SlideShare une entreprise Scribd logo
Manifeste pour la
cyber-résilience
Définition de la
cyber-résilience
Inconnues
méconnues
Refaire
les batailles
du passé Facteur humainSavoirfaire
unétatdes
lieux
devotre
situation
actuelle
BYOD
Cyber-résilience
Employés
Révolution
2 3
Définition de la cyber-résilience
Nous vivons dans un monde connecté : jour après jour, ce constat se révèle
être une description toujours plus fidèle de notre réalité. Que ce soit dans notre vie
professionnelle ou pour nos loisirs, Internet occupe une place considérable et
ne cesse de se développer. Aujourd'hui, quelque 2,4 milliards d'internautes de
tous les pays, soit 34 % de la population mondiale, passent de plus en plus de
temps en ligne.1
Et nos cyber-activités s'ajoutent à celles, intenses, des entreprises,
ceci étant une tendance de fond susceptible de révolutionner les usages.
Pour certains, les avantages de notre vie en ligne et des nouveaux modèles
économiques rendus possibles par l'utilisation d'Internet sont assortis de risques
facilement appréhendables et acceptables. D'autres considèrent que de tels
mouvements de masse demandent des réponses plus réfléchies. Mais le temps
manque pour organiser un débat. Ce dont nous avons vraiment besoin, c'est
d'une incitation à l'action.
Pour éliminer les risques qui menacent notre vie en ligne, nous devons prendre en
compte 4 tendances, ayant chacune des implications différentes liées à la cyber-
sécurité, et demandant l'attention des organisations gouvernementales :
Démocratisation : le pouvoir est à l'utilisateur alors que les entreprises
apprennent à s'adresser à leurs clients par les canaux que ceux-ci imposent.
Consumérisation : il s'agit ici de l'impact des nombreux appareils ou, plus
important encore, des applications, qui sont les compagnons de notre vie
connectée, que ce soit pour le travail ou pour les loisirs.
Externalisation : il est ici fait référence à la dynamique économique du cloud
computing qui entraîne une forte baisse des dépenses d'investissement
et bouleverse le mode de transit des données à destination et en provenance
des entreprises.
Digitalisation : ce terme fait référence à la connectivité exponentielle liée
à l'Internet des objets constitué de toutes sortes de capteurs et d'appareils
connectés.
En matière de lutte contre le cyber-risque, la résolution des problèmes associés
à l'une de ces tendances ne fait qu'accroître l'importance de ceux liés à la
suivante. Tout comme avec la plupart des autres bonnes pratiques, il existe
plusieurs réponses correctes signifiant, au mieux, que vous pouvez optimiser
l'environnement de votre entreprise pour réduire son exposition. En effet, le cyber-
risque ne peut pas être éradiqué en raison des puissantes forces mentionnées
ci-dessus.
Ce manifeste expose un plan permettant de réduire, et non d'éliminer, les risques
réels et grandissants auxquels sont exposés les individus, les entreprises et
les gouvernements. Son objectif est simple : nous rendre cyber-résilients.
Démocratisation
Externalisation
Digitalisation
Consumérisation
4 5555555555555555555555555555555555
Ce que nous savons aujourd'hui
Avec Internet, ce qui était impossible devient possible. Posez-vous les questions
suivantes :
• Quels clients des banques renonceraient à la liberté de faire des
virements internationaux en quelques millisecondes ?
• Qu'est-ce qui pourrait forcer les hommes d'affaires à refaire la queue
pour acheter un billet d'avion, utiliser une cabine téléphonique ou
poster un colis ?
• Pourquoi enverrions-nous par avion ce qui peut être imprimé pour
moins cher ?
La situation actuelle est complexe, en pleine évolution et potentiellement
dévastatrice pour les entreprises. Alors que seulement 15 % du trafic Internet
mondial est mobile aujourd'hui, ce chiffre augmente du fait de l'existence de
cinq milliards de téléphones portables dont un tiers sont des smartphones dotés
d'un accès Internet.1
500 millions de photos sont partagées quotidiennement
et l'utilisateur moyen consulte sa messagerie 23 fois par jour.1
Les cyber-attaques font 1,5 millions de victimes chaque jour et on estime qu'elles
entraînent au total 110 milliards de dollars de pertes chaque année.2
Les attaques
de logiciels malveillants ont augmenté de 30 % sur le Web en 2012 et de 139 %
sur les appareils mobiles au cours de la même période.3
Autre paramètre
essentiel, 62 % des sites Web utilisés pour propager des logiciels malveillants
étaient des sites légitimes piratés.3
L'inquiétude vous gagne ?
Ces menaces Internet ne peuvent que se multiplier et devenir toujours
plus sophistiquées. C'est parce que les cibles les plus anciennes,
telles que les systèmes d'exploitation des PC, laissent place à de
nouvelles plates-formes Web et mobiles ainsi qu'aux applications
sociales. Les mutations de ce que les experts de la sécurité appellent
le paysage des menaces sont difficiles à gérer. Sans les niveaux de
sécurité mis en œuvre dans les grandes entreprises, vous êtes exposés.
Comme nous le verrons, la taille n'est que l'une de nos préoccupations.
6 7
Les inconnues méconnues
Dans le monde connecté, des intentions inconnues et des conséquences
inattendues créent le chaos. Il est impossible de prévoir toutes les nouvelles
menaces Internet auxquelles votre entreprise sera confrontée : certaines n'ont
pas encore été inventées.
"Hacktivistes" mécontents, cyber-criminels, cyber-terroristes ou même cyber-
armées sponsorisées par des Etats, la plupart ont sur nous l'avantage de la
surprise. Les moteurs de leurs actions sont variés, de la protestation pacifique
à l'intention malveillante, de l'avantage politique à l'avantage personnel ou une
combinaison de ces motivations. Toutefois, dans une espèce de course à l'armement
menaçant les internautes mal préparés, les moyens disponibles pour créer des
cyber-risques se développent de manière exponentielle.
De plus en plus de kits de logiciels malveillants prêts à l'emploi peuvent être
obtenus via Internet moyennant un paiement en monnaie virtuelle, loin des
regards indiscrets. La cyber-économie souterraine est florissante et il existe
véritablement un code de l'honneur entre les voleurs. Au sein de leurs centres
d'excellence, cachés par des dispositifs de protection ultra-performants, ils
peuvent garder une longueur d'avance sur tous ceux qui les combattent, sauf
sur les experts de la sécurité les plus compétents. Ils peuvent y partager des
données volées à l'insu de leurs victimes. Moyennant paiement, ils partagent
leurs secrets avec d'autres cyber-escrocs. Si votre entreprise respecte la loi, il
est peu probable que vous puissiez accéder à ces coulisses du crime.
Les règles qui s'appliquent aux victimes ne sont pas les mêmes que
celles qui prévalent dans la nature : il n'y a aucun avantage à être un
petit poisson dans un grand étang. En fait, c'est même un facteur
aggravant, avec 31 % des cyber-attaques qui touchent des entreprises
comptant de 1 à 250 employés.2
Alors que les grandes entreprises sont
coutumières des menaces Internet, leurs fournisseurs plus petits sont
bien plus intéressants pour ceux qui ont de mauvaises intentions. Il est
en effet plus facile de s'infiltrer dans la chaîne logistique d'une grande
entreprise par le bas que par le haut.
8 9
Le facteur humain
Alors que 84 % des piratages ne nécessitent tout au plus que quelques heures,
il faut des mois pour les découvrir (dans 66 % des cas) et leur endiguement
demande des mois ou des années pour 22 % d'entre nous.4
Pour quelle raison ?
Vous pourriez penser que la différence entre une entreprise cyber-résiliente
et celles qui sont exposées à une exploitation de leurs ressources réside dans de
meilleurs ordinateurs, de meilleurs logiciels ou des connexions plus rapides.
Malheureusement, ce n'est presque jamais le cas. Il peut bien sûr être nécessaire
de disposer de la toute meilleure technologie disponible pour sécuriser une
entreprise. Toutefois, nécessaire ne veut pas toujours dire suffisant. Les dispositifs
de protection les plus récents, les plus rapides et les plus séduisants ne vous
sauveront que rarement la mise.
En matière de cyber-sécurité, le maillon faible est la personne qui lit ce manifeste :
vous et moi.
Le service informatique est le cœur de tous les processus organisationnels
modernes, irrigant tous les départements ; il a traditionnellement toujours
été responsable de la cyber-sécurité. Il se départit toutefois rapidement de son
ancien rôle de principal acheteur de technologies pour devenir un conseiller
de confiance. Une étude récente a révélé que 14 % du stockage cloud, 13 %
des médias sociaux et 11 % des logiciels de bureautique sont achetés sans
que le service informatique ne soit informé.5
Les données de Gartner montrent que le mouvement du budget informatique
de ses "propriétaires" traditionnels vers d'autres services est déjà bien engagé.
D'ailleurs, le service marketing devrait devenir, d'ici 2017, le premier acheteur
de technologies, devant le service informatique.6
Tout cela signifie que le facteur
humain du cyber-risque ne fera qu'augmenter, à l'extérieur du service informatique.
Aujourd'hui, le fait de concentrer les connaissances en matière de cyber-sécurité
sur le service informatique est bel et bien un moyen d'augmenter le cyber-risque
auquel votre entreprise est exposée. L'erreur étant humaine, pourquoi limiter
la charge de la cyber-résilience à un seul service ? Il est grand temps de passer
à une culture de la sécurité globale.
des piratages initiaux ne
nécessitent tout au plus
que quelques heures.
des piratages ne sont
découverts qu'après
plusieurs mois.
des piratages ne sont
endigués qu'après
plusieurs mois ou
plusieurs années.
84 %
66 %
22 %
10 1111
Risque 1 Penser que la taille
de l'entreprise compte
Dans le monde, peu d'entreprises disposent de ressources leur permettant de
rester à l'abri de toutes les menaces Internet qu'une équipe très motivée peut
créer. Les multinationales elles-mêmes ne peuvent avoir que des équipes
relativement réduites. Les pirates ne sont pas seulement malveillants, ils
sont aussi intelligents. Ils ont il y a longtemps appris à collaborer en formant
des équipes virtuelles se jouant des frontières nationales pour le bénéfice de tous
leurs membres. Ils se vendent leurs astuces les uns aux autres et font le commerce
d'identités volées pour venir à bout des systèmes de sécurité qui sont, pour
l'essentiel, basés sur une conception nationale des risques, antérieure à l'avènement
de notre monde connecté actuel, des appareils mobiles et même du Web.
Comparativement, les cyber-attaques restent peu sophistiquées mais la taille
n'est pas le problème. La plupart des entreprises maîtrisent d'ores et déjà les
bases de la cyber-sécurité et cela limite à 10 % la proportion de cyber-attaques
pouvant être lancées par l'utilisateur moyen. C'est au niveau suivant que se situe
la difficulté car 78 % n'utilisent que les ressources de base disponibles en ligne
et ne procèdent à aucune personnalisation.4
Un problème pourrait bien résider dans l'approche. La réaction naturelle d'un
professionnel traditionnel de la sécurité est d'acheter davantage d'outils de sécurité
mais une approche morcelée de ce type trouve ses limites au niveau de la taille.
Il serait préférable d'obtenir une visibilité plus complète sur le positionnement
actuel de l'entreprise et de réagir en conséquence.
Dans le futur, les cibles potentielles des cyber-attaquants seront probablement
encore plus nombreuses. Alors que la recherche de l'efficacité conduit à
interconnecter toujours plus de systèmes, l'utilisation de compteurs intelligents
pour gérer la consommation énergétique, de capteurs pour contrôler les lignes
de production et d'étiquettes RFID pour suivre les expéditions signifie que les
principaux utilisateurs des nouvelles technologies ne sont plus les membres
du service informatique et qu'ils ne sont pas même des êtres humains.
Avec des menaces mondiales par nature, seules quelques entreprises privilégiées,
principalement dans le secteur de la défense, peuvent consacrer la totalité de
leur temps à se livrer à des cyber-guerres. Les autres doivent aussi se consacrer
à leurs tâches quotidiennes, qu'il s'agisse de traiter des déclarations de sinistre,
de vendre des chaussures ou de réviser des voitures. Nous devons agir avec
discernement pour devenir plus cyber-résilients. Dans ce contexte, quelles sont
les chances des petites entreprises ? Du point de vue des professionnels de la
sécurité, elles doivent se regrouper tout comme l'ont déjà fait ceux qui les attaquent.
Des ressources mises en commun et une connaissance partagée de la gravité des
menaces pourraient équilibrer la lutte.
12 1313
Risque 2 Refaire les batailles du passé...
et perdre la guerre
Les cyber-risques étant devenus plus subtils, personnalisés et distribués, il est
devenu de plus en plus difficile de les détecter. Tellement difficile qu'il faudrait
être courageux pour prétendre que des systèmes informatiques connectés à
Internet (pratiquement tous les systèmes commerciaux) sont inattaquables.
Historiquement, les murailles prétendument infranchissables n'ont pas fait leurs
preuves : l'intelligence humaine parvient toujours à les contourner. Aujourd'hui,
les menaces Internet les plus intelligentes sont rarement de pures attaques
frontales mais sont plus personnalisées et s'en prennent simultanément à de
nombreuses vulnérabilités afin d'être plus dévastatrices.
Leurs charges utiles, qu'elles arrivent via le Web, un message électronique ou un
appareil mobile, attendent patiemment et silencieusement sous la forme de
réseaux de bots résidents sur les systèmes infectés et peuvent se réveiller de
leur sommeil sur commande, et ce même après que l'infection a été détectée
et la porte fermée. En matière de cyber-sécurité, les stratégies du passé ont leurs
limites.
Face à cet infernal jeu du chat et de la souris, la meilleure stratégie ne consiste
pas à supprimer chaque menace isolément mais plutôt en un processus lent,
déterminé et continu de cyber-résilience. La cyber-résilience consiste à considérer
qu'une défense réfléchie est la meilleure attaque. L'objectif est de créer un
environnement inhospitalier où il est plus difficile et moins rentable d'accéder
à vos systèmes qu'à ceux d'autres entreprises.
De meilleures informations permettent de prendre de meilleures décisions.
Après tout, le fait de ne prendre aucun risque peut être tout aussi risqué dans
l'environnement économique actuel. La meilleure méthode pour construire votre
cyber-résilience consiste à avoir une image plus claire des menaces auxquelles
votre entreprise est confrontée.
14 15
Risque 3 Ignorer le rôle des employés
Les employés sont souvent cités comme étant les principaux actifs d'une entreprise.
En réalité, ils peuvent également être les principaux éléments de son passif du
point de vue de la sécurité. Le vol d'identité et le vol physique d'appareils non
protégés, souvent encouragés par les généreuses politiques BYOD actuelles,
compliquent considérablement les choses.
Alors qu'auparavant la sécurité était de la seule responsabilité des professionnels
de l'informatique, elle ne peut plus aujourd'hui être laissée entre leurs seules
mains. Le "Shadow IT", c'est-à-dire les dépenses technologiques invisibles des
employés, est un autre moteur de l'innovation. En prenant de sévères mesures
contre ce que d'autres considèrent comme des outils de productivité, les
professionnels de l'informatique sont certains de s'exclure eux-mêmes des
discussions futures. Nous avons déjà parlé des batailles du passé.
Les employés doivent eux aussi changer légèrement d'attitude. Les enquêtes
montrent que 53 % des employés considèrent que le fait de récupérer des données
de l'entreprise ne constitue pas un problème car "cela ne nuit pas à la société" .7
Mais qu'en savent-ils vraiment ?
Il vaut certainement mieux permettre au personnel non technique de réduire les
mauvaises pratiques non intentionnelles. Les employés concernés pourront ainsi
acquérir des connaissances leur permettant d'accroître la cyber-résilience de
l'entreprise par leurs décisions technologiques et les processus qu'ils mettront
en œuvre. C'est important quand on sait que ce comportement est à l'origine de
35 % des violations de données et, sans surprise, que ces pratiques immorales
augmentent fortement chez les personnes qui se préparent à quitter leur entreprise.8
Loin d'être une abdication de responsabilité du service informatique, ce conseil
peut se changer en avantage concurrentiel. Il faut qu'un "new deal" soit conclu
entre les employés non techniques et les spécialistes de l'informatique avec pour
objectif de montrer à tous comment la cyber-résilience peut accroître le potentiel
de l'entreprise. Dans notre monde connecté, l'ignorance ne fait pas le bonheur.
C'est un défi à relever en termes de communication et d'organisation. En d'autres
termes, une opportunité commerciale inexploitée.
16 17
Comment devenir cyber-résilient ?
1. Savoir faire un état des lieux de la
situation actuelle de votre entreprise
Ce qui ne peut pas être mesuré ne peut pas être géré. Toutefois, la plupart des
cyber-attaques ne sont pas détectées, et encore moins mesurées, tout comme
les risques qu'elles représentent.4
Dans ce cas, comment pouvons-nous évaluer
le niveau de risque auquel nous sommes exposés ?
La réponse se trouve dans l'évaluation externe. Plus précisément pour les
entreprises exposées à un risque de cyber-attaque, il est essentiel que soit réalisée
une évaluation complète de la cyber-sécurité portant sur les employés, les
processus et les produits. L'honnêteté, aussi ennuyeuse soit-elle pour certains,
est le début du voyage vers la cyber-résilience.
Bien sûr, un audit indépendant des vulnérabilités établissant une base de référence
pour les technologies et processus utilisés dans l'entreprise constitue un bon
début. Mais ce n'est qu'un début. Que diriez-vous d'un test de performances vous
permettant de comparer vos résultats à ceux de vos pairs ? Que diriez-vous de
quelques recommandations pratiques basées sur une analyse des écarts vous
permettant de faire un état des lieux de votre situation actuelle et de vous situer
par rapport à vos objectifs ? Aujourd'hui, l'informatique est en train de devenir
véritablement stratégique.
Sur la base des informations évoquées précédemment, le chemin vers la cyber-
résilience apparaît déjà plus distinctement. Et il se dessine mieux encore lorsque
les inconnues méconnues que nous avons mentionnées commencent à devenir
des mesures identifiables, pas seulement pour le service informatique mais pour
l'ensemble de l'entreprise. Ces informations deviennent alors pour vous un avantage.
Même si la cyber-résilience n'est pas synonyme d'immunité contre les cyber-
attaques, elle consiste avant tout à faire en sorte que les vulnérabilités de votre
entreprise soient moins attirantes pour ceux qui pourraient souhaiter vous attaquer.
Mais ce n'est que lorsque vous avez une base de référence et un objectif applicable
à l'ensemble de l'entreprise que vous pouvez établir des priorités et commencer
à traiter vos problèmes de cyber-sécurité les plus importants et les plus urgents.
18
Il était un temps où un petit nombre de personnes étaient responsables de
l'informatique. Cela marchait bien lorsque les ordinateurs étaient enfermés
dans des salles auxquelles seuls les informaticiens avaient accès. Aujourd'hui,
des données confidentielles stratégiques se promènent dans les poches de vos
employés et parfois de vos partenaires, et des partenaires de vos partenaires, etc.
Les choses ont changé. En matière de cyber-sécurité, les bonnes pratiques appliquées
à votre site ne peuvent protéger votre entreprise que dans la mesure où le maillon
faible de votre équipe ou de votre chaîne logistique, c'est-à-dire celui qui se soucie
le moins de la sécurité, les met également en œuvre.
Par conséquent, le simple fait de faire du bon travail en créant, voire même en
faisant appliquer des politiques de mot de passe, en verrouillant vos appareils
et en respectant des normes ISO ne suffit pas à vous rendre cyber-résilient. Vous
devez également vous assurer que les mêmes règles sont appliquées par vos
entreprises de nettoyage, vos auditeurs, vos traiteurs et vos avocats.
Deuxièmement, comme nous l'avons vu, les analystes prévoient que le personnel
non informatique aura sous peu des dépenses technologiques supérieures à
celles du service informatique, et à fortiori à celles des spécialistes de la sécurité
informatique. Il est donc temps que vous ayez une vision plus globale ne se
limitant pas à votre service informatique, aux personnes exerçant certaines
fonctions ou aux frontières de votre entreprise. Troisièmement, même si vous
avez fait toute votre carrière dans l'informatique, il est peu probable que votre
expérience vous ait préparé au rôle que les appareils connectés exercent aujourd'hui
dans nos vies.
Alors que vous vous battez pour identifier les cyber-risques auxquels votre
entreprise est exposée en vous demandant par où commencer votre voyage vers
la cyber-résilience, vous risquez bien d'avoir à relever un défi encore plus redoutable.
Comment devenir cyber-résilient ?
2. Former (tous) vos collaborateurs
Abandonner le jargon technique. La communication avec vos collègues est
cruciale mais vous irez à l'échec si vous n'avez pas cette compétence toute
simple : la capacité d'oublier ce que vous avez appris au cours de décennies
de pratique de l'informatique et du jargon de la sécurité informatique.
Le jargon n'est pas seulement inutile, il vous affaiblit. Vraiment, le jargon est
l'ennemi de la cyber-résilience.
20
En matière de cyber-résilience, comme nous l'avons vu, il est vain de travailler
isolément. Le cyber-risque vient d'ennemis inconnus et intelligents, organisés en
cellules pouvant se former, se dissoudre et se reformer avec une grande fluidité.
Il n'est ni pratique ni souhaitable d'adopter la même organisation. Et d'ailleurs,
qui se chargerait de vos tâches quotidiennes ?
Les philosophes nous disent que ceux qui ne savent pas tirer les leçons de leurs
erreurs passées sont condamnés à les répéter. Mais vous n'êtes pas seul. Dans
un monde connecté, le nombre fait la force. Pourquoi souffrir pendant que votre
entreprise décide quelle stratégie de cyber-résilience adopter ? Il est bien plus
judicieux de collaborer avec ceux qui partagent les idées de votre entreprise, de
mettre vos renseignements en commun et de développer des stratégies.
De par vos compétences, vous êtes idéalement placé pour aider votre entreprise
à devenir plus cyber-résiliente. Certains diraient que cette stratégie est la seule
pouvant réussir compte tenu de la constance de la menace.
Imaginez un centre de cyber-intelligence, réunissant des milliards d'observations
relatives à des problèmes de cyber-sécurité affectant des milliers d'entreprises
et des millions d'utilisateurs : l'objectif est de créer une vue d'ensemble parfaitement
claire des menaces Internet auxquelles votre entreprise est confrontée.
Cette approche est bien éloignée de la conception actuelle consistant à rendre
le service informatique coupable en cas de problème, même si les informations
fournies par les contrôles de sécurité existants sont importantes.
Le nouveau rôle du service informatique est d'être le centre d'excellence de l'évaluation
du cyber-risque. Il a vocation à fournir de nouveaux indicateurs pour que les dirigeants
soient à même de mesurer la cyber-résilience de leur entreprise. Le cyber-risque
transcende les frontières informatiques, départementales et même nationales. La
cyber-résilience est un sport collectif joué par des leaders. Comme vous. Montez
à bord du train. Son départ est imminent.
Comment devenir cyber-résilient ?
3. Faire de la cyber-résilience
votre avantage concurrentiel
22 23
Conclusion
Les résultats du passage à un monde connecté sont déjà impressionnants alors
que nous venons tout juste de nous engager dans cette voie. Etonnamment, ce
progrès ne nécessite que de savoir envoyer et recevoir des données de manière
sécurisée. Malheureusement, c'est une tâche technologique complexe et, comme
l'a dit Arthur C. Clarke, futurologue et écrivain, "toute technologie suffisamment
avancée se confond avec la magie".
Notre monde connecté est trop important pour n'être que de la magie. A un niveau
personnel, les cyber-risques questionnent notre identité et notre vie privée. Au
niveau mondial, ils menacent la stabilité de nos gouvernements et de nos systèmes
bancaires. Le monde connecté doit être compréhensible pour les responsables
d'entreprises et d'organisations gouvernementales au même titre que l'énergie,
l'eau, le talent et d'autres éléments vitaux du monde réel. Aujourd'hui, il n'est
pas traité ainsi.
Les professionnels de l'informatique ont un rôle stratégique à jouer mais
seulement s'ils sont en mesure :
1. De réellement établir une base de référence permettant de savoir où en
est aujourd'hui leur entreprise en matière de cyber-résilience. Et ce plus
rapidement et de manière plus rigoureuse qu'auparavant.
2. D'impliquer les employés de leur entreprise dans la démarche de cyber-
résilience. Cela revient à former toute personne intervenant dans la chaîne
logistique de l'entreprise afin de trouver le juste équilibre entre l'innovation
souhaitée et la cyber-résilience nécessaire.
3. D'utiliser la cyber-résilience pour permettre à leur entreprise de bénéficier
d'un avantage concurrentiel stratégique sur le long terme.
Les idées lancées dans ce manifeste déclencheront peut-être la réaction en
chaîne dont votre entreprise a besoin pour initier une démarche de cyber-résilience.
Si c'est le cas, collaborez avec les experts de Symantec dont les produits et services
de protection et d'évaluation de la cyber-sécurité aident des milliers de dirigeants
à rendre leur entreprise cyber-résiliente.
Cyber-
résilience
Définition
de la cyber-
résilience
Base de
référence
BYOD
Cloud
Service
informatique
Entreprise
Chaîne
logistique
Aujourd'hui
Sur site
Cœur IP
Personnel
formé
Chaîne
logistique
future
Cloud
Externalisation
Transition
Demain
Menaces
Internet
Impact sur
l'évolution
Valorisation
de l'existant
Résilience
stratégique
24 25
Contacts Références
Symantec France
Tour Egée
17 avenue de l'Arche, La Défense 6
92671 Courbevoie Cedex
Tél. : 01 41 38 57 00
1 – Mary Meeker, KPCB, 2013 Internet Trends
2 – Norton Cybercrime Report
3 – Symantec ISTR 2012
4 – Verizon DBIR 2013
5 – Economist Intelligence Unit de juillet 2013 : "Security
Empowers Business – unlock the power of a protected
enterprise"
6 – Webconférence Gartner de janvier 2013 : "By 2017 the
CMO will spend more than the CIO", Laura McLellan
7 – Symantec : "What's Yours is Mine: How Employees are
Putting Your IP at Risk" (livre blanc, 2013)
8 – Etude Symantec "Cost of a Data Breach 2013"
Nous souhaitons nous engager à vos côtés pour promouvoir la cyber-sécurité, et nos produits et services sont
reconnus comme étant à la pointe des connaissances en matière de cyber-sécurité.
Contactez-nous afin de vous inscrire pour une évaluation CyberV initiale.
http://www.emea.symantec.com/cyber-resilience/
Symantec est un leader mondial de solutions de gestion de la sécurité, du stockage et des systèmes, permettant aux clients de sécuriser et
de gérer leurs informations et leurs identités.
Copyright © 2013 Symantec Corporation. Tous droits réservés. Symantec, le logo Symantec et le logo en forme de coche sont des marques
commerciales ou des marques déposées de Symantec Corporation ou de ses filiales aux Etats-Unis et dans d'autres pays. Les autres noms
peuvent être des marques commerciales de leurs détenteurs respectifs. 12/12
Manifeste pour la cyber-résilience

Contenu connexe

Tendances

Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17
ITrust - Cybersecurity as a Service
 
Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17
ITrust - Cybersecurity as a Service
 
Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017
NRC
 
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
BEIJAFLORE
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
polenumerique33
 
EuraTech Trends : la Cybersecurite
EuraTech Trends : la CybersecuriteEuraTech Trends : la Cybersecurite
EuraTech Trends : la Cybersecurite
EuraTechnologies
 
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
OpinionWay
 
Projets groupe cybersécurité tpa 24mai2916
Projets groupe cybersécurité tpa   24mai2916Projets groupe cybersécurité tpa   24mai2916
Projets groupe cybersécurité tpa 24mai2916
Laura Peytavin
 
Manifeste ResistanceCYBER 17.05.17
Manifeste ResistanceCYBER 17.05.17Manifeste ResistanceCYBER 17.05.17
Manifeste ResistanceCYBER 17.05.17
ITrust - Cybersecurity as a Service
 
Manifeste ResistanceCYBER 18.05.17
Manifeste ResistanceCYBER 18.05.17Manifeste ResistanceCYBER 18.05.17
Manifeste ResistanceCYBER 18.05.17
ITrust - Cybersecurity as a Service
 
Manifeste ResistanceCYBER 15.05.17
Manifeste ResistanceCYBER 15.05.17Manifeste ResistanceCYBER 15.05.17
Manifeste ResistanceCYBER 15.05.17
ITrust - Cybersecurity as a Service
 
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrieEtude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Apec
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?
Kiwi Backup
 
L'année 2014 de la cyberdéfense
L'année 2014 de la cyberdéfenseL'année 2014 de la cyberdéfense
L'année 2014 de la cyberdéfense
ncaproni
 
Jeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécuritéJeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécurité
Antoine Vigneron
 
Repenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécuritéRepenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécurité
Naully Nicolas
 
Ch3 4 cybercriminalite_gci
Ch3 4 cybercriminalite_gciCh3 4 cybercriminalite_gci
Ch3 4 cybercriminalite_gci
Radouane Mrabet
 
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
NetSecure Day
 
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
ssuser0da89f
 
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'EmbarquéMeetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
Christian Charreyre
 

Tendances (20)

Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17
 
Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17
 
Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017
 
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
EuraTech Trends : la Cybersecurite
EuraTech Trends : la CybersecuriteEuraTech Trends : la Cybersecurite
EuraTech Trends : la Cybersecurite
 
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
 
Projets groupe cybersécurité tpa 24mai2916
Projets groupe cybersécurité tpa   24mai2916Projets groupe cybersécurité tpa   24mai2916
Projets groupe cybersécurité tpa 24mai2916
 
Manifeste ResistanceCYBER 17.05.17
Manifeste ResistanceCYBER 17.05.17Manifeste ResistanceCYBER 17.05.17
Manifeste ResistanceCYBER 17.05.17
 
Manifeste ResistanceCYBER 18.05.17
Manifeste ResistanceCYBER 18.05.17Manifeste ResistanceCYBER 18.05.17
Manifeste ResistanceCYBER 18.05.17
 
Manifeste ResistanceCYBER 15.05.17
Manifeste ResistanceCYBER 15.05.17Manifeste ResistanceCYBER 15.05.17
Manifeste ResistanceCYBER 15.05.17
 
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrieEtude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?
 
L'année 2014 de la cyberdéfense
L'année 2014 de la cyberdéfenseL'année 2014 de la cyberdéfense
L'année 2014 de la cyberdéfense
 
Jeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécuritéJeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécurité
 
Repenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécuritéRepenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécurité
 
Ch3 4 cybercriminalite_gci
Ch3 4 cybercriminalite_gciCh3 4 cybercriminalite_gci
Ch3 4 cybercriminalite_gci
 
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
 
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
 
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'EmbarquéMeetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
 

En vedette

Visite+ workshop NTIC projet Iterr-Cost
Visite+ workshop NTIC projet Iterr-CostVisite+ workshop NTIC projet Iterr-Cost
Visite+ workshop NTIC projet Iterr-Cost
Roland Topalian
 
Découvrez notre produit VigieSI - Gfi Informatique
Découvrez notre produit VigieSI - Gfi InformatiqueDécouvrez notre produit VigieSI - Gfi Informatique
Découvrez notre produit VigieSI - Gfi Informatique
Inetum
 
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOCJeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Antoine Vigneron
 
Will the next systemic crisis be cyber?
Will the next systemic crisis be cyber?Will the next systemic crisis be cyber?
Will the next systemic crisis be cyber?
Arrow Institute
 
Investigation de cybersécurité avec Splunk
Investigation de cybersécurité avec SplunkInvestigation de cybersécurité avec Splunk
Investigation de cybersécurité avec Splunk
Ibrahimous
 
Cyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminelsCyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminels
EY
 
Cybersécurité : créer les conditions de la confiance dans le monde digital
Cybersécurité : créer les conditions de la confiance dans le monde digitalCybersécurité : créer les conditions de la confiance dans le monde digital
Cybersécurité : créer les conditions de la confiance dans le monde digital
EY
 
Security Operation Center - Design & Build
Security Operation Center - Design & BuildSecurity Operation Center - Design & Build
Security Operation Center - Design & Build
Sameer Paradia
 

En vedette (9)

Visite+ workshop NTIC projet Iterr-Cost
Visite+ workshop NTIC projet Iterr-CostVisite+ workshop NTIC projet Iterr-Cost
Visite+ workshop NTIC projet Iterr-Cost
 
Seconde 2010
Seconde 2010Seconde 2010
Seconde 2010
 
Découvrez notre produit VigieSI - Gfi Informatique
Découvrez notre produit VigieSI - Gfi InformatiqueDécouvrez notre produit VigieSI - Gfi Informatique
Découvrez notre produit VigieSI - Gfi Informatique
 
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOCJeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
 
Will the next systemic crisis be cyber?
Will the next systemic crisis be cyber?Will the next systemic crisis be cyber?
Will the next systemic crisis be cyber?
 
Investigation de cybersécurité avec Splunk
Investigation de cybersécurité avec SplunkInvestigation de cybersécurité avec Splunk
Investigation de cybersécurité avec Splunk
 
Cyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminelsCyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminels
 
Cybersécurité : créer les conditions de la confiance dans le monde digital
Cybersécurité : créer les conditions de la confiance dans le monde digitalCybersécurité : créer les conditions de la confiance dans le monde digital
Cybersécurité : créer les conditions de la confiance dans le monde digital
 
Security Operation Center - Design & Build
Security Operation Center - Design & BuildSecurity Operation Center - Design & Build
Security Operation Center - Design & Build
 

Similaire à Manifeste pour la cyber-résilience

LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
Symantec
 
Guide de cybersécurité
Guide de cybersécurité Guide de cybersécurité
Guide de cybersécurité
Bpifrance
 
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlog
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlogReveelium, solution innovante pour analyser les cyber menaces @ITrustBlog
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlog
ITrust - Cybersecurity as a Service
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
PECB
 
Sogeti cybersecurity
Sogeti cybersecuritySogeti cybersecurity
Sogeti cybersecurity
Yann SESE
 
Sogeti : cybersécurité - conserver l’avantage dans la partie
Sogeti : cybersécurité - conserver l’avantage dans la partieSogeti : cybersécurité - conserver l’avantage dans la partie
Sogeti : cybersécurité - conserver l’avantage dans la partie
polenumerique33
 
Cap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagirCap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagir
EY
 
CWIN18 Paris_Introduction Nathalie Kosciusko-Morizet
CWIN18 Paris_Introduction Nathalie Kosciusko-MorizetCWIN18 Paris_Introduction Nathalie Kosciusko-Morizet
CWIN18 Paris_Introduction Nathalie Kosciusko-Morizet
Capgemini
 
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Crossing Skills
 
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
OpinionWay
 
L’IoT et le soulèvement des machines
L’IoT et le soulèvement des machinesL’IoT et le soulèvement des machines
L’IoT et le soulèvement des machines
ITrust - Cybersecurity as a Service
 
Cybersécurité & territoires intelligents
Cybersécurité & territoires intelligentsCybersécurité & territoires intelligents
Cybersécurité & territoires intelligents
ifada021980
 
Les données personnelles à l'ère de la transformation digitale
Les données personnelles à l'ère de la transformation digitaleLes données personnelles à l'ère de la transformation digitale
Les données personnelles à l'ère de la transformation digitale
Yasser Monkachi
 
Robert half cybersécurité - protéger votre avenir
Robert half   cybersécurité - protéger votre avenirRobert half   cybersécurité - protéger votre avenir
Robert half cybersécurité - protéger votre avenir
Robert Half France
 
Central634_Dossier_completDV_001
Central634_Dossier_completDV_001Central634_Dossier_completDV_001
Central634_Dossier_completDV_001
Bruno CAMBOUNET
 
Introduction à la sécurité des SI
Introduction à la sécurité des SIIntroduction à la sécurité des SI
Introduction à la sécurité des SI
Jean-Michel Tyszka
 
2016-09 article Global Security Magazine par Mathieu Rigotto
2016-09 article Global Security Magazine par Mathieu Rigotto2016-09 article Global Security Magazine par Mathieu Rigotto
2016-09 article Global Security Magazine par Mathieu Rigotto
Solenn Eclache
 
2016-09 article Global Security Magazine par Mathieu Rigotto
2016-09 article Global Security Magazine par Mathieu Rigotto2016-09 article Global Security Magazine par Mathieu Rigotto
2016-09 article Global Security Magazine par Mathieu Rigotto
IMS NETWORKS
 
CYBERSÉCURITÉ OU LES ENJEUX D'UNE SOUVERAINETÉ NUMÉRIQUE
CYBERSÉCURITÉ OU LES ENJEUX D'UNE SOUVERAINETÉ NUMÉRIQUECYBERSÉCURITÉ OU LES ENJEUX D'UNE SOUVERAINETÉ NUMÉRIQUE
CYBERSÉCURITÉ OU LES ENJEUX D'UNE SOUVERAINETÉ NUMÉRIQUE
Djallal BOUABDALLAH
 
Sondage opinion way pour cci france gce - cybersécurité
Sondage opinion way pour cci france   gce - cybersécuritéSondage opinion way pour cci france   gce - cybersécurité
Sondage opinion way pour cci france gce - cybersécurité
contactOpinionWay
 

Similaire à Manifeste pour la cyber-résilience (20)

LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
 
Guide de cybersécurité
Guide de cybersécurité Guide de cybersécurité
Guide de cybersécurité
 
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlog
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlogReveelium, solution innovante pour analyser les cyber menaces @ITrustBlog
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlog
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
 
Sogeti cybersecurity
Sogeti cybersecuritySogeti cybersecurity
Sogeti cybersecurity
 
Sogeti : cybersécurité - conserver l’avantage dans la partie
Sogeti : cybersécurité - conserver l’avantage dans la partieSogeti : cybersécurité - conserver l’avantage dans la partie
Sogeti : cybersécurité - conserver l’avantage dans la partie
 
Cap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagirCap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagir
 
CWIN18 Paris_Introduction Nathalie Kosciusko-Morizet
CWIN18 Paris_Introduction Nathalie Kosciusko-MorizetCWIN18 Paris_Introduction Nathalie Kosciusko-Morizet
CWIN18 Paris_Introduction Nathalie Kosciusko-Morizet
 
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
 
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
 
L’IoT et le soulèvement des machines
L’IoT et le soulèvement des machinesL’IoT et le soulèvement des machines
L’IoT et le soulèvement des machines
 
Cybersécurité & territoires intelligents
Cybersécurité & territoires intelligentsCybersécurité & territoires intelligents
Cybersécurité & territoires intelligents
 
Les données personnelles à l'ère de la transformation digitale
Les données personnelles à l'ère de la transformation digitaleLes données personnelles à l'ère de la transformation digitale
Les données personnelles à l'ère de la transformation digitale
 
Robert half cybersécurité - protéger votre avenir
Robert half   cybersécurité - protéger votre avenirRobert half   cybersécurité - protéger votre avenir
Robert half cybersécurité - protéger votre avenir
 
Central634_Dossier_completDV_001
Central634_Dossier_completDV_001Central634_Dossier_completDV_001
Central634_Dossier_completDV_001
 
Introduction à la sécurité des SI
Introduction à la sécurité des SIIntroduction à la sécurité des SI
Introduction à la sécurité des SI
 
2016-09 article Global Security Magazine par Mathieu Rigotto
2016-09 article Global Security Magazine par Mathieu Rigotto2016-09 article Global Security Magazine par Mathieu Rigotto
2016-09 article Global Security Magazine par Mathieu Rigotto
 
2016-09 article Global Security Magazine par Mathieu Rigotto
2016-09 article Global Security Magazine par Mathieu Rigotto2016-09 article Global Security Magazine par Mathieu Rigotto
2016-09 article Global Security Magazine par Mathieu Rigotto
 
CYBERSÉCURITÉ OU LES ENJEUX D'UNE SOUVERAINETÉ NUMÉRIQUE
CYBERSÉCURITÉ OU LES ENJEUX D'UNE SOUVERAINETÉ NUMÉRIQUECYBERSÉCURITÉ OU LES ENJEUX D'UNE SOUVERAINETÉ NUMÉRIQUE
CYBERSÉCURITÉ OU LES ENJEUX D'UNE SOUVERAINETÉ NUMÉRIQUE
 
Sondage opinion way pour cci france gce - cybersécurité
Sondage opinion way pour cci france   gce - cybersécuritéSondage opinion way pour cci france   gce - cybersécurité
Sondage opinion way pour cci france gce - cybersécurité
 

Plus de Symantec

Symantec Enterprise Security Products are now part of Broadcom
Symantec Enterprise Security Products are now part of BroadcomSymantec Enterprise Security Products are now part of Broadcom
Symantec Enterprise Security Products are now part of Broadcom
Symantec
 
Symantec Webinar | National Cyber Security Awareness Month: Fostering a Secur...
Symantec Webinar | National Cyber Security Awareness Month: Fostering a Secur...Symantec Webinar | National Cyber Security Awareness Month: Fostering a Secur...
Symantec Webinar | National Cyber Security Awareness Month: Fostering a Secur...
Symantec
 
Symantec Webinar | National Cyber Security Awareness Month: Protect IT
Symantec Webinar | National Cyber Security Awareness Month: Protect ITSymantec Webinar | National Cyber Security Awareness Month: Protect IT
Symantec Webinar | National Cyber Security Awareness Month: Protect IT
Symantec
 
Symantec Webinar | National Cyber Security Awareness Month: Secure IT
Symantec Webinar | National Cyber Security Awareness Month: Secure ITSymantec Webinar | National Cyber Security Awareness Month: Secure IT
Symantec Webinar | National Cyber Security Awareness Month: Secure IT
Symantec
 
Symantec Webinar | National Cyber Security Awareness Month - Own IT
Symantec Webinar | National Cyber Security Awareness Month - Own ITSymantec Webinar | National Cyber Security Awareness Month - Own IT
Symantec Webinar | National Cyber Security Awareness Month - Own IT
Symantec
 
Symantec Webinar: Preparing for the California Consumer Privacy Act (CCPA)
Symantec Webinar: Preparing for the California Consumer Privacy Act (CCPA)Symantec Webinar: Preparing for the California Consumer Privacy Act (CCPA)
Symantec Webinar: Preparing for the California Consumer Privacy Act (CCPA)
Symantec
 
Symantec Webinar | How to Detect Targeted Ransomware with MITRE ATT&CK
Symantec Webinar | How to Detect Targeted Ransomware with MITRE ATT&CKSymantec Webinar | How to Detect Targeted Ransomware with MITRE ATT&CK
Symantec Webinar | How to Detect Targeted Ransomware with MITRE ATT&CK
Symantec
 
Symantec Mobile Security Webinar
Symantec Mobile Security WebinarSymantec Mobile Security Webinar
Symantec Mobile Security Webinar
Symantec
 
Symantec Webinar Cloud Security Threat Report
Symantec Webinar Cloud Security Threat ReportSymantec Webinar Cloud Security Threat Report
Symantec Webinar Cloud Security Threat Report
Symantec
 
Symantec Cloud Security Threat Report
Symantec Cloud Security Threat ReportSymantec Cloud Security Threat Report
Symantec Cloud Security Threat Report
Symantec
 
Symantec Webinar | Security Analytics Breached! Next Generation Network Foren...
Symantec Webinar | Security Analytics Breached! Next Generation Network Foren...Symantec Webinar | Security Analytics Breached! Next Generation Network Foren...
Symantec Webinar | Security Analytics Breached! Next Generation Network Foren...
Symantec
 
Symantec Webinar | Implementing a Zero Trust Framework to Secure Modern Workf...
Symantec Webinar | Implementing a Zero Trust Framework to Secure Modern Workf...Symantec Webinar | Implementing a Zero Trust Framework to Secure Modern Workf...
Symantec Webinar | Implementing a Zero Trust Framework to Secure Modern Workf...
Symantec
 
Symantec Webinar | Tips for Successful CASB Projects
Symantec Webinar |  Tips for Successful CASB ProjectsSymantec Webinar |  Tips for Successful CASB Projects
Symantec Webinar | Tips for Successful CASB Projects
Symantec
 
Symantec Webinar: What Cyber Threats Are Lurking in Your Network?
Symantec Webinar: What Cyber Threats Are Lurking in Your Network?Symantec Webinar: What Cyber Threats Are Lurking in Your Network?
Symantec Webinar: What Cyber Threats Are Lurking in Your Network?
Symantec
 
Symantec Webinar: GDPR 1 Year On
Symantec Webinar: GDPR 1 Year OnSymantec Webinar: GDPR 1 Year On
Symantec Webinar: GDPR 1 Year On
Symantec
 
Symantec ISTR 24 Webcast 2019
Symantec ISTR 24 Webcast 2019Symantec ISTR 24 Webcast 2019
Symantec ISTR 24 Webcast 2019
Symantec
 
Symantec Best Practices for Cloud Security: Insights from the Front Lines
Symantec Best Practices for Cloud Security: Insights from the Front LinesSymantec Best Practices for Cloud Security: Insights from the Front Lines
Symantec Best Practices for Cloud Security: Insights from the Front Lines
Symantec
 
Symantec - The Importance of Building Your Zero Trust Program on a Solid Plat...
Symantec - The Importance of Building Your Zero Trust Program on a Solid Plat...Symantec - The Importance of Building Your Zero Trust Program on a Solid Plat...
Symantec - The Importance of Building Your Zero Trust Program on a Solid Plat...
Symantec
 
Symantec Webinar | Redefining Endpoint Security- How to Better Secure the End...
Symantec Webinar | Redefining Endpoint Security- How to Better Secure the End...Symantec Webinar | Redefining Endpoint Security- How to Better Secure the End...
Symantec Webinar | Redefining Endpoint Security- How to Better Secure the End...
Symantec
 
Symantec Webinar Using Advanced Detection and MITRE ATT&CK to Cage Fancy Bear
Symantec Webinar Using Advanced Detection and MITRE ATT&CK to Cage Fancy BearSymantec Webinar Using Advanced Detection and MITRE ATT&CK to Cage Fancy Bear
Symantec Webinar Using Advanced Detection and MITRE ATT&CK to Cage Fancy Bear
Symantec
 

Plus de Symantec (20)

Symantec Enterprise Security Products are now part of Broadcom
Symantec Enterprise Security Products are now part of BroadcomSymantec Enterprise Security Products are now part of Broadcom
Symantec Enterprise Security Products are now part of Broadcom
 
Symantec Webinar | National Cyber Security Awareness Month: Fostering a Secur...
Symantec Webinar | National Cyber Security Awareness Month: Fostering a Secur...Symantec Webinar | National Cyber Security Awareness Month: Fostering a Secur...
Symantec Webinar | National Cyber Security Awareness Month: Fostering a Secur...
 
Symantec Webinar | National Cyber Security Awareness Month: Protect IT
Symantec Webinar | National Cyber Security Awareness Month: Protect ITSymantec Webinar | National Cyber Security Awareness Month: Protect IT
Symantec Webinar | National Cyber Security Awareness Month: Protect IT
 
Symantec Webinar | National Cyber Security Awareness Month: Secure IT
Symantec Webinar | National Cyber Security Awareness Month: Secure ITSymantec Webinar | National Cyber Security Awareness Month: Secure IT
Symantec Webinar | National Cyber Security Awareness Month: Secure IT
 
Symantec Webinar | National Cyber Security Awareness Month - Own IT
Symantec Webinar | National Cyber Security Awareness Month - Own ITSymantec Webinar | National Cyber Security Awareness Month - Own IT
Symantec Webinar | National Cyber Security Awareness Month - Own IT
 
Symantec Webinar: Preparing for the California Consumer Privacy Act (CCPA)
Symantec Webinar: Preparing for the California Consumer Privacy Act (CCPA)Symantec Webinar: Preparing for the California Consumer Privacy Act (CCPA)
Symantec Webinar: Preparing for the California Consumer Privacy Act (CCPA)
 
Symantec Webinar | How to Detect Targeted Ransomware with MITRE ATT&CK
Symantec Webinar | How to Detect Targeted Ransomware with MITRE ATT&CKSymantec Webinar | How to Detect Targeted Ransomware with MITRE ATT&CK
Symantec Webinar | How to Detect Targeted Ransomware with MITRE ATT&CK
 
Symantec Mobile Security Webinar
Symantec Mobile Security WebinarSymantec Mobile Security Webinar
Symantec Mobile Security Webinar
 
Symantec Webinar Cloud Security Threat Report
Symantec Webinar Cloud Security Threat ReportSymantec Webinar Cloud Security Threat Report
Symantec Webinar Cloud Security Threat Report
 
Symantec Cloud Security Threat Report
Symantec Cloud Security Threat ReportSymantec Cloud Security Threat Report
Symantec Cloud Security Threat Report
 
Symantec Webinar | Security Analytics Breached! Next Generation Network Foren...
Symantec Webinar | Security Analytics Breached! Next Generation Network Foren...Symantec Webinar | Security Analytics Breached! Next Generation Network Foren...
Symantec Webinar | Security Analytics Breached! Next Generation Network Foren...
 
Symantec Webinar | Implementing a Zero Trust Framework to Secure Modern Workf...
Symantec Webinar | Implementing a Zero Trust Framework to Secure Modern Workf...Symantec Webinar | Implementing a Zero Trust Framework to Secure Modern Workf...
Symantec Webinar | Implementing a Zero Trust Framework to Secure Modern Workf...
 
Symantec Webinar | Tips for Successful CASB Projects
Symantec Webinar |  Tips for Successful CASB ProjectsSymantec Webinar |  Tips for Successful CASB Projects
Symantec Webinar | Tips for Successful CASB Projects
 
Symantec Webinar: What Cyber Threats Are Lurking in Your Network?
Symantec Webinar: What Cyber Threats Are Lurking in Your Network?Symantec Webinar: What Cyber Threats Are Lurking in Your Network?
Symantec Webinar: What Cyber Threats Are Lurking in Your Network?
 
Symantec Webinar: GDPR 1 Year On
Symantec Webinar: GDPR 1 Year OnSymantec Webinar: GDPR 1 Year On
Symantec Webinar: GDPR 1 Year On
 
Symantec ISTR 24 Webcast 2019
Symantec ISTR 24 Webcast 2019Symantec ISTR 24 Webcast 2019
Symantec ISTR 24 Webcast 2019
 
Symantec Best Practices for Cloud Security: Insights from the Front Lines
Symantec Best Practices for Cloud Security: Insights from the Front LinesSymantec Best Practices for Cloud Security: Insights from the Front Lines
Symantec Best Practices for Cloud Security: Insights from the Front Lines
 
Symantec - The Importance of Building Your Zero Trust Program on a Solid Plat...
Symantec - The Importance of Building Your Zero Trust Program on a Solid Plat...Symantec - The Importance of Building Your Zero Trust Program on a Solid Plat...
Symantec - The Importance of Building Your Zero Trust Program on a Solid Plat...
 
Symantec Webinar | Redefining Endpoint Security- How to Better Secure the End...
Symantec Webinar | Redefining Endpoint Security- How to Better Secure the End...Symantec Webinar | Redefining Endpoint Security- How to Better Secure the End...
Symantec Webinar | Redefining Endpoint Security- How to Better Secure the End...
 
Symantec Webinar Using Advanced Detection and MITRE ATT&CK to Cage Fancy Bear
Symantec Webinar Using Advanced Detection and MITRE ATT&CK to Cage Fancy BearSymantec Webinar Using Advanced Detection and MITRE ATT&CK to Cage Fancy Bear
Symantec Webinar Using Advanced Detection and MITRE ATT&CK to Cage Fancy Bear
 

Manifeste pour la cyber-résilience

  • 1. Manifeste pour la cyber-résilience Définition de la cyber-résilience Inconnues méconnues Refaire les batailles du passé Facteur humainSavoirfaire unétatdes lieux devotre situation actuelle BYOD Cyber-résilience Employés Révolution
  • 2. 2 3 Définition de la cyber-résilience Nous vivons dans un monde connecté : jour après jour, ce constat se révèle être une description toujours plus fidèle de notre réalité. Que ce soit dans notre vie professionnelle ou pour nos loisirs, Internet occupe une place considérable et ne cesse de se développer. Aujourd'hui, quelque 2,4 milliards d'internautes de tous les pays, soit 34 % de la population mondiale, passent de plus en plus de temps en ligne.1 Et nos cyber-activités s'ajoutent à celles, intenses, des entreprises, ceci étant une tendance de fond susceptible de révolutionner les usages. Pour certains, les avantages de notre vie en ligne et des nouveaux modèles économiques rendus possibles par l'utilisation d'Internet sont assortis de risques facilement appréhendables et acceptables. D'autres considèrent que de tels mouvements de masse demandent des réponses plus réfléchies. Mais le temps manque pour organiser un débat. Ce dont nous avons vraiment besoin, c'est d'une incitation à l'action. Pour éliminer les risques qui menacent notre vie en ligne, nous devons prendre en compte 4 tendances, ayant chacune des implications différentes liées à la cyber- sécurité, et demandant l'attention des organisations gouvernementales : Démocratisation : le pouvoir est à l'utilisateur alors que les entreprises apprennent à s'adresser à leurs clients par les canaux que ceux-ci imposent. Consumérisation : il s'agit ici de l'impact des nombreux appareils ou, plus important encore, des applications, qui sont les compagnons de notre vie connectée, que ce soit pour le travail ou pour les loisirs. Externalisation : il est ici fait référence à la dynamique économique du cloud computing qui entraîne une forte baisse des dépenses d'investissement et bouleverse le mode de transit des données à destination et en provenance des entreprises. Digitalisation : ce terme fait référence à la connectivité exponentielle liée à l'Internet des objets constitué de toutes sortes de capteurs et d'appareils connectés. En matière de lutte contre le cyber-risque, la résolution des problèmes associés à l'une de ces tendances ne fait qu'accroître l'importance de ceux liés à la suivante. Tout comme avec la plupart des autres bonnes pratiques, il existe plusieurs réponses correctes signifiant, au mieux, que vous pouvez optimiser l'environnement de votre entreprise pour réduire son exposition. En effet, le cyber- risque ne peut pas être éradiqué en raison des puissantes forces mentionnées ci-dessus. Ce manifeste expose un plan permettant de réduire, et non d'éliminer, les risques réels et grandissants auxquels sont exposés les individus, les entreprises et les gouvernements. Son objectif est simple : nous rendre cyber-résilients. Démocratisation Externalisation Digitalisation Consumérisation
  • 3. 4 5555555555555555555555555555555555 Ce que nous savons aujourd'hui Avec Internet, ce qui était impossible devient possible. Posez-vous les questions suivantes : • Quels clients des banques renonceraient à la liberté de faire des virements internationaux en quelques millisecondes ? • Qu'est-ce qui pourrait forcer les hommes d'affaires à refaire la queue pour acheter un billet d'avion, utiliser une cabine téléphonique ou poster un colis ? • Pourquoi enverrions-nous par avion ce qui peut être imprimé pour moins cher ? La situation actuelle est complexe, en pleine évolution et potentiellement dévastatrice pour les entreprises. Alors que seulement 15 % du trafic Internet mondial est mobile aujourd'hui, ce chiffre augmente du fait de l'existence de cinq milliards de téléphones portables dont un tiers sont des smartphones dotés d'un accès Internet.1 500 millions de photos sont partagées quotidiennement et l'utilisateur moyen consulte sa messagerie 23 fois par jour.1 Les cyber-attaques font 1,5 millions de victimes chaque jour et on estime qu'elles entraînent au total 110 milliards de dollars de pertes chaque année.2 Les attaques de logiciels malveillants ont augmenté de 30 % sur le Web en 2012 et de 139 % sur les appareils mobiles au cours de la même période.3 Autre paramètre essentiel, 62 % des sites Web utilisés pour propager des logiciels malveillants étaient des sites légitimes piratés.3 L'inquiétude vous gagne ? Ces menaces Internet ne peuvent que se multiplier et devenir toujours plus sophistiquées. C'est parce que les cibles les plus anciennes, telles que les systèmes d'exploitation des PC, laissent place à de nouvelles plates-formes Web et mobiles ainsi qu'aux applications sociales. Les mutations de ce que les experts de la sécurité appellent le paysage des menaces sont difficiles à gérer. Sans les niveaux de sécurité mis en œuvre dans les grandes entreprises, vous êtes exposés. Comme nous le verrons, la taille n'est que l'une de nos préoccupations.
  • 4. 6 7 Les inconnues méconnues Dans le monde connecté, des intentions inconnues et des conséquences inattendues créent le chaos. Il est impossible de prévoir toutes les nouvelles menaces Internet auxquelles votre entreprise sera confrontée : certaines n'ont pas encore été inventées. "Hacktivistes" mécontents, cyber-criminels, cyber-terroristes ou même cyber- armées sponsorisées par des Etats, la plupart ont sur nous l'avantage de la surprise. Les moteurs de leurs actions sont variés, de la protestation pacifique à l'intention malveillante, de l'avantage politique à l'avantage personnel ou une combinaison de ces motivations. Toutefois, dans une espèce de course à l'armement menaçant les internautes mal préparés, les moyens disponibles pour créer des cyber-risques se développent de manière exponentielle. De plus en plus de kits de logiciels malveillants prêts à l'emploi peuvent être obtenus via Internet moyennant un paiement en monnaie virtuelle, loin des regards indiscrets. La cyber-économie souterraine est florissante et il existe véritablement un code de l'honneur entre les voleurs. Au sein de leurs centres d'excellence, cachés par des dispositifs de protection ultra-performants, ils peuvent garder une longueur d'avance sur tous ceux qui les combattent, sauf sur les experts de la sécurité les plus compétents. Ils peuvent y partager des données volées à l'insu de leurs victimes. Moyennant paiement, ils partagent leurs secrets avec d'autres cyber-escrocs. Si votre entreprise respecte la loi, il est peu probable que vous puissiez accéder à ces coulisses du crime. Les règles qui s'appliquent aux victimes ne sont pas les mêmes que celles qui prévalent dans la nature : il n'y a aucun avantage à être un petit poisson dans un grand étang. En fait, c'est même un facteur aggravant, avec 31 % des cyber-attaques qui touchent des entreprises comptant de 1 à 250 employés.2 Alors que les grandes entreprises sont coutumières des menaces Internet, leurs fournisseurs plus petits sont bien plus intéressants pour ceux qui ont de mauvaises intentions. Il est en effet plus facile de s'infiltrer dans la chaîne logistique d'une grande entreprise par le bas que par le haut.
  • 5. 8 9 Le facteur humain Alors que 84 % des piratages ne nécessitent tout au plus que quelques heures, il faut des mois pour les découvrir (dans 66 % des cas) et leur endiguement demande des mois ou des années pour 22 % d'entre nous.4 Pour quelle raison ? Vous pourriez penser que la différence entre une entreprise cyber-résiliente et celles qui sont exposées à une exploitation de leurs ressources réside dans de meilleurs ordinateurs, de meilleurs logiciels ou des connexions plus rapides. Malheureusement, ce n'est presque jamais le cas. Il peut bien sûr être nécessaire de disposer de la toute meilleure technologie disponible pour sécuriser une entreprise. Toutefois, nécessaire ne veut pas toujours dire suffisant. Les dispositifs de protection les plus récents, les plus rapides et les plus séduisants ne vous sauveront que rarement la mise. En matière de cyber-sécurité, le maillon faible est la personne qui lit ce manifeste : vous et moi. Le service informatique est le cœur de tous les processus organisationnels modernes, irrigant tous les départements ; il a traditionnellement toujours été responsable de la cyber-sécurité. Il se départit toutefois rapidement de son ancien rôle de principal acheteur de technologies pour devenir un conseiller de confiance. Une étude récente a révélé que 14 % du stockage cloud, 13 % des médias sociaux et 11 % des logiciels de bureautique sont achetés sans que le service informatique ne soit informé.5 Les données de Gartner montrent que le mouvement du budget informatique de ses "propriétaires" traditionnels vers d'autres services est déjà bien engagé. D'ailleurs, le service marketing devrait devenir, d'ici 2017, le premier acheteur de technologies, devant le service informatique.6 Tout cela signifie que le facteur humain du cyber-risque ne fera qu'augmenter, à l'extérieur du service informatique. Aujourd'hui, le fait de concentrer les connaissances en matière de cyber-sécurité sur le service informatique est bel et bien un moyen d'augmenter le cyber-risque auquel votre entreprise est exposée. L'erreur étant humaine, pourquoi limiter la charge de la cyber-résilience à un seul service ? Il est grand temps de passer à une culture de la sécurité globale. des piratages initiaux ne nécessitent tout au plus que quelques heures. des piratages ne sont découverts qu'après plusieurs mois. des piratages ne sont endigués qu'après plusieurs mois ou plusieurs années. 84 % 66 % 22 %
  • 6. 10 1111 Risque 1 Penser que la taille de l'entreprise compte Dans le monde, peu d'entreprises disposent de ressources leur permettant de rester à l'abri de toutes les menaces Internet qu'une équipe très motivée peut créer. Les multinationales elles-mêmes ne peuvent avoir que des équipes relativement réduites. Les pirates ne sont pas seulement malveillants, ils sont aussi intelligents. Ils ont il y a longtemps appris à collaborer en formant des équipes virtuelles se jouant des frontières nationales pour le bénéfice de tous leurs membres. Ils se vendent leurs astuces les uns aux autres et font le commerce d'identités volées pour venir à bout des systèmes de sécurité qui sont, pour l'essentiel, basés sur une conception nationale des risques, antérieure à l'avènement de notre monde connecté actuel, des appareils mobiles et même du Web. Comparativement, les cyber-attaques restent peu sophistiquées mais la taille n'est pas le problème. La plupart des entreprises maîtrisent d'ores et déjà les bases de la cyber-sécurité et cela limite à 10 % la proportion de cyber-attaques pouvant être lancées par l'utilisateur moyen. C'est au niveau suivant que se situe la difficulté car 78 % n'utilisent que les ressources de base disponibles en ligne et ne procèdent à aucune personnalisation.4 Un problème pourrait bien résider dans l'approche. La réaction naturelle d'un professionnel traditionnel de la sécurité est d'acheter davantage d'outils de sécurité mais une approche morcelée de ce type trouve ses limites au niveau de la taille. Il serait préférable d'obtenir une visibilité plus complète sur le positionnement actuel de l'entreprise et de réagir en conséquence. Dans le futur, les cibles potentielles des cyber-attaquants seront probablement encore plus nombreuses. Alors que la recherche de l'efficacité conduit à interconnecter toujours plus de systèmes, l'utilisation de compteurs intelligents pour gérer la consommation énergétique, de capteurs pour contrôler les lignes de production et d'étiquettes RFID pour suivre les expéditions signifie que les principaux utilisateurs des nouvelles technologies ne sont plus les membres du service informatique et qu'ils ne sont pas même des êtres humains. Avec des menaces mondiales par nature, seules quelques entreprises privilégiées, principalement dans le secteur de la défense, peuvent consacrer la totalité de leur temps à se livrer à des cyber-guerres. Les autres doivent aussi se consacrer à leurs tâches quotidiennes, qu'il s'agisse de traiter des déclarations de sinistre, de vendre des chaussures ou de réviser des voitures. Nous devons agir avec discernement pour devenir plus cyber-résilients. Dans ce contexte, quelles sont les chances des petites entreprises ? Du point de vue des professionnels de la sécurité, elles doivent se regrouper tout comme l'ont déjà fait ceux qui les attaquent. Des ressources mises en commun et une connaissance partagée de la gravité des menaces pourraient équilibrer la lutte.
  • 7. 12 1313 Risque 2 Refaire les batailles du passé... et perdre la guerre Les cyber-risques étant devenus plus subtils, personnalisés et distribués, il est devenu de plus en plus difficile de les détecter. Tellement difficile qu'il faudrait être courageux pour prétendre que des systèmes informatiques connectés à Internet (pratiquement tous les systèmes commerciaux) sont inattaquables. Historiquement, les murailles prétendument infranchissables n'ont pas fait leurs preuves : l'intelligence humaine parvient toujours à les contourner. Aujourd'hui, les menaces Internet les plus intelligentes sont rarement de pures attaques frontales mais sont plus personnalisées et s'en prennent simultanément à de nombreuses vulnérabilités afin d'être plus dévastatrices. Leurs charges utiles, qu'elles arrivent via le Web, un message électronique ou un appareil mobile, attendent patiemment et silencieusement sous la forme de réseaux de bots résidents sur les systèmes infectés et peuvent se réveiller de leur sommeil sur commande, et ce même après que l'infection a été détectée et la porte fermée. En matière de cyber-sécurité, les stratégies du passé ont leurs limites. Face à cet infernal jeu du chat et de la souris, la meilleure stratégie ne consiste pas à supprimer chaque menace isolément mais plutôt en un processus lent, déterminé et continu de cyber-résilience. La cyber-résilience consiste à considérer qu'une défense réfléchie est la meilleure attaque. L'objectif est de créer un environnement inhospitalier où il est plus difficile et moins rentable d'accéder à vos systèmes qu'à ceux d'autres entreprises. De meilleures informations permettent de prendre de meilleures décisions. Après tout, le fait de ne prendre aucun risque peut être tout aussi risqué dans l'environnement économique actuel. La meilleure méthode pour construire votre cyber-résilience consiste à avoir une image plus claire des menaces auxquelles votre entreprise est confrontée.
  • 8. 14 15 Risque 3 Ignorer le rôle des employés Les employés sont souvent cités comme étant les principaux actifs d'une entreprise. En réalité, ils peuvent également être les principaux éléments de son passif du point de vue de la sécurité. Le vol d'identité et le vol physique d'appareils non protégés, souvent encouragés par les généreuses politiques BYOD actuelles, compliquent considérablement les choses. Alors qu'auparavant la sécurité était de la seule responsabilité des professionnels de l'informatique, elle ne peut plus aujourd'hui être laissée entre leurs seules mains. Le "Shadow IT", c'est-à-dire les dépenses technologiques invisibles des employés, est un autre moteur de l'innovation. En prenant de sévères mesures contre ce que d'autres considèrent comme des outils de productivité, les professionnels de l'informatique sont certains de s'exclure eux-mêmes des discussions futures. Nous avons déjà parlé des batailles du passé. Les employés doivent eux aussi changer légèrement d'attitude. Les enquêtes montrent que 53 % des employés considèrent que le fait de récupérer des données de l'entreprise ne constitue pas un problème car "cela ne nuit pas à la société" .7 Mais qu'en savent-ils vraiment ? Il vaut certainement mieux permettre au personnel non technique de réduire les mauvaises pratiques non intentionnelles. Les employés concernés pourront ainsi acquérir des connaissances leur permettant d'accroître la cyber-résilience de l'entreprise par leurs décisions technologiques et les processus qu'ils mettront en œuvre. C'est important quand on sait que ce comportement est à l'origine de 35 % des violations de données et, sans surprise, que ces pratiques immorales augmentent fortement chez les personnes qui se préparent à quitter leur entreprise.8 Loin d'être une abdication de responsabilité du service informatique, ce conseil peut se changer en avantage concurrentiel. Il faut qu'un "new deal" soit conclu entre les employés non techniques et les spécialistes de l'informatique avec pour objectif de montrer à tous comment la cyber-résilience peut accroître le potentiel de l'entreprise. Dans notre monde connecté, l'ignorance ne fait pas le bonheur. C'est un défi à relever en termes de communication et d'organisation. En d'autres termes, une opportunité commerciale inexploitée.
  • 9. 16 17 Comment devenir cyber-résilient ? 1. Savoir faire un état des lieux de la situation actuelle de votre entreprise Ce qui ne peut pas être mesuré ne peut pas être géré. Toutefois, la plupart des cyber-attaques ne sont pas détectées, et encore moins mesurées, tout comme les risques qu'elles représentent.4 Dans ce cas, comment pouvons-nous évaluer le niveau de risque auquel nous sommes exposés ? La réponse se trouve dans l'évaluation externe. Plus précisément pour les entreprises exposées à un risque de cyber-attaque, il est essentiel que soit réalisée une évaluation complète de la cyber-sécurité portant sur les employés, les processus et les produits. L'honnêteté, aussi ennuyeuse soit-elle pour certains, est le début du voyage vers la cyber-résilience. Bien sûr, un audit indépendant des vulnérabilités établissant une base de référence pour les technologies et processus utilisés dans l'entreprise constitue un bon début. Mais ce n'est qu'un début. Que diriez-vous d'un test de performances vous permettant de comparer vos résultats à ceux de vos pairs ? Que diriez-vous de quelques recommandations pratiques basées sur une analyse des écarts vous permettant de faire un état des lieux de votre situation actuelle et de vous situer par rapport à vos objectifs ? Aujourd'hui, l'informatique est en train de devenir véritablement stratégique. Sur la base des informations évoquées précédemment, le chemin vers la cyber- résilience apparaît déjà plus distinctement. Et il se dessine mieux encore lorsque les inconnues méconnues que nous avons mentionnées commencent à devenir des mesures identifiables, pas seulement pour le service informatique mais pour l'ensemble de l'entreprise. Ces informations deviennent alors pour vous un avantage. Même si la cyber-résilience n'est pas synonyme d'immunité contre les cyber- attaques, elle consiste avant tout à faire en sorte que les vulnérabilités de votre entreprise soient moins attirantes pour ceux qui pourraient souhaiter vous attaquer. Mais ce n'est que lorsque vous avez une base de référence et un objectif applicable à l'ensemble de l'entreprise que vous pouvez établir des priorités et commencer à traiter vos problèmes de cyber-sécurité les plus importants et les plus urgents.
  • 10. 18 Il était un temps où un petit nombre de personnes étaient responsables de l'informatique. Cela marchait bien lorsque les ordinateurs étaient enfermés dans des salles auxquelles seuls les informaticiens avaient accès. Aujourd'hui, des données confidentielles stratégiques se promènent dans les poches de vos employés et parfois de vos partenaires, et des partenaires de vos partenaires, etc. Les choses ont changé. En matière de cyber-sécurité, les bonnes pratiques appliquées à votre site ne peuvent protéger votre entreprise que dans la mesure où le maillon faible de votre équipe ou de votre chaîne logistique, c'est-à-dire celui qui se soucie le moins de la sécurité, les met également en œuvre. Par conséquent, le simple fait de faire du bon travail en créant, voire même en faisant appliquer des politiques de mot de passe, en verrouillant vos appareils et en respectant des normes ISO ne suffit pas à vous rendre cyber-résilient. Vous devez également vous assurer que les mêmes règles sont appliquées par vos entreprises de nettoyage, vos auditeurs, vos traiteurs et vos avocats. Deuxièmement, comme nous l'avons vu, les analystes prévoient que le personnel non informatique aura sous peu des dépenses technologiques supérieures à celles du service informatique, et à fortiori à celles des spécialistes de la sécurité informatique. Il est donc temps que vous ayez une vision plus globale ne se limitant pas à votre service informatique, aux personnes exerçant certaines fonctions ou aux frontières de votre entreprise. Troisièmement, même si vous avez fait toute votre carrière dans l'informatique, il est peu probable que votre expérience vous ait préparé au rôle que les appareils connectés exercent aujourd'hui dans nos vies. Alors que vous vous battez pour identifier les cyber-risques auxquels votre entreprise est exposée en vous demandant par où commencer votre voyage vers la cyber-résilience, vous risquez bien d'avoir à relever un défi encore plus redoutable. Comment devenir cyber-résilient ? 2. Former (tous) vos collaborateurs Abandonner le jargon technique. La communication avec vos collègues est cruciale mais vous irez à l'échec si vous n'avez pas cette compétence toute simple : la capacité d'oublier ce que vous avez appris au cours de décennies de pratique de l'informatique et du jargon de la sécurité informatique. Le jargon n'est pas seulement inutile, il vous affaiblit. Vraiment, le jargon est l'ennemi de la cyber-résilience.
  • 11. 20 En matière de cyber-résilience, comme nous l'avons vu, il est vain de travailler isolément. Le cyber-risque vient d'ennemis inconnus et intelligents, organisés en cellules pouvant se former, se dissoudre et se reformer avec une grande fluidité. Il n'est ni pratique ni souhaitable d'adopter la même organisation. Et d'ailleurs, qui se chargerait de vos tâches quotidiennes ? Les philosophes nous disent que ceux qui ne savent pas tirer les leçons de leurs erreurs passées sont condamnés à les répéter. Mais vous n'êtes pas seul. Dans un monde connecté, le nombre fait la force. Pourquoi souffrir pendant que votre entreprise décide quelle stratégie de cyber-résilience adopter ? Il est bien plus judicieux de collaborer avec ceux qui partagent les idées de votre entreprise, de mettre vos renseignements en commun et de développer des stratégies. De par vos compétences, vous êtes idéalement placé pour aider votre entreprise à devenir plus cyber-résiliente. Certains diraient que cette stratégie est la seule pouvant réussir compte tenu de la constance de la menace. Imaginez un centre de cyber-intelligence, réunissant des milliards d'observations relatives à des problèmes de cyber-sécurité affectant des milliers d'entreprises et des millions d'utilisateurs : l'objectif est de créer une vue d'ensemble parfaitement claire des menaces Internet auxquelles votre entreprise est confrontée. Cette approche est bien éloignée de la conception actuelle consistant à rendre le service informatique coupable en cas de problème, même si les informations fournies par les contrôles de sécurité existants sont importantes. Le nouveau rôle du service informatique est d'être le centre d'excellence de l'évaluation du cyber-risque. Il a vocation à fournir de nouveaux indicateurs pour que les dirigeants soient à même de mesurer la cyber-résilience de leur entreprise. Le cyber-risque transcende les frontières informatiques, départementales et même nationales. La cyber-résilience est un sport collectif joué par des leaders. Comme vous. Montez à bord du train. Son départ est imminent. Comment devenir cyber-résilient ? 3. Faire de la cyber-résilience votre avantage concurrentiel
  • 12. 22 23 Conclusion Les résultats du passage à un monde connecté sont déjà impressionnants alors que nous venons tout juste de nous engager dans cette voie. Etonnamment, ce progrès ne nécessite que de savoir envoyer et recevoir des données de manière sécurisée. Malheureusement, c'est une tâche technologique complexe et, comme l'a dit Arthur C. Clarke, futurologue et écrivain, "toute technologie suffisamment avancée se confond avec la magie". Notre monde connecté est trop important pour n'être que de la magie. A un niveau personnel, les cyber-risques questionnent notre identité et notre vie privée. Au niveau mondial, ils menacent la stabilité de nos gouvernements et de nos systèmes bancaires. Le monde connecté doit être compréhensible pour les responsables d'entreprises et d'organisations gouvernementales au même titre que l'énergie, l'eau, le talent et d'autres éléments vitaux du monde réel. Aujourd'hui, il n'est pas traité ainsi. Les professionnels de l'informatique ont un rôle stratégique à jouer mais seulement s'ils sont en mesure : 1. De réellement établir une base de référence permettant de savoir où en est aujourd'hui leur entreprise en matière de cyber-résilience. Et ce plus rapidement et de manière plus rigoureuse qu'auparavant. 2. D'impliquer les employés de leur entreprise dans la démarche de cyber- résilience. Cela revient à former toute personne intervenant dans la chaîne logistique de l'entreprise afin de trouver le juste équilibre entre l'innovation souhaitée et la cyber-résilience nécessaire. 3. D'utiliser la cyber-résilience pour permettre à leur entreprise de bénéficier d'un avantage concurrentiel stratégique sur le long terme. Les idées lancées dans ce manifeste déclencheront peut-être la réaction en chaîne dont votre entreprise a besoin pour initier une démarche de cyber-résilience. Si c'est le cas, collaborez avec les experts de Symantec dont les produits et services de protection et d'évaluation de la cyber-sécurité aident des milliers de dirigeants à rendre leur entreprise cyber-résiliente. Cyber- résilience Définition de la cyber- résilience Base de référence BYOD Cloud Service informatique Entreprise Chaîne logistique Aujourd'hui Sur site Cœur IP Personnel formé Chaîne logistique future Cloud Externalisation Transition Demain Menaces Internet Impact sur l'évolution Valorisation de l'existant Résilience stratégique
  • 13. 24 25 Contacts Références Symantec France Tour Egée 17 avenue de l'Arche, La Défense 6 92671 Courbevoie Cedex Tél. : 01 41 38 57 00 1 – Mary Meeker, KPCB, 2013 Internet Trends 2 – Norton Cybercrime Report 3 – Symantec ISTR 2012 4 – Verizon DBIR 2013 5 – Economist Intelligence Unit de juillet 2013 : "Security Empowers Business – unlock the power of a protected enterprise" 6 – Webconférence Gartner de janvier 2013 : "By 2017 the CMO will spend more than the CIO", Laura McLellan 7 – Symantec : "What's Yours is Mine: How Employees are Putting Your IP at Risk" (livre blanc, 2013) 8 – Etude Symantec "Cost of a Data Breach 2013" Nous souhaitons nous engager à vos côtés pour promouvoir la cyber-sécurité, et nos produits et services sont reconnus comme étant à la pointe des connaissances en matière de cyber-sécurité. Contactez-nous afin de vous inscrire pour une évaluation CyberV initiale. http://www.emea.symantec.com/cyber-resilience/ Symantec est un leader mondial de solutions de gestion de la sécurité, du stockage et des systèmes, permettant aux clients de sécuriser et de gérer leurs informations et leurs identités. Copyright © 2013 Symantec Corporation. Tous droits réservés. Symantec, le logo Symantec et le logo en forme de coche sont des marques commerciales ou des marques déposées de Symantec Corporation ou de ses filiales aux Etats-Unis et dans d'autres pays. Les autres noms peuvent être des marques commerciales de leurs détenteurs respectifs. 12/12