations interrogées ont déclaré être soumises au secret professionnel ou médical. Pour 19%, contre 22% dans notre enquête de 2013, la Loi informatique et libertés constitue la seule réglementation applicable dans leur contexte. Votre entrep de moyens s à la prise en de type attaq Conscientes des l’information, 74 disposent de moy attaques, contre une plus grande s 78% des organi des analyses d d’information, m risque de cyber-a Plus globalement les scénarios de ty les toucher. Quel intérêt représentez-vous pour un attaquant ? Parmi les organisations s’estimant ciblées, le vol de données serait la principale motivation des cyber-assaillants. Cette menace fait peser un risque d’autant plus lourd sur les entreprises que la règlementation européenne s’oriente vers de nouvelles obligations en matière de protection des données à caractère personnel. Des obligations de notification des autorités et d’information des clients concernés seront en particulier introduites pour toutes les entreprises. 1 Oui, chaque mois 2 Oui, chaque trime 3 Non : 24% 4 Oui, tous les ans : 5 Oui, tous les deux 1 Ciblée : 39% 2 Ni l’un, ni l’autre : 18% 3 Opportuniste : 43% 3 1 2 Comprendre et caractériser la menace VOLDEDONNÉES FRAUDE CHANTAGE ESPIONNAGE REVENDICATION AUTRE 72% 61% 11%36%52% 31%
  • 15. REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 15 Votre entreprise dispose-t-elle de moyens spécifiques ou dédiés à la prise en compte des menaces de type attaques informatiques ? Conscientes des enjeux liés à la sécurité de l’information, 74% des organisations interrogées disposent de moyens de prise en compte des cyber- attaques, contre 63% en 2013, ce qui démontre une plus grande sensibilisation à ce sujet. 78% des organisations interrogées conduisent des analyses de risques sur leurs systèmes d’information, mais seules 33% y intègrent le risque de cyber-attaque. Plus globalement, 61% d’entre elles ont identifié les scénarios de type cyber-attaque susceptibles de les toucher. Organisez-vous des tests d’intrusion sur vos sites les plus sensibles ? Se préparer à faire face à une cyber-attaque passe entre autres par l’identification des faiblesses de son SI ; les sites internet sont des cibles qui exposent les entreprises et qui peuvent se révéler être des portes d’entrée dans leur SI. 76% des organisations déclarent ainsi procéder à des tests d’intrusion sur leurs sites les plus sensibles, contre 96% en 2013. Cet écart s’explique notamment par une plus forte représentation des PME dans cette étude puisque 59% des entreprises de moins de 250 salariés n’ont jamais pratiqué de test d’intrusion. A l’inverse, 95% des groupes de plus de 5000 collaborateurs en réalisent régulièrement. 1 Oui, chaque mois : 9% 2 Oui, chaque trimestre : 8% 3 Non : 24% 4 Oui, tous les ans : 42% 5 Oui, tous les deux ans : 16% 1 2 34 5 1 Oui, dans des procédures : 12% 2 Non : 41% 3 Ne sait pas : 7% 4 Oui, mais sans documentation : 7% 5 Oui, dans une analyse de risques : 33%dre ériser e 1 2 3 4 5
  • 16. 16 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? Evaluez-vous le sécurité de vos L’externalisation de tou d’information est de Qu’il s’agisse de Tierce M de recours au cloud encore d’infogérance, font aujourd’hui appe service. Cette externa nécessairement de tran sous-traitant. Notre Livre Blanc sur ainsi que seules 41% d de clauses de transfe matière de sécurité responsabilités régleme à leurs fournisseurs. S contrats contiennent d le risque d’attaque inf compte que dans 57% sont cependant plus n niveau de sécurité de contre 49% en 2013. 1 Externalisation et sécurité, où françaises ? Provadys en collab Avez-vous déjà réalisé un exercice de crise comprenant un scénario de cyber-attaque ? Toutefois,si les entreprises sont globalement conscientes du niveau de la menace,71% ne se sont jamais préparées à se confronter à une crise de type cyber-attaque dans le cadre d’un exercice de crise. 21% ont déclaré avoir réalisé un exercice de crise comprenant un scénario de cyber-attaque. Pour rappel, 39% des répondants ont indiqué avoir subi une cyber-attaque dans les douze derniers mois. Les entreprises qui n’ont jamais été en position de s’exercer à réagir aux cyber-attaques risquent de se trouver démunies lorsqu’elle seront confrontées de manière réelle à cette situation. Exter et cy 1 Oui, l’année dernière : 21% 2 Oui, il y a deux ans : 6% 3 Oui, il y a trois ans : 3% 4 Non : 71% 1 2 3 4 Se préparer à la gestion d’une cyber-crise
  • 17. REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 17 Evaluez-vous le niveau de sécurité de vos prestataires ? L’externalisation de tout ou partie du système d’information est devenue incontournable. Qu’il s’agisse de Tierce Maintenance Applicative, de recours au cloud en SaaS, IaaS, PaaS ou encore d’infogérance, 82% des entreprises font aujourd’hui appel à des fournisseurs de service. Cette externalisation n’implique pas nécessairement de transférer les risques vers le sous-traitant. Notre Livre Blanc sur l’externalisation1 montre ainsi que seules 41% des entreprises disposent de clauses de transfert de responsabilité en matière de sécurité et 39% transfèrent les responsabilités réglementaires et de conformité à leurs fournisseurs. Si la plupart– 89% - des contrats contiennent des exigences de sécurité, le risque d’attaque informatique n’est pris en compte que dans 57% des cas. Les entreprises sont cependant plus nombreuses à évaluer le niveau de sécurité de leurs prestataires– 55% contre 49% en 2013. 1 Externalisation et sécurité, où en sont les entreprises françaises ? Provadys en collaboration avec le CESIN (2014) ue ? la menace,71% ne aque dans le cadre se comprenant un qué avoir subi une aux cyber-attaques nière réelle à cette Externalisation et cybercriminalité 2 3 1 Non : 36% 2 Ne sait pas : 8% 3 Oui : 54% 1 2 3
  • 18. 18 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? La politique de de votre entrep le risque de cyb Les cyber-crises récent d’une cyber-attaque é cybercriminalité est d la continuité des opé organisations de notre continuité d’activité ga de choc extrême. 41% leurs activités critiques Cartographier son SI pour mieux le protéger Lutter contre les attaques visant son système d’information implique de bien maîtriser son architecture. Cela ne concerne que les 68% d’entreprises qui indiquent disposer d’une cartographie de leur système d’information. Parmi celles-ci, 80% sont également en mesure d’identifier ses composants internes les plus sensibles et 54% leurs fournisseurs de services sensibles de façon à pouvoir les protéger efficacement. 1 Non : 48% 2 Ne sait pas : 11% 3 Oui : 41% 1 Non : 18% 2 Oui : 82% 1 2 3 Gouvernance en matière de sécurité de l’information et continuité d’activité Votre entreprise dispose-t-elle d’une Politique de Sécurité de l’Information (PSSI) ? Si dans l’ensemble, 82% des organisations disposent d’une Politique de Sécurité des Systèmes d’Information (PSSI), seules 59% des PME de moins de 250 salariés en ont mis une en place.Il reste donc au niveau de ces PME un travail important à faire pour définir le cadre de référence dans lequel la Sécurité du Système d’Information doit être envisagée. La PSSI est la garantie d’un engagement de la Direction en faveur de la sécurité de l’information et de l’existence de moyens humains et financiers permettant de parer au risque d’incident en général,et de cyber-attaques en particulier.Ce document démontre un niveau de maturité de l’entreprise en matière de sécurité de l’information et d’une véritable prise de conscience par l’ensemble des enjeux par la Direction.
  • 19. REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 19 La politique de continuité d’activité de votre entreprise prend-elle en compte le risque de cyber-attaque ? Les cyber-crises récentes ont démontré que l’une des conséquences majeures d’une cyber-attaque était l’indisponibilité du système d’information. La cybercriminalité est d’ailleurs aujourd’hui la première menace affectant la continuité des opérations des entreprises. Cependant, seules 76% des organisations de notre panel disposent d’une politique ou de procédures de continuité d’activité garantissant le maintien de leurs activités vitales en cas de choc extrême. 41% d’entre elles intègrent des mesures visant à préserver leurs activités critiques en cas de cyber-attaque. Cela ne concerne elles-ci, 80% sont ervices sensibles 1 Non : 48% 2 Ne sait pas : 11% 3 Oui : 41% 1 2 3 Conclusion Les entreprises ont aujourd’hui bien conscience des risques induits par les cyber-attaques. Pour la plupart d’entre elles, le phénomène n’est pas seulement appréhendé à travers les nombreux cas relatés dans les journaux, elles y sont directement confrontées. Elles déploient ainsi davantage de moyens consacrés à la prise en compte de cette menace. Elles réalisent des tests d’intrusion et intègrent le scénario cyber-attaque à leurs dispositifs de gestion de crise, mais cette préparation reste trop souvent théorique et par conséquent, insuffisante. Pour gagner en maturité, il s’agirait désormais de réévaluer régulièrement la préparation théorique, passer à la pratique en réalisant des exercices impliquant l’ensemble des entités et acteurs concernés. En plus de constituer une menace pour la sécurité de leurs patrimoines technique et informationnel, les entreprises devraient également considérer les cyber-attaques comme un risque majeur pesant sur la continuité de leurs activités. nce é mation té
  • 20. 20 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? Chapitre 2 Détection Intro ductLutter efficacement co nécessite d’être capab qu’il ne soit trop tard. pour cela compter su de détection des me exploitent-elles de fa étude démontre qu’e réévaluer régulièreme leurs dispositifs organi et à davantage s’appuy Quel par le une c
  • 21. REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 21 Intro- ductionLutter efficacement contre une cyber-attaque nécessite d’être capable de la détecter avant qu’il ne soit trop tard. Les entreprises peuvent pour cela compter sur des outils techniques de détection des menaces. Cependant, les exploitent-elles de façon optimale ? Notre étude démontre qu’elles gagneraient à les réévaluer régulièrement, à mieux structurer leurs dispositifs organisationnels de détection et à davantage s’appuyer sur les utilisateurs. Votre entreprise a-t-elle mis en place les outils suivants ? Les organisations interrogées ont globalement mis en place des outils techniques de détection des cyber-attaques: 77% d’entre elles ont recours à au moins un outil et 58% en disposent d’au moins deux.En revanche,23% des entreprises n’ont déployé aucun outil de détection. Les petites entreprises sont ainsi davantage exposées puisque cette proportion s’élève à 31% pour les organisations comptant moins de 250 salariés. Quels sont les moyens déployés par les entreprises pour détecter une cyber-attaque ? AUTRES SYSTÈMEDEDÉTECTIONDESAPT AUCUN SYSTÈMEDECORRÉLATIONET D’AUTOMATISATIONDEL’ANALYSEDESLOGS SYSTÈMEDEGESTION DESÉVÈNEMENTSDESÉCURITÉ SYSTÈMEDEDÉTECTIOND’INTRUSION SYSTÈMEDEPRÉVENTIOND’INTRUSION 5% 17% 24%23% 30% 57% 59%
  • 22. 22 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? Les utilisateurs sont im des entreprises, contre s’appuyant sur le phishin l’ingénierie sociale, ou effet un maillon fort de bien compris. Votre entreprise a-t-elle mis en place une organisation pour détecter les incidents de sécurité ? Cette organisation fait défaut chez 42% des organisations de notre panel. Les grandes entreprises sont mieux armées puisqu’elles sont 66% à avoir mis en place une organisation consacrée à la détection des incidents de sécurité. Cette organisation repose-t-elle sur une équipe dédiée, une équipe IT ou bien une équipe transverse ? Dans 55% des cas, une telle fonction est exercée par une équipe du département informatique. L’accent peut également être mis sur la transversalité dans 41% des organisations ou bien sur la spécialisation (38%). En matière de détection, disposer d’outils techniques est inutile si les entreprises ne déploient pas une organisation capable de diffuser et traiter l’information relative aux incidents de sécurité. 1 Oui : 58% 2 Non : 42% 1 Une équipe dédiée: 38% 2 Une équipe IT: 55% 1 2 1 2 3 4 1 3 Une équipe transverse: 41% 4 Autre: 3% 1 Oui : 74% 2 Non : 26%
  • 23. REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 23 Les utilisateurs sont impliqués dans ce dispositif de détection dans 74% des entreprises, contre 47% en 2013. Avec la multiplication des attaques s’appuyant sur le phishing (hameçonnage),les ransomwares (rançongiciels), l’ingénierie sociale, ou encore l’usurpation d’identité, l’utilisateur est en effet un maillon fort de la sécurité de l’information et les entreprises l’ont bien compris. pe IT ée par une équipe galement être mis ns ou bien sur la ation Votre entreprise dispose-t-elle d’un SOC, d’un CERT ou d’un CSIRT ? D’un point de vue organisationnel, 36% des entreprises ont mis en place un SOC (Information Security Operation Center), un CERT (Computer Emergency Response Team) ou un CSIRT (Computer Security Incident Response Team). Les grandes entreprises (5000 salariés et plus) sont plus nombreuses à s’être dotées de tels dispositifs puisque 40% d’entre elles disposent d’un SOC, 21% d’un CERT et 20% d’un CSIRT. AUCUNDESTROIS SOC CERT CSIRT 1 2 64% 24% 13%14% pe transverse: 41% % 1 Oui : 74% 2 Non : 26%
  • 24. 24 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? Dans le cadre de la surveillance opérationnelle de la sécurité de vos systèmes d’information, des investigations sont-elles réalisées ? 82% des entreprises interrogées indiquent mener des investigations dans le cadre de la surveillance opérationnelle de leurs systèmes d’information. Un clivage existe cependant entre les groupes de plus de 5000 salariés, où cette proportion atteint 95% et les PME de moins de 250 collaborateurs, qui ne sont que 63% à réaliser de telles investigations. Con Les entreprises on des entreprises de fréquemment. Cela chaque incident p rarement de telles Est-ce que votre réévalue ses mo de détection (or et humains) ? D’un point de vue or entreprises ont mis en p Security Operation Cen Emergency Response (Computer Security Inci Les grandes entreprise sont plus nombreuses dispositifs puisque 40% d’un SOC, 21% d’un CE 1 Oui, pour toutes les anomalies détectées : 41% 2 Oui, uniquement sur les anomalies affectant la confidentialité des informations : 6% 3 Non : 37% 4 Oui, pour toutes les anomalies touchant les systèmes les plus sensibles : 3% 5 Oui, uniquement sur les anoma- lies affectant la disponibilité des systèmes : 13% 1 2 3 4 5
  • 25. REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 25 Conclusion Les entreprises ont bien compris qu’elles devaient se protéger face aux cyber-attaques et être dotées de moyens de détection. La majorité des entreprises de notre panel utilise en effet un ou plusieurs moyens de détection. Ces moyens ne sont cependant pas mis à niveau assez fréquemment. Cela passe notamment par une réévaluation régulière des moyens déployés ainsi que par la réalisation d’investigations après chaque incident pour comprendre et corriger ses faiblesses. Pour cela, il faudrait notamment comprendre pourquoi les PME mènent trop rarement de telles investigations. Est-ce que votre entreprise réévalue ses moyens de détection (organisationnels et humains) ? D’un point de vue organisationnel, 36% des entreprises ont mis en place un SOC (Information Security Operation Center), un CERT (Computer Emergency Response Team) ou un CSIRT (Computer Security Incident Response Team). Les grandes entreprises (5000 salariés et plus) sont plus nombreuses à s’être dotées de tels dispositifs puisque 40% d’entre elles disposent d’un SOC, 21% d’un CERT et 20% d’un CSIRT. TRIMESTRIELLE SEMESTRIELLE MENSUELLE APRÈSUNINCIDENT RAREMENT NESAITPAS ANNUELLE JAMAIS s anomalies ur les anomalies entialité des s anomalies mes les plus ur les anoma- ponibilité des 2% 4% 11%8% 13%8% 12%11%
  • 26. 26 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? Chapitre 3 Réaction Intr Comment le Une fois l’attaque limiter ses conséq de prendre les m techniques de réa 2
  • 27. CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 27REPRISES FRANÇAISES ? Introduction Comment les entreprises réagissent-elles en cas d’attaque ? Une fois l’attaque détectée, les entreprises doivent être en capacité de mobiliser rapidement des moyens humains et techniques visant à limiter ses conséquences néfastes.Elles doivent pour cela avoir,au préalable,mis en place une organisation et des procédures leur permettant de prendre les mesures qui s’imposent : solliciter les bons experts, communiquer auprès des utilisateurs, mettre en œuvre les moyens techniques de réaction. Avant la cyber-crise, ces derniers doivent par ailleurs être réévalués régulièrement pour conserver leur pertinence. Votre entreprise dispose-t-elle d’une organisation lui permettant de réagir efficacement en cas d’incident de sécurité ? 61% des entreprises déclarent disposer d’une organisation leur permettant de réagir en cas de cyber-attaque avérée. Les grandes entreprises sont mieux armées puisque 72% des groupes de plus de 5000 salariés en sont dotés, contre 41% des PME de moins de 250 salariés. 1 Oui : 61% 2 Non : 39% 2 1
  • 28. 28 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? Cette organisation, repose-t-elle sur une équipe dédiée, une équipe transverse, une équipe IT ? Par réagir en cas de cyber-attaque, 31% des entreprises peuvent compter sur une équipe spécialisée dans le traitement des incidents de sécurité. Elles n’étaient que 19%en2013,cequidémontreuneplusgrandemobilisation des entreprises sur les questions de cybersécurité. Votre entreprise dispose-t-elle de critères pour qualifier l’incident de sécurité et déclencher une situation de cyber-crise ? En cas d’attaque, il est crucial de réagir de réagir vite pour limiter l’importance d’éventuels vols de données ou de la contamination des systèmes d’information.Pour ce faire,il peut être recommandé de disposer une grille d’évaluation permettant de mesurer la gravité d’une attaque et de convoquer la cellule de crise rapidement si nécessaire. Votre entreprise a-t-elle défini les acteurs, leurs rôles et responsabilités en cas de survenance d’une cyber-crise ? En matière de gestion de cyber-crise, les entreprises ne sont globalement pas assez outillées. Seules 42% d’entre elles sont à même de mobiliser une cellule de crise. Cette proportion atteint 56% au sein des entreprises de plus de 1000 salariés. 21% des organisations peuvent s’appuyer sur des fiches “réflexe” rappelant les premières actions à mener en cas de crise et 20% disposent d’un annuaire de crise. AUTRE EQUIPEDÉDIÉE EQUIPETRANSVERSE EQUIPEIT OUI-AUTRE OUI-AUTRES NESAITPAS OUI,UNECELLULEDECRISE NON OUI,DESFICHESREFLEXEOU CHECK-LISTSDÉCRIVANTLES PREMIÈRESACTIONSÀCONDUIRE OUI,UNANNUAIREDECRISE OUI,UNEGRILLE D’ÉVALUATIOND’IMPACT NON OUI-AUTRE OUI-RH Les collabora participent-i d’une maniè autre aux pla aux cyber-att Si 74% des e impliquer les u processus de dé seules 38% d’en à leurs plans de attaques.Il est ce dans certains ca utilisateurs peut la propagation ou causés par une a 1 Oui : 38% 2 Non : 62% 21%8% 42%3% 32%20% 13%8% 31% 51%42%4% 39% 55%6%
  • 29. REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 29 critères é ber-crise ? vite pour limiter a contamination tre recommandé mesurer la gravité se rapidement si teurs, se ? ne sont globalement ême de mobiliser une des entreprises de plus ppuyer sur des fiches n cas de crise et 20% Votre dispositif de crise prévoit-il la sollicitation d’experts ? La majorité des entreprises (59%) déclare avoir prévu de s’appuyer sur les compétences d’expertstechniquesencasdecyber-crise.Moins d’un tiers d’entre elles prévoient cependant de solliciter des experts en communication ou des juristes. NON OUI-AUTRE OUI-RH OUI-SPÉCIALISTE DELAGESTIONDECRISE OUI-JURIDIQUE OUI-COMMUNICATION NON OUI-TECHNIQUE Les collaborateurs participent-ils d’une manière ou d’une autre aux plans de réaction aux cyber-attaques définis ? Si 74% des entreprises déclarent impliquer les utilisateurs dans leur processus de détection des attaques, seules 38% d’entre elles les intègrent à leurs plans de réaction aux cyber- attaques.Il est cependant reconnu que dans certains cas, la mobilisation des utilisateurs peut permettre de limiter la propagation ou l’ampleur des dégâts causés par une attaque. 1 Oui : 38% 2 Non : 62% 1 2 31%13% 33% 59%8% 32%18% 55%
  • 30. 30 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? Votre entreprise a-t-elle défini des processus de notifications et de communication ? Si la moitié des organisations interrogées indiquent avoir défini des processus de notifications et de communication à l’égard de leurs salariés, seules 24% en ont prévu pour leurs clients et 20% pour les autorités. Le projet de règlement sur la protection des données destiné à remplacer la Directive 95/46/CE va obliger les entreprises à progresser en la matière puisque celui-ci comprend l’obligation pour les organisations de notifier l’autorité en charge de la protection des données (la CNIL en France) dans les 72h suivant un vol de données. Les clients ou usagers concernés par le vol de leurs données personnelles devront également être informés rapidement. Les moyens (tec de réaction aux sont-ils réévalué Par rapport à 2013, le d’amélioration continu attaques. Elles sont au 11% après chaque tes de cette étude. Noton moyens de réaction montée en maturité. Votre entreprise dispose-t-elle d’une ou plusieurs solutions techniques de réaction ? Alors que 82% des entreprises estiment constituer une cible, 34% d’entre elles n’ont déployé aucune solution technique leur permettant de faire face à une cyber-attaque. Lorsqu’ils existent, ces outils sont dédiés à la prévention ou à la détection des attaques. 70% des entreprises seraient par ailleurs démunies face à une attaque de type DDoS. OUI,AUTRES OUI,ANT-APT OUI,ANTI-DDOS NON,AUCUNE OUI,OUTILSDEPRÉVENTION OUDEDÉTECTION OUI-AUTRES OUI-MÉDIAS OUI-SALARIÉS OUI,UNECELLULEDECRISE NON OUI-ACTIONNAIRES OUI-AUTORITÉS (BEFTI,OCLCTIC…) OUI-AUTRES OUI-MÉDIAS 32%18% 50% 42%8% 33%20% 34%17%2% 54%30% 18%8%
  • 31. REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 31 s processus tion ? quent avoir défini des on à l’égard de leurs ients et 20% pour les des données destiné à eprises à progresser en pour les organisations es données (la CNIL en Les clients ou usagers les devront également Les moyens (techniques et organisationnels) de réaction aux crises de type cyber-attaque sont-ils réévalués ? Par rapport à 2013, les entreprises ont progressé suivant le modèle d’amélioration continue de leurs dispositifs de réponse aux cyber- attaques. Elles sont aujourd’hui 21% à les réévaluer chaque année et 11% après chaque test, contre 17% et 7% dans la précédente édition de cette étude. Notons que seules 18% d’entre elles réévaluent leurs moyens de réaction après une cyber-attaque, ce qui ralentit leur montée en maturité. Conclusion Les entreprises disposent de moyens de réaction, mais restent trop peu structurées d’un point de vue organisationnel pour faire face efficacement aux attaques. Trop peu d’entre elles mobilisent une équipe dédiée à la réponse aux incidents. Les activités de cette équipe doivent également s’inscrire dans un processus de gestion de crise prévoyant la sollicitation d’experts–en communication et juridiques notamment– et la notification des autorités compétentes. La réglementation obligera en effet bientôt les entreprises à notifier rapidement l’autorité en charge de la protection des données personnelles ainsi que leurs clients dont les données auraient pu être dérobées. Les utilisateurs doivent en outre également être impliqués dans la stratégie de réponse à une cyber-attaque dans la mesure où leur comportement peut contribuer à contenir l’ampleur et la gravité de l’attaque. L’ensemble des moyens de réaction doit enfin être régulièrement réévalué pour les adapter aux évolutions techniques et organisationnelles. OUI,OUTILSDEPRÉVENTION OUDEDÉTECTION OUI-SALARIÉS OUI,UNECELLULEDECRISE OUI-AUTRES OUI-MÉDIAS OUI-SALARIÉS NON OUI-ACTIONNAIRES OUI-CLIENTS 50% 42% % 54% 32%18% 50%8% 33%24%
  • 32. 32 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? Chapitre 4 Récupération Intr duct Quels moyen les entrepris déploient-ell réparer les co d’une cyber-a Si la majorité de conscientes de le cyber-attaques, elle toujours les mesu d’êtrerésilientesen En cas d’agression, pouvoir collecter d possible la compré de l’attaque ainsi lacunes de ses disp Au-delà de la r les entreprises do de réagir en ma d’assurance pour l attaques sur leurs fi
  • 33. REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 33 Votre entreprise est-elle équipée d’outils permettant la traçabilité / l’enregistrement / la collecte des traces et preuves de l’agression détectée ? Trop peu d’organisations (44%) disposent de moyens permettant la traçabilité, l’enre- gistrement, la collecte des traces et preuves des agressions avérées.Or ces éléments sont essentiels à l’identification des failles et à la mise en place d’actions correctives. Intro- duction Quels moyens les entreprises déploient-elles pour réparer les conséquences d’une cyber-attaque ? Si la majorité des entreprises sont conscientes de leur exposition aux cyber-attaques, elles ne prennent pas toujours les mesures leur permettant d’êtrerésilientesencasd’attaqueavérée. En cas d’agression, il est important de pouvoir collecter des éléments rendant possible la compréhension des ressorts de l’attaque ainsi que d’identifier les lacunes de ses dispositifs de protection. Au-delà de la réaction technique, les entreprises doivent être à même de réagir en matière juridique et d’assurance pour limiter l’impact des attaques sur leurs finances. 1 Oui : 44% 2 Non : 56% 2 1 Collecter des preuves
  • 34. 34 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? Votre entreprise dispose-t-elle de moyens d’analyse post-mortem des incidents de sécurité (forensic) ? Comme en 2013, plus du tiers des organisations n’est pas en mesure d’analyser les incidents post mortem, alors que davantage d’entre elles mènent des investigations après avoir constaté une anomalie.Il leur est donc difficile de comprendre le mode opératoire des assaillants et d’évaluer précisément l’impact de l’attaque sur le système d’information et les données de l’entreprise. Elles ne sont par conséquent pas à même de capitaliser sur les incidents de sécurité et restent exposées à des attaques de même nature. Cela augmente également les conséquences des attaques pour les entreprises qui sont en incapacité de déposer plainte. 1 2 3 1 Oui, par des dispositifs internes : 27% 2 Oui, par des interventions externes : 37% 3 Non : 36% Votre entreprise a-t-elle défini les processus permettant la prise en compte des aspects juridique et assurance (dossier de plainte / dossier de preuve, estimation du préjudice subi, demande d’indemnisation) suite à une cyber-attaque ? La proportion d’entreprise déclarant avoir anticipé les démarches juridiques et assurantiels consécutives à une cyber-attaque n’a pas progressé par rapport à 2013. Ce manque de préparation peut mettre en péril la récupération, voire la pérennité d’une entreprise fortement fragilisée par une attaque. 1 Oui : 39% 2 Non : 61% 1 2
  • 35. REPRISES FRANÇAISES ? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 35 Conclusion Le déploiement d’outils et de moyens liés à la récupération après une cyber-attaque reste insuffisant dans les entreprises. Dans un contexte où la probabilité d’occurrence d’une telle agression est élevée pour les grands groupes, les PME comme les organisations du secteur public, d’avantage doit être fait pour se préparer à limiter les conséquences d’une cyber-attaque. D’un point de vue technique, les entreprises doivent investir dans des moyens techniques et humains permettant de tirer les enseignements des attaques qu’elles subissent pour améliorer leurs dispositifs de détection et de réaction. Elles doivent également s’appuyer sur les contrats d’assurance complétant les polices classiques et couvrant notamment les frais d’expertise technique, d’extorsion, de communication de crise, de justice ou encore les pertes directes et indirectes suite à une cyber-attaque. ar des dispositifs es : 27% ar des interventions es : 37% 36% e a-t-elle défini ermettant pte des aspects urance nte / ve, estimation bi, mnisation) er-attaque ? prise déclarant avoir uridiques et assurantiels cyber-attaque n’a pas 2013. Ce manque de en péril la récupération, e entreprise fortement e.
  • 36. 36 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? Chapitre 5 Sensibilisation N 2
  • 37. CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 37REPRISES FRANÇAISES ? Des campagnes de sensibilisation à la sécurité de l’information auprès des collaborateurs sont-elles planifiées ? Engagées dans l’implication des utilisateurs dans leurs dispositifs de détection des attaques, 77% des entreprises déclarent mener des campagnes de sensibilisation auprès de leurs collaborateurs. Le tiers les sensibilise aux risques de cyber-attaques. Cette sensibilisation est d’autant plus importante que la plupart des attaques ciblent majoritairement les utilisateurs. L’amélioration de la résilience des entreprises face aux cyber-attaques passe donc par une systématisation et une récurrence de l’implication des utilisateurs en matière de prévention, de détection, mais également de réaction aux attaques. Cyber-attaque 33% Information 44% Non 23%
  • 38. 38 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 1 2 3 Les moyens (techniques et organisationnels) de réaction aux crises de type cyber-attaque sont-ils réévalués ? Par rapport à 2013,les entreprises ont progressé suivant le modèle d’amélioration continue de leurs dispositifs de réponse aux cyber-attaques. Elles sont aujourd’hui 21% à les réévaluer chaque année et 11% après chaque test,contre 17% et 7% dans la précédente édition de cette étude. Notons que seules 18% d’entre elles réévaluent leurs moyens de réaction après une cyber-attaque, ce qui ralentit leur montée en maturité. 1 Oui - sans scénario cyber-attque : 7% 2 Oui - avec un scénario cyber-attque : 28% 3 Non : 65% Conclusion L’expérience montre que les attaques actuelles s’appuient généralement sur des scénarios ciblant les utilisateurs. Ces derniers doivent par conséquent être impliqués dans tous les dispositifs de lutte contre les cyber-attaques. Cela implique non seulement de communiquer auprès d’eux pour leur permettre de jouer un rôle passif dans la sécurité du SI, mais aussi de leur donner un rôle actif. Plus concrètement, il s’agit de dépasser le modèle selon lequel l’utilisateur était invité à éviter les comportements à risques pour atteindre une nouvelle forme de défense intégrant l’utilisateur en matière de prévention, de détection et de réaction.
  • 39. CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES ? 39REPRISES FRANÇAISES ? Oui - sans scénario yber-attque : 7% Oui - avec un scénario yber-attque : 28% Non : 65% Conclusion générale Depuis notre précédente étude, en 2013, les entreprises ont véritablementprislamesuredelamenacequeconstituaitpourellesles cyber-attaques. Beaucoup reste cependant à faire pour assurer un niveau de résilience optimal aux entreprises, petites ou grandes. Les entreprises se sont en effet investies dans la lutte contre la cybercriminalité, mais cette préparation reste trop théorique dans la mesure où elles réalisent encore trop peu de simulations de cyber-crise et ne réévaluent pas régulièrement leurs dispositifs de détection et de réaction. La nature et l’ampleur de la menace exigent aujourd’hui de changer de paradigme en passant d’un modèle de défense rigide s’appuyant sur la dissuasion et la prévention à une réponse globale incluant des moyens de réaction aux attaques. Pour ce faire, les entreprises doivent davantage entraîner leurs collaborateurs– les équipes techniques comme les utilisateurs– à identifier les signes d’une attaque en cours. Elles doivent également œuvrer à l’amélioration continue de leurs outils de détection et de réponses ainsi qu’à celle de leurs dispositifs organisationnels. Enfin, notre étude a mis en évidence un dangereux manque de maturité des petites et moyennes entreprises qui restent moins outillées et organisées que les grands groupes face aux cyber-attaques.Or elles ne sont pas moins exposées à cette menace et peuvent être fatalement fragilisées par un vol de données ou un acte de sabotage de leur SI. néralement sur conséquent être es. Cela implique tre de jouer un n rôle actif. Plus eur était invité à orme de défense réaction.