Laura Peytavin, profile picture
Téléchargé parLaura Peytavin
PDF, PPTX570 vues

Gestion de la sécurité des données en France - étude 2016

Le rapport souligne la nécessité de renforcer la sécurité des données en France face à des menaces diversifiées et aux réglementations européennes comme le GDPR. Les entreprises doivent améliorer leurs défenses et leur préparation à ces nouvelles obligations, avec un accent sur la gestion des incidents internes et le respect des directives de sécurité. Malgré une perception de sécurité relative, le manque de confiance dans leur capacité à répondre aux exigences légales demeure une préoccupation majeure parmi les décideurs informatiques.

Intégrer la présentation

Télécharger en tant que PDF, PPTX
L’évolution des menaces et de la gestion de la sécurité des données en France RAPPORT FRANCE: Il est essentiel de renforcer la sécurité pour faire face à la multiplication d’attaques toujours plus diversifiées et répondre aux nouvelles réglementations européennes de protection des données personnelles. Une étude menée par IDG Connect pour Proofpoint 01 Résumé graphique 02 Introduction 03 Violations courantes de sécurité 04 Principales inquiétudes en matière de sécurité 05 Niveau de préparation aux directives NIS et GDPR 06 La meilleure plate-forme de sécurité 07 Espace de déploiement sécurisé 08 Les responsabilités du personnel 09 Les défis de la sécurité des données 10 Priorité en matière de protection des données 11 Conclusion
RAPPORT FRANCE: L’évolution des menaces et de la gestion de la sécurité des données en France 1 | UneétudemenéeparIDGConnectpourProofpoint Violations couramment détectées Un quart des entreprises françaises ont subi au moins cinq incidents d’accès interne non autorisé à des données, applications ou appareils au cours des deux dernières années. Qui gère la sécurité dans les entreprises ? La responsabilité de la sécurité des données est souvent confiée au directeur informatique plutôt qu’à un responsable de la sécurité des systèmes d’information (RSSI) dédié ou à un agent interne de protection des données. Une telle approche peut entraîner la non-conformité aux nouvelles réglementations européennes en matière de protection des données. Probabilité de dégâts suite à une attaque APT Si l’on en juge par les réponses reçues, les entreprises françaises estiment qu’il n’y a aucun risque de subir un préjudice par suite d’une attaque APT au cours des douze prochains mois. Pour 30 % d’entre elles, cette probabilité se situe entre 26 et 50 %. 01: Résumé graphique Résumé de l’étude 24 % Accès internes non autorisés à des données, applications ou appareils 18 % Logiciels malveillants « jour zéro » 18 % Attaques par hameçonnage 14 % Attaques ciblées 12 % Appareil perdu ou volé 8 % Fuite de données 8 % Rançongiciels (ransomware) 6 % Vol d’identifiants 39 % 1 – 25% chance 30 % 26 – 50% chance 30 % More than a 50% chance 0 % No chance 51 % Responsable informatique 41 % Directeur des systèmes d’information (DSI) 39 % Directeur de la technologie (DT) 37 % Responsable de la sécurité des systèmes d’information (RSSI) 24 % Agent interne de protection des données 8 % Agent externe de protection des données / consultant RETOUR AU SOMMAIRE
RAPPORT FRANCE: L’évolution des menaces et de la gestion de la sécurité des données en France Si de nouveaux types de menace apparaissent, d’autres se transforment et deviennent méconnaissables et indétectables par les défenses en place. Dans le même temps, les services informatiques et les dirigeants d’entreprise doivent répondre à des demandes toujours plus poussées en matière de protection des données : de la part des clients, des partenaires commerciaux, des organismes sectoriels et des régulateurs nationaux, européens et internationaux. La version révisée de la réglementation générale de protection des données GDPR (General Data Protection Regulation) de la Commission européenne, par exemple, entrera en vigueur en 2017. Cette nouvelle réglementation viendra imposer aux entreprises de nouvelles obligations sur de nombreux points : collecte, conservation et traitement des données ; mesures de sécurité physique et numérique ; documentation et reporting ; élimination/destruction sécurisées des données ; évaluation des risques et conformité ; réaction en cas de violation ou d’intrusion. Pour satisfaire aux exigences de la GDPR et tenir tête au piratage, les entreprises européennes doivent être en mesure d’identifier les attaques qui présentent le potentiel de réussite le plus élevé, d’évaluer l’importance des données et des systèmes qui seraient affectés, et se préparer aux conséquences de violations qui surviendront inévitablement. Il faudra pour cela prendre des décisions difficiles quant aux infrastructures, aux processus et aux méthodes de gestion en place pour la protection des données. Il faudra également être constamment à l’affût des nouvelles stratégies, technologies et méthodologies, surtout quand elles rendent caducs les systèmes de défense classiques. Cette transformation est pour une grande part déjà en cours. Selon les prévisions du cabinet d’études IDC, d’ici 2017, 75 % des grandes entreprises recevront des informations sur les menaces client adaptées à leur métier et spécifiques à la société, à la marque et à l’environnement. Par ailleurs, d’ici 2018, 15 % de la sécurité sera assurée sous forme de solution dans le cloud ou de plate-forme SaaS. IDG Connect a interrogé une cinquantaine de décideurs informatiques en poste dans de grandes entreprises françaises. Il s’agissait de comprendre de quelle façon sont gérées les obligations de sécurité des données. Il s’agissait aussi d’évaluer la solidité des défenses, des politiques et des processus existants, en prévision des défis qui s’annoncent. Plus de la moitié (59 %) des personnes interrogées travaillent au sein d’entreprises de 5 000 salariés et plus, et 18 % dans des entreprises de plus de 20 000 salariés. Ces personnes interviennent dans des verticales très diversifiées, notamment les secteurs manufacturiers (18 %), techniques (16 %) et financiers (14 %). La plupart (70 %) des personnes interrogées occupent un poste de responsable informatique, contre 26 % de cadres dirigeants, notamment directeurs des systèmes d’information (DSI), directeur de la technologie (DT), responsable de la sécurité des systèmes d’information (RSSI), PDG et vice-président. 02: Introduction En matière de sécurité des données, la situation change constamment. Aucune entreprise ne peut se permettre l’immobilisme face au risque que des informations sensibles de nature commerciale tombent dans de mauvaises mains. RETOUR AU SOMMAIRE
RAPPORT FRANCE: L’évolution des menaces et de la gestion de la sécurité des données en France 3 | UneétudemenéeparIDGConnectpourProofpoint Les rançongiciels, qui pénètrent dans les systèmes par le biais de fichiers téléchargés ou de failles dans le réseau, sont fréquemment propagés par des chevaux de Troie tels que CTB-Locker, CryptoLocker/Cryptowall et TorrentLocker. Ils peuvent donc être confondus avec d’autres types d’attaque. Le vol d’identifiants, où des pirates usurpent des informations client pour accéder à des comptes bancaires en ligne ou aux systèmes internes d’entreprises, est lui aussi souvent mal identifié et classé dans la catégorie des logiciels malveillants ou des attaques ciblées. Les attaques ciblées semblent représenter un problème de moindre envergure pour les entreprises de plus de 10 000 salariés, que ce soit en France, en Allemagne ou au Royaume- Uni : 51 % d’entre elles ne déclarent aucune attaque de ce type, contre 31 % des entreprises de taille inférieure. Les fuites de données sont plus répandues parmi les entreprises de plus de 5 000 salariés. Cet état de fait peut être attribué au nombre même des employés, qui induit un plus grand risque de pertes de matériel et de négligence concernant les données sensibles et les identifiants. Les logiciels malveillants « Jour zéro », les hameçonnages (phishing) et les attaques ciblées sont aussi des problèmes récurrents. En revanche, et comme ailleurs en Europe, les deux types d’attaques les moins susceptibles de frapper des entreprises françaises sont le vol d’identifiants et les « rançongiciels » (ransomware). Une part beaucoup plus réduite (55 % dans les deux cas) des réponses signalent une absence d’incident au cours des deux années écoulées. En effet, 8 % des entreprises interrogées indiquent plus de 7 attaques par rançongiciel, tandis que 6 % ont subi plus de 7 cas de vol d’identifiants. Ces chiffres semblent indiquer une sensibilisation particulière des sociétés françaises à ce type de vulnérabilité. Selon d’autres études provenant des États-Unis, en revanche, l’hameçonnage serait le type d’attaque le plus courant dans ce pays. Dans l’édition 2015 de son Rapport sur les violations de données (DIBR, Data Breach Investigations Report), l’opérateur télécom américain Verizon note une augmentation constante du volume des attaques par hameçonnage, mais aussi de leur efficacité : de plus en plus d’utilisateurs se laissent convaincre d’ouvrir des messages ou des pièces jointes infectés. Une autre analyse, réalisée par Proofpoint, indique une multiplication par 17 du nombre de messages avec pièces jointes malveillantes entre octobre 2014 et mars 2015. À l’inverse, les attaques sur le Web ont diminué sur la même période. 03: Violations courantes de sécurité Types d’attaques subies au moins cinq fois au cours des deux dernières années ACCÈS INTERNES NON AUTORISÉS À DES DONNÉES, APPLICATIONS OU APPAREILS 24 % ATTAQUES CIBLÉES 14 % RANÇONGICIELS (RANSOMWARE) 8 % LOGICIELS MALVEILLANTS « JOUR ZÉRO » 18 % APPAREIL PERDU OU VOLÉ 12 % VOL D’IDENTIFIANTS 6 % ATTAQUES PAR HAMEÇONNAGE 18 % FUITE DE DONNÉES 8 % Les entreprises françaises sont particulièrement sujettes à un volume élevé de violations en raison d’accès internes non autorisés à des données, applications ou appareils. Dans presque un quart des cas (24 %), les entreprises ont subi cinq incidents ou plus au cours des deux dernières années. RETOUR AU SOMMAIRE
RAPPORT FRANCE: L’évolution des menaces et de la gestion de la sécurité des données en France 4 | UneétudemenéeparIDGConnectpourProofpoint par les autorités réglementaires nationales et transnationales, et/ou que les politiques de signalement en interne des violations signifient que les autorités réglementaires ne seront pas forcément informées des violations. Ce n’est pourtant pas faute de diligence de la part de la Commission nationale de l’informatique et des libertés. En 2014, la CNIL imposait en effet une amende de 150 000 € à Google, dont la politique de confidentialité, selon elle, n’informait pas suffisamment les utilisateurs sur les processus de collecte et d’utilisation de leurs données personnelles. La même année, la CNIL adressait un avertissement au groupe Orange à la suite d’une fuite de données ayant affecté quelque 1,3 million de clients. Au total, pour 2014, la CNIL a sanctionné financièrement huit sociétés et émis sept avertissements. Si l’amende maximale imposée par la CNIL à ce jour ne s’élève qu’à 150 000 euros, les violations de données pourraient très bientôt être sanctionnées beaucoup plus sévèrement : la réglementation GDPR actuellement en cours d’élaboration prévoit pour ce type d’incident une amende maximale équivalant à 5 % du chiffre d’affaires annuel de l’entreprise. Les conséquences d’une violation de données grave peuvent se faire sentir à plusieurs niveaux. Néanmoins, il apparaît nettement que les entreprises françaises craignent par-dessus tout trois facteurs, dont la combinaison pourrait sérieusement nuire à la fidélité de leur clientèle, à leur chiffre d’affaires et, par conséquent, à leurs résultats financiers. La baisse de la confiance et de la fidélité des clients représente la plus grande inquiétude pour un peu plus d’un tiers des entreprises interrogées (37 %), suivie du préjudice pour la marque et la réputation (35 %), puis de la perte de contrats et de chiffre d’affaires (31 %). Si le coût du « nettoyage » après un incident de sécurité (en termes d’heures de travail et de ressources mobilisées) ne se place jamais en tête de la liste des inquiétudes, il reste considéré comme un problème majeur par 53 % des entreprises interrogées. Le renforcement des obligations réglementaires à satisfaire, le risque d’amende et les frais juridiques encourus, en revanche, semblent être moins préoccupants. Ce dernier point dénote que les entreprises françaises ne se sentent pas concernées par les pénalités financières actuellement susceptibles d’être imposées 04: Principales inquiétudes en matière de sécurité Conséquences des violations de données graves suscitant le plus d’inquiétude BAISSE DE LA CONFIANCE ET DE LA FIDÉLITÉ DES CLIENTS 37 % COÛT DES MESURES RÉACTIVES 12 % FRAIS JURIDIQUES 8 % PRÉJUDICE POUR LA MARQUE ET LA RÉPUTATION 35 % OBLIGATIONS RÉGLEMENTAIRES SUPPLÉMENTAIRES 12 % PERTE DE CONTRATS ET DE CHIFFRE D’AFFAIRES 31 % AMENDES 12 % RETOUR AU SOMMAIRE
RAPPORT FRANCE: L’évolution des menaces et de la gestion de la sécurité des données en France 5 | UneétudemenéeparIDGConnectpourProofpoint Elle oblige également les « opérateurs d’infrastructures critiques » ou d’« infrastructures nationales critiques » (ce qui inclut les marchés de l’énergie et du transport autant que le secteur public) à mettre en place les mesures appropriées pour gérer les risques de sécurité et signaler les incidents graves aux autorités nationales compétentes. Le projet initial proposait d’étendre ces obligations à tous les « fournisseurs clés de services de la société de l’information », donc aussi aux plates- formes de commerce en ligne, aux réseaux sociaux, etc. Cette idée a cependant été mise de côté à la suite de nombreuses objections sectorielles. Le parlement européen lui-même a jugé ces contraintes « disproportionnées et ingérables », préférant encourager ces entreprises à signaler volontairement les incidents. La mise en conformité avec la directive de « cybersécurité » NIS et la réglementation GDPR devrait devenir obligatoire pour les entreprises françaises et européennes courant 2017. Parmi les personnes interrogées par IDG Connect, pourtant, beaucoup expriment des doutes quant à la capacité de leur entreprise, aujourd’hui et demain, à satisfaire les obligations NIS/GDPR : la confiance dans cette préparation est de 59 % en 2015 puis 64 % en 2016 pour la NIS, et de 58 % en 2015 puis 66 % en 2016 pour la GDPR. Même si ces chiffres ne sont que légèrement inférieurs aux résultats obtenus au Royaume-Uni, ils indiquent un manque de confiance spécifiques aux entreprises françaises. La GDPR et autres directives européennes concernant la protection des données entreront en vigueur au cours des deux prochaines années. Qu’il s’agisse des politiques de sécurité, des procédures de signalement ou des dispositions d’audit, les entreprises domiciliées ou implantées en Europe devront probablement transformer en profondeur leurs pratiques pour satisfaire à ce nouveau cadre législatif. La législation GDPR vise à appliquer une seule et unique réglementation de protection des données dans tous les États de l’Union, pour mettre fin aux incohérences actuelles en termes d’application de la loi. Elle s’appliquera également aux entreprises opérant en Europe, même si les données traitées sont stockées ailleurs. En outre, la définition des données personnelles sera élargie pour inclure les adresses e-mail, les adresses IP et les publications sur les réseaux sociaux. La directive de « cybersécurité » NIS (Network Information and Security) fixe pour chaque État membre trois prescriptions fondamentales : adopter une stratégie NIS, mettre en place une autorité NIS et créer un « mécanisme de coopération » pour le partage des informations de sécurité avec les autres pays de l’Union. 05: Niveau de préparation aux directives NIS et GDPR De nombreuses entreprises ne sont pas sûres de pouvoir satisfaire aux nouvelles réglementations européennes en matière de protection des données NIS 2015 NIS 2016 GDPR 2015 GDPR 2016 RETOUR AU SOMMAIRE
RAPPORT FRANCE: L’évolution des menaces et de la gestion de la sécurité des données en France 6 | UneétudemenéeparIDGConnectpourProofpoint En tout état de cause, cela indique que les responsables informatiques en France restent plutôt ouverts quant au type de plate-forme de sécurité qu’ils pourraient acquérir à l’avenir. Cette absence de préjugé est une bonne nouvelle pour les fournisseurs de solution de sécurité cherchant à placer leurs produits de protection contre les menaces ciblées et sophistiquées. Si nous analysons plus en détail les résultats pour l’ensemble de l’Europe, il ressort que les plus grandes entreprises (20 000 salariés et plus) sont les plus susceptibles de considérer les fournisseurs de services gérés et les solutions cloud hybrides comme les plus efficaces face à ce type de menace. Les solutions logicielles sur site sont ici moins bien notées. Selon la nature et le volume des attaques, le fait de s’en remettre exclusivement à des systèmes de sécurité maison peut exposer l’entreprise à des dégâts plus importants. L’accès à une information externe de qualité et à une vision d’ensemble des menaces au niveau mondial peut aider les entreprises à prévoir les attaques les plus probables sur la base d’une analyse des données en temps réel et des données historiques, par exemple. Les entreprises françaises manifestent une attitude très positive quant aux solutions de sécurité qu’elles jugent les plus efficaces face aux menaces ciblées et sophistiquées. Ni les services de sécurité gérés en externe, ni les plates-formes de sécurité SaaS, ni les solutions cloud hybrides ne jouissent d’une position particulièrement dominante dans leur esprit. En revanche, les solutions matérielles et logicielles dédiées sur site sont légèrement moins prisées. Ces préférences très également distribuées sont néanmoins sans surprise. Elles s’expliquent par la complexité des infrastructures informatiques actuelles dans les entreprises, ainsi que par le caractère inévitablement disparate des produits de sécurité déployés dans les centres de données, sur les réseaux et sur les ordinateurs de bureau – variant même d’un endroit à l’autre dans les entreprises réparties entre plusieurs sites connectés par réseaux locaux et étendus (LAN/WAN). 06: La meilleure plate-forme de sécurité Peu de différenciation dans les types de solution de sécurité jugés les plus efficaces ÉQUIPEMENT MATÉRIEL ET LOGICIEL DE SÉCURITÉ GÉRÉS PAR LE FOURNISSEUR DE SERVICE 22 % ÉQUIPEMENT MATÉRIEL DE SÉCURITÉ SUR SITE 19 % SERVICE DE SÉCURITÉ CLOUD / SAAS 21 % ÉQUIPEMENT LOGICIEL DE SÉCURITÉ SUR SITE 18 % SERVICE DE SÉCURITÉ CLOUD HYBRIDE 20 % RETOUR AU SOMMAIRE
RAPPORT FRANCE: L’évolution des menaces et de la gestion de la sécurité des données en France 7 | UneétudemenéeparIDGConnectpourProofpoint Il en va de même du risque de fuite de données sur l’Internet public. Du fait de la grande diversité des systèmes de sécurité déployés, il peut également y avoir une certaine équivoque quant à identifier ce qui se situe à l’intérieur de l’architecture locale et ce qui se situe en dehors. Par exemple, même si seulement 61 % des entreprises interrogées en France considèrent les passerelles Web et e-mail comme un espace de déploiement efficace (voire le plus efficace) pour une solution de protection, il faut garder à l’esprit que de telles passerelles peuvent être déployées aussi bien comme outil dédié sur site que comme partie intégrante d’une solution de sécurité plus complète sur le cloud. À 53 %, la proportion des entreprises françaises considérant le terminal comme un espace de déploiement très efficace reste relativement faible. Ce résultat peut cependant s’expliquer en partie par la répartition des personnes interrogées pour cette étude en France, à savoir 74 % de responsables informatiques. En effet, c’est à eux qu’incombera généralement le déploiement, la configuration et la maintenance des solutions de sécurité sur l’ensemble du parc d’ordinateurs de bureau, de portables, de tablettes et de smartphones. La protection au niveau du terminal représente donc pour cette catégorie spécifique une charge de travail beaucoup plus importante que si l’entreprise opte pour des approches plus centralisées. En ce qui concerne l’espace au sein d’une infrastructure informatique le plus indiqué pour déployer une technologie de protection, les avis sont partagés. Pour environ deux tiers des entreprises interrogées en France, le réseau et le cloud représentent une option efficace à très efficace. Si une part comparable (66 %) en France considère le pare-feu comme un centre névralgique efficace, cette proportion est beaucoup moins importante qu’en Allemagne (90 %) ou qu’au Royaume-Uni (88 %). Le fait que tant d’entreprises accordent une telle importance au réseau et au pare-feu indique que la plupart d’entre elles penchent pour une approche périmétrique de la sécurité, visant à empêcher que les attaques de l’extérieur n’atteignent les systèmes internes de l’entreprise. Il faut pourtant opposer à cette approche l’augmentation des incidents impliquant des logiciels malveillants de type menace persistante avancée ou APT (Advanced Persistent Threat), par lesquels les intrus échappent durablement à la détection après avoir gagné l’accès à des systèmes vulnérables. Il est aussi à craindre que les entreprises ne se préoccupent pas suffisamment des logiciels malveillants provenant de leurs propres systèmes ou y résidant, et qui se propagent ensuite plus largement par le biais du réseau local ou étendu. 07: Espace de déploiement sécurisé La préférence pour le pare-feu et le réseau suggère une priorité accordée à la sécurité périmétrique RÉSEAU 68 % PASSERELLE (WEB, E-MAIL, ETC.) 61 % CLOUD 68 % TERMINAL 53 % PARE-FEU 66 % RETOUR AU SOMMAIRE
RAPPORT FRANCE: L’évolution des menaces et de la gestion de la sécurité des données en France 8 | UneétudemenéeparIDGConnectpourProofpoint Pour autant, aucune ne se voit à l’abri. Les entreprises françaises semblent se ranger parmi les plus inquiètes : un tiers d’entre elles évaluent à plus d’une chance sur deux (soit 50 % et plus) la probabilité de subir une attaque persistante avancée dans les douze prochains mois ; aucune ne croit à un risque nul. En revanche, une grande partie des entreprises interrogées (39 %) évaluent à moins une chance sur quatre la probabilité de subir une attaque APT. Ce chiffre indique soit une plus grande confiance que les systèmes en place peuvent détecter et bloquer ce type d’attaque, soit une certaine naïveté quant au risque d’en être victime. Plus l’entreprise est grande, plus la crainte d’une attaque est forte. Parmi les personnes interrogées par IDG Connect occupant un poste dans une entreprise de plus de 10 000 salariés en France, en Allemagne ou au Royaume-Uni, aucune n’a déclaré ne voir absolument aucune probabilité d’attaque APT dans l’année à venir. De fait, 37 % d’entre elles évaluent cette probabilité à 50/50. Dans les entreprises françaises, c’est également aux responsables informatiques que l’on confiera dans la plupart des cas (51 %) la gestion de la sécurité des données, contre 41 % aux DSI, 39 % aux DT et 37 % aux RSSI. Cette tendance peut indiquer une approche plus pragmatique de la sécurité et de sa gestion au sein des entreprises françaises, aussi bien que des problèmes de recrutement : en effet, 16 % des entreprises interrogées en France déclarent que le recrutement constitue la plus grande difficulté du point de vue de la sécurisation des données. En France comme ailleurs en Europe, les entreprises sont encore peu nombreuses (24 %) à déléguer ces questions à des agents de sécurité des données internes. Elles devront cependant revoir cette stratégie si la GDPR oblige effectivement, comme il est prévu, les entreprises de plus de 250 salariés à nommer un agent de protection des données interne ou externe. Le degré de confiance des entreprises européennes dans leurs défenses face à d’éventuelles attaques est variable. 08: Les responsabilités du personnel C’est aux responsables informatiques qu’incombera le plus souvent de gérer la sécurité des données RESPONSABLE INFORMATIQUE 51 % RESPONSABLE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION (RSSI) 37 % DIRECTEUR DES SYSTÈMES D’INFORMATION (DSI) 41 % AGENT INTERNE DE PROTECTION DES DONNÉES 24 % DIRECTEUR DE LA TECHNOLOGIE (DT) 39 % AGENT EXTERNE DE PROTECTION DES DONNÉES / CONSULTANT 8 % RETOUR AU SOMMAIRE
RAPPORT FRANCE: L’évolution des menaces et de la gestion de la sécurité des données en France 9 | UneétudemenéeparIDGConnectpourProofpoint Si l’on en croit ces résultats, il semble que les entreprises françaises se préoccupent un peu moins d’autres aspects de la sécurisation des données, qui pourtant peuvent jouer un rôle dans la protection contre les attaques imprévisibles ou inconnues. La surveillance ressort comme le point le plus problématique des deux dernières années pour 18 % des interrogés, suivi du recrutement pour 16 % et de la documentation des processus pour 14 %. Les entreprises interrogées peuvent avoir l’impression que ces éléments sont déjà suffisamment gérés par leur structure. Il est pourtant plus probable que les points en question ne reçoivent pas l’attention qu’ils méritent. Ici encore, de nombreuses entreprises devront peut-être revoir très bientôt cette approche, ne serait-ce qu’en raison des obligations NIS et GDPR attendues en matière d’audit, de reporting et de désignation d’un agent de protection des données. Les aspects de la gestion des menaces considérés comme les plus épineux sur les deux dernières années devraient nous permettre de prévoir assez justement les priorités d’investissement des entreprises françaises dans un avenir proche. Pour près d’un tiers (29 %) des entreprises interrogées en France, la détection des attaques, la coordination d’une réponse rapide et le rétablissement des systèmes représentent les aspects les moins évidents de la protection des données, ce qui suggère une gestion difficile de la reprise après une attaque. La prévention, c’est-à-dire la mise en place de plates-formes et de processus pour enrayer ou atténuer les attaques, constitue également un problème pour près d’un quart (24 %) des entreprises interrogées. Pour cette catégorie, la difficulté la plus pressante porte sur l’envergure et le volume des vulnérabilités à envisager. Ici encore, l’accent mis sur la prévention et le traitement en première ligne semble indiquer que certaines sociétés sont débordées par le volume et la sophistication des attaques que leurs systèmes actuels ne suffisent plus à repousser. 09: Les défis de la sécurité des données Le plus grand défi : détecter et empêcher les attaques avant d’avoir à y réagir immédiatement DÉTECTION / RÉACTION / RÉTABLISSEMENT 29 % RECRUTEMENT 16 % PRÉVENTION 24 % DOCUMENTATION DES PROCESSUS 14 % SURVEILLANCE 18 % RETOUR AU SOMMAIRE
RAPPORT FRANCE: L’évolution des menaces et de la gestion de la sécurité des données en France 10 | UneétudemenéeparIDGConnectpourProofpoint 10: Priorité en matière de protection des données Une plus grande importance accordée au blocage et à la détection des menaces connues et inconnues provenant de multiples flux de données pour mieux identifier les vulnérabilités et prioriser les menaces selon la probabilité de violation. La tendance générale suggère que de nombreuses entreprises françaises consacrent plus d’efforts à lutter contre les attaques en cours qu’à prévoir celles qui pourraient survenir. Une telle vision peut aussi être fortement conditionnée par les technologies et les ressources disponibles dans chaque entreprise. L’analyse dynamique des logiciels malveillants, qui scrute les applications pendant leur exécution, peut jouer un rôle non négligeable pour combattre les menaces provenant d’accès internes non autorisés aux données, aux applications ou aux appareils, un type d’incident dont nous savons justement qu’il affecte particulièrement les entreprises françaises. Même si le volume des incidents signalés par chaque entreprise peut paraître modéré, l’incidence en est élevée : 61 % des entreprises françaises déclarent avoir subi une ou plusieurs attaques internes au cours des deux dernières années. L’accès interne illicite aux systèmes d’entreprise est une tendance générale signalée dans le rapport DBIR 2015 de Verizon, à tous les échelons : des utilisateurs finaux et employés des services financiers aux cadres et dirigeants, en passant par les développeurs. Ces violations peuvent être motivées par le gain personnel, être dues à une erreur, à un désir d’expédier plus vite des tâches de routine, etc. Au sein des entreprises françaises, la possibilité de bloquer les menaces connues et de détecter les menaces inconnues est considérée comme l’élément le plus important de la protection des données. Ici encore, cela indique une tendance générale des stratégies de gestion de la sécurité à tenter en priorité d’empêcher que des attaques extérieures n’atteignent les systèmes internes. Une importance légèrement moindre est accordée à la surveillance constante des données transitant sur les réseaux locaux ou étendus distribués, ou à l’analyse dynamique des logiciels malveillants pour une exécution préalable des fichiers téléchargés dans un environnement sécurisé. Cette approche pourra dans certains cas laisser d’autres systèmes exposés. De même, l’isolement automatique des serveurs, ordinateurs ou autres appareils infectés afin de limiter la propagation des logiciels malveillants dans les limites du pare-feu (vu comme l’aspect le moins important dans une protection efficace des données) risque lui aussi de laisser des systèmes internes dans une situation de vulnérabilité. L’accès à des analyses statistiques de données historiques afin de prévoir les attaques n’est pas non plus considéré comme crucial. Les entreprises interrogées lui reconnaissent cependant la même importance qu’aux moteurs d’informations en temps réel sur les menaces, lesquels analysent les données BLOQUER LES MENACES CONNUES 19 % ANALYSE DYNAMIQUE DES LOGICIELS MALVEILLANTS 14 % ISOLEMENT AUTOMATIQUE DES MACHINES INFECTÉES 10 % DÉTECTER LES MENACES CONNUES 17 % ACCÈS À DES INFORMATIONS EN TEMPS RÉEL SUR LES MENACES 12 % SURVEILLER LES DONNÉES SENSIBLES SUR LES RÉSEAUX DISTRIBUÉS 15 % ANALYSE STATISTIQUE DES DONNÉES HISTORIQUES AFIN DE PRÉVOIR LES ATTAQUES 12 % RETOUR AU SOMMAIRE
RAPPORT FRANCE: L’évolution des menaces et de la gestion de la sécurité des données en France Les difficultés liées au recrutement et à la documentation des processus sont actuellement considérées comme des problèmes moins importants que la prévention et le traitement des violations de la sécurité des données. De fait, une majorité d’entreprises délèguent cette responsabilité à des postes informatiques généraux plutôt qu’à des agents spécialisés de protection des données. La situation devrait toutefois changer au cours des deux prochaines années avec la mise en œuvre annoncée de la directive européenne de « cybersécurité » NIS (Network Information and Security) et de la réglementation GDPR (General Data Protection Regulation). Ces nouveaux textes devraient fixer pour les entreprises de nouvelles obligations en matière d’audit, de rapports et, dans certains cas, de désignation d’un agent de protection des données. Naturellement, les entreprises françaises craignent par-dessus tout les conséquences susceptibles d’entamer sérieusement leur clientèle, leur chiffre d’affaires et, notamment en raison des coûts de « nettoyage », leurs résultats financiers. Les entreprises françaises se montrent actuellement moins préoccupées des sanctions financières en cas de violations de données. Ici encore, la perception est appelée à changer d’ici 2017, puisque la nouvelle législation européenne conférera aux régulateurs nationaux le pouvoir d’imposer des amendes pouvant atteindre 5 % du chiffre d’affaires mondial annuel d’une entreprise. Les entreprises françaises sont particulièrement sujettes aux violations dues à l’accès non autorisé aux données, applications ou appareils par des employés. Ce problème touche plus particulièrement les entreprises de plus de 5 000 salariés. Pourtant, la majorité des systèmes de sécurité actuels sont axés sur la protection périmétrique, c’est-à-dire empêcher que les attaques de l’extérieur ne contourne les pare-feux et autres défenses pour atteindre les systèmes internes de l’entreprise. Les risques internes d’accès non autorisé, d’usages malveillants ou de fuites de données ne sont, à l’inverse, pas assez pris en compte. Le blocage et la détection des menaces sont également considérés comme plus importants que la surveillance des réseaux locaux et étendus. La détection du trafic suspect, l’analyse dynamique des logiciels malveillants ou encore les informations en temps réel et historique sur les menaces sont pourtant des outils essentiels pour prévoir les attaques. 11: Conclusion Cette étude nous donne une idée claire des menaces pour la sécurité de leurs données que les entreprises françaises doivent actuellement gérer. Elle indique également des pistes d’optimisation des systèmes, processus et méthodes de gestion actuellement en place. Pour améliorer les systèmes et la gestion actuels de protection des données, la meilleure approche consiste à évaluer les défenses et pratiques en place en tenant compte de toutes les options disponibles avant d’adopter une plate-forme technologique. Les entreprises françaises semblent manifester une ouverture d’esprit favorable quant aux mises à niveau et aux investissements à prévoir. Les services de sécurité gérés en externe, les plates- formes SaaS et les solutions cloud hybrides sont considérées comme offrant un degré comparable de protection face aux attaques ciblés et sophistiquées. Ces options ne se classent que légèrement au-dessus des solutions logicielles et matérielles sur site. C’est donc les considérations de coûts supplémentaires, de maintenance et d’assistance qui devraient en définitive emporter le choix des entreprises françaises. RETOUR AU SOMMAIRE
Nous contacter Proofpoint 54-56 avenue Hoche 75008 Paris France Tel +33 1 56 60 54 51 Une étude menée par IDG Connect pour Proofpoint

Contenu connexe

PPTX
Introduction à la cybersécurité des organisations
parRomain Willmann
 
PDF
FIDDAYS - Cybersecurite, comment proteger son entreprise ?
parFIDAQUITAINE
 
PDF
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
parNetSecure Day
 
PDF
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
parBEIJAFLORE
 
PDF
Robert half cybersécurité - protéger votre avenir
parRobert Half France
 
PDF
Workshop cyber jpme
parVanbreda Risk & Benefits
 
PDF
Cp 2013 security_report_web_fr(1)
parniokho
 
PDF
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
parStHack
 
Introduction à la cybersécurité des organisations
parRomain Willmann
 
FIDDAYS - Cybersecurite, comment proteger son entreprise ?
parFIDAQUITAINE
 
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
parNetSecure Day
 
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
parBEIJAFLORE
 
Robert half cybersécurité - protéger votre avenir
parRobert Half France
 
Workshop cyber jpme
parVanbreda Risk & Benefits
 
Cp 2013 security_report_web_fr(1)
parniokho
 
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
parStHack
 

Tendances

PDF
Rapport F-Secure sur la cybersécurité 2017
parNRC
 
PDF
Démystifier la gestion des vulnérabilités
parNRC
 
PDF
Manifeste pour la cyber-résilience
parSymantec
 
PDF
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
parOpinionWay
 
PDF
Cybersécurité - Comment protéger ses activités ?
parAlain EJZYN
 
PDF
CyberséCurité Et Vie PrivéE
parChristophe-Alexandre PAILLARD
 
PDF
Maitriser la ssi pour les systèmes industriels
parBee_Ware
 
PDF
Cyberattaques : prenez de l’avance sur les cybercriminels
parEY
 
PDF
ANSSI D2IE Formation à la cybersécurité des TPE / PME
parpolenumerique33
 
PPT
Cours CyberSécurité - Infrastructures Critiques
parFranck Franchin
 
PDF
Jeudi de l AFAI - Transformations de la cybersécurité
parAntoine Vigneron
 
PDF
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
parCrossing Skills
 
PDF
Rapport de Sécurité Check Point 2016
parBlandine Delaporte
 
PDF
Cybersécurité en 2018 : quelles sont les tendances ?
parKiwi Backup
 
PDF
Risque informatique avec Kaspersky et Project si
parPROJECT SI
 
PDF
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
parSymantec
 
PDF
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
parEric DUPUIS
 
PDF
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
parTélécom Paris
 
PDF
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
parpolenumerique33
 
PPTX
ENFIN Cyber !
parHenri d'AGRAIN
 
Rapport F-Secure sur la cybersécurité 2017
parNRC
 
Démystifier la gestion des vulnérabilités
parNRC
 
Manifeste pour la cyber-résilience
parSymantec
 
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
parOpinionWay
 
Cybersécurité - Comment protéger ses activités ?
parAlain EJZYN
 
CyberséCurité Et Vie PrivéE
parChristophe-Alexandre PAILLARD
 
Maitriser la ssi pour les systèmes industriels
parBee_Ware
 
Cyberattaques : prenez de l’avance sur les cybercriminels
parEY
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
parpolenumerique33
 
Cours CyberSécurité - Infrastructures Critiques
parFranck Franchin
 
Jeudi de l AFAI - Transformations de la cybersécurité
parAntoine Vigneron
 
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
parCrossing Skills
 
Rapport de Sécurité Check Point 2016
parBlandine Delaporte
 
Cybersécurité en 2018 : quelles sont les tendances ?
parKiwi Backup
 
Risque informatique avec Kaspersky et Project si
parPROJECT SI
 
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
parSymantec
 
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
parEric DUPUIS
 
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
parTélécom Paris
 
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
parpolenumerique33
 
ENFIN Cyber !
parHenri d'AGRAIN
 

Similaire à Gestion de la sécurité des données en France - étude 2016

PDF
Menaces informatique et pratique de sécurité en france
parBee_Ware
 
PPTX
Rdv tic cybersécurité
parCOMPETITIC
 
PDF
Cybersecurité dossier
parMandyDentzer
 
PPTX
Cybersecurity the new versions of attacks.pptx
parmouadbenchlou667
 
PDF
Capgemini and sogeti services
parAurélie Sondag
 
PDF
ACPR enquête sur la sécurité des systèmes informatiques des assureurs
parLéo Guittet
 
PPTX
Formation sur la sécurité de l'information.pptx
parfabriceKonan4
 
PDF
Regards croisés : Cybersécurité & externalisation IT
parcontact140483
 
PDF
Les entreprises européennes sont elles bien armées pour affronter les cyber a...
parBee_Ware
 
PDF
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
parOpinionWay
 
PDF
Trois principes pour améliorer la sécurité
parAndreanne Clarke
 
PDF
Webschool du Jura - La cybercriminalité en entreprise
parmariejura
 
PDF
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
parAndréanne Clarke
 
PDF
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
parAndréanne Clarke
 
DOCX
Sécurité informatique : un marché dynamisé par le Big Data @ITrustBlog
parITrust - Cybersecurity as a Service
 
PDF
Cyber Sécurite et E-réputation
parAgoralink
 
PDF
Les menaces invisibles de 2025 et comment faire
parnzigorichard
 
PDF
Magazine Surface - De la confiance à revendre - Alain Fortier
parAlain Fortier
 
PPTX
Windows 10 - Nouvelles menaces et nouvelles réponses
parMaxime Rastello
 
PDF
Protéger ses données: mission impossible?
parAntoine Vigneron
 
Menaces informatique et pratique de sécurité en france
parBee_Ware
 
Rdv tic cybersécurité
parCOMPETITIC
 
Cybersecurité dossier
parMandyDentzer
 
Cybersecurity the new versions of attacks.pptx
parmouadbenchlou667
 
Capgemini and sogeti services
parAurélie Sondag
 
ACPR enquête sur la sécurité des systèmes informatiques des assureurs
parLéo Guittet
 
Formation sur la sécurité de l'information.pptx
parfabriceKonan4
 
Regards croisés : Cybersécurité & externalisation IT
parcontact140483
 
Les entreprises européennes sont elles bien armées pour affronter les cyber a...
parBee_Ware
 
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
parOpinionWay
 
Trois principes pour améliorer la sécurité
parAndreanne Clarke
 
Webschool du Jura - La cybercriminalité en entreprise
parmariejura
 
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
parAndréanne Clarke
 
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
parAndréanne Clarke
 
Sécurité informatique : un marché dynamisé par le Big Data @ITrustBlog
parITrust - Cybersecurity as a Service
 
Cyber Sécurite et E-réputation
parAgoralink
 
Les menaces invisibles de 2025 et comment faire
parnzigorichard
 
Magazine Surface - De la confiance à revendre - Alain Fortier
parAlain Fortier
 
Windows 10 - Nouvelles menaces et nouvelles réponses
parMaxime Rastello
 
Protéger ses données: mission impossible?
parAntoine Vigneron
 

Gestion de la sécurité des données en France - étude 2016

  • 1.
    L’évolution des menaces etde la gestion de la sécurité des données en France RAPPORT FRANCE: Il est essentiel de renforcer la sécurité pour faire face à la multiplication d’attaques toujours plus diversifiées et répondre aux nouvelles réglementations européennes de protection des données personnelles. Une étude menée par IDG Connect pour Proofpoint 01 Résumé graphique 02 Introduction 03 Violations courantes de sécurité 04 Principales inquiétudes en matière de sécurité 05 Niveau de préparation aux directives NIS et GDPR 06 La meilleure plate-forme de sécurité 07 Espace de déploiement sécurisé 08 Les responsabilités du personnel 09 Les défis de la sécurité des données 10 Priorité en matière de protection des données 11 Conclusion
  • 2.
    RAPPORT FRANCE: L’évolutiondes menaces et de la gestion de la sécurité des données en France 1 | UneétudemenéeparIDGConnectpourProofpoint Violations couramment détectées Un quart des entreprises françaises ont subi au moins cinq incidents d’accès interne non autorisé à des données, applications ou appareils au cours des deux dernières années. Qui gère la sécurité dans les entreprises ? La responsabilité de la sécurité des données est souvent confiée au directeur informatique plutôt qu’à un responsable de la sécurité des systèmes d’information (RSSI) dédié ou à un agent interne de protection des données. Une telle approche peut entraîner la non-conformité aux nouvelles réglementations européennes en matière de protection des données. Probabilité de dégâts suite à une attaque APT Si l’on en juge par les réponses reçues, les entreprises françaises estiment qu’il n’y a aucun risque de subir un préjudice par suite d’une attaque APT au cours des douze prochains mois. Pour 30 % d’entre elles, cette probabilité se situe entre 26 et 50 %. 01: Résumé graphique Résumé de l’étude 24 % Accès internes non autorisés à des données, applications ou appareils 18 % Logiciels malveillants « jour zéro » 18 % Attaques par hameçonnage 14 % Attaques ciblées 12 % Appareil perdu ou volé 8 % Fuite de données 8 % Rançongiciels (ransomware) 6 % Vol d’identifiants 39 % 1 – 25% chance 30 % 26 – 50% chance 30 % More than a 50% chance 0 % No chance 51 % Responsable informatique 41 % Directeur des systèmes d’information (DSI) 39 % Directeur de la technologie (DT) 37 % Responsable de la sécurité des systèmes d’information (RSSI) 24 % Agent interne de protection des données 8 % Agent externe de protection des données / consultant RETOUR AU SOMMAIRE
  • 3.
    RAPPORT FRANCE: L’évolutiondes menaces et de la gestion de la sécurité des données en France Si de nouveaux types de menace apparaissent, d’autres se transforment et deviennent méconnaissables et indétectables par les défenses en place. Dans le même temps, les services informatiques et les dirigeants d’entreprise doivent répondre à des demandes toujours plus poussées en matière de protection des données : de la part des clients, des partenaires commerciaux, des organismes sectoriels et des régulateurs nationaux, européens et internationaux. La version révisée de la réglementation générale de protection des données GDPR (General Data Protection Regulation) de la Commission européenne, par exemple, entrera en vigueur en 2017. Cette nouvelle réglementation viendra imposer aux entreprises de nouvelles obligations sur de nombreux points : collecte, conservation et traitement des données ; mesures de sécurité physique et numérique ; documentation et reporting ; élimination/destruction sécurisées des données ; évaluation des risques et conformité ; réaction en cas de violation ou d’intrusion. Pour satisfaire aux exigences de la GDPR et tenir tête au piratage, les entreprises européennes doivent être en mesure d’identifier les attaques qui présentent le potentiel de réussite le plus élevé, d’évaluer l’importance des données et des systèmes qui seraient affectés, et se préparer aux conséquences de violations qui surviendront inévitablement. Il faudra pour cela prendre des décisions difficiles quant aux infrastructures, aux processus et aux méthodes de gestion en place pour la protection des données. Il faudra également être constamment à l’affût des nouvelles stratégies, technologies et méthodologies, surtout quand elles rendent caducs les systèmes de défense classiques. Cette transformation est pour une grande part déjà en cours. Selon les prévisions du cabinet d’études IDC, d’ici 2017, 75 % des grandes entreprises recevront des informations sur les menaces client adaptées à leur métier et spécifiques à la société, à la marque et à l’environnement. Par ailleurs, d’ici 2018, 15 % de la sécurité sera assurée sous forme de solution dans le cloud ou de plate-forme SaaS. IDG Connect a interrogé une cinquantaine de décideurs informatiques en poste dans de grandes entreprises françaises. Il s’agissait de comprendre de quelle façon sont gérées les obligations de sécurité des données. Il s’agissait aussi d’évaluer la solidité des défenses, des politiques et des processus existants, en prévision des défis qui s’annoncent. Plus de la moitié (59 %) des personnes interrogées travaillent au sein d’entreprises de 5 000 salariés et plus, et 18 % dans des entreprises de plus de 20 000 salariés. Ces personnes interviennent dans des verticales très diversifiées, notamment les secteurs manufacturiers (18 %), techniques (16 %) et financiers (14 %). La plupart (70 %) des personnes interrogées occupent un poste de responsable informatique, contre 26 % de cadres dirigeants, notamment directeurs des systèmes d’information (DSI), directeur de la technologie (DT), responsable de la sécurité des systèmes d’information (RSSI), PDG et vice-président. 02: Introduction En matière de sécurité des données, la situation change constamment. Aucune entreprise ne peut se permettre l’immobilisme face au risque que des informations sensibles de nature commerciale tombent dans de mauvaises mains. RETOUR AU SOMMAIRE
  • 4.
    RAPPORT FRANCE: L’évolutiondes menaces et de la gestion de la sécurité des données en France 3 | UneétudemenéeparIDGConnectpourProofpoint Les rançongiciels, qui pénètrent dans les systèmes par le biais de fichiers téléchargés ou de failles dans le réseau, sont fréquemment propagés par des chevaux de Troie tels que CTB-Locker, CryptoLocker/Cryptowall et TorrentLocker. Ils peuvent donc être confondus avec d’autres types d’attaque. Le vol d’identifiants, où des pirates usurpent des informations client pour accéder à des comptes bancaires en ligne ou aux systèmes internes d’entreprises, est lui aussi souvent mal identifié et classé dans la catégorie des logiciels malveillants ou des attaques ciblées. Les attaques ciblées semblent représenter un problème de moindre envergure pour les entreprises de plus de 10 000 salariés, que ce soit en France, en Allemagne ou au Royaume- Uni : 51 % d’entre elles ne déclarent aucune attaque de ce type, contre 31 % des entreprises de taille inférieure. Les fuites de données sont plus répandues parmi les entreprises de plus de 5 000 salariés. Cet état de fait peut être attribué au nombre même des employés, qui induit un plus grand risque de pertes de matériel et de négligence concernant les données sensibles et les identifiants. Les logiciels malveillants « Jour zéro », les hameçonnages (phishing) et les attaques ciblées sont aussi des problèmes récurrents. En revanche, et comme ailleurs en Europe, les deux types d’attaques les moins susceptibles de frapper des entreprises françaises sont le vol d’identifiants et les « rançongiciels » (ransomware). Une part beaucoup plus réduite (55 % dans les deux cas) des réponses signalent une absence d’incident au cours des deux années écoulées. En effet, 8 % des entreprises interrogées indiquent plus de 7 attaques par rançongiciel, tandis que 6 % ont subi plus de 7 cas de vol d’identifiants. Ces chiffres semblent indiquer une sensibilisation particulière des sociétés françaises à ce type de vulnérabilité. Selon d’autres études provenant des États-Unis, en revanche, l’hameçonnage serait le type d’attaque le plus courant dans ce pays. Dans l’édition 2015 de son Rapport sur les violations de données (DIBR, Data Breach Investigations Report), l’opérateur télécom américain Verizon note une augmentation constante du volume des attaques par hameçonnage, mais aussi de leur efficacité : de plus en plus d’utilisateurs se laissent convaincre d’ouvrir des messages ou des pièces jointes infectés. Une autre analyse, réalisée par Proofpoint, indique une multiplication par 17 du nombre de messages avec pièces jointes malveillantes entre octobre 2014 et mars 2015. À l’inverse, les attaques sur le Web ont diminué sur la même période. 03: Violations courantes de sécurité Types d’attaques subies au moins cinq fois au cours des deux dernières années ACCÈS INTERNES NON AUTORISÉS À DES DONNÉES, APPLICATIONS OU APPAREILS 24 % ATTAQUES CIBLÉES 14 % RANÇONGICIELS (RANSOMWARE) 8 % LOGICIELS MALVEILLANTS « JOUR ZÉRO » 18 % APPAREIL PERDU OU VOLÉ 12 % VOL D’IDENTIFIANTS 6 % ATTAQUES PAR HAMEÇONNAGE 18 % FUITE DE DONNÉES 8 % Les entreprises françaises sont particulièrement sujettes à un volume élevé de violations en raison d’accès internes non autorisés à des données, applications ou appareils. Dans presque un quart des cas (24 %), les entreprises ont subi cinq incidents ou plus au cours des deux dernières années. RETOUR AU SOMMAIRE
  • 5.
    RAPPORT FRANCE: L’évolutiondes menaces et de la gestion de la sécurité des données en France 4 | UneétudemenéeparIDGConnectpourProofpoint par les autorités réglementaires nationales et transnationales, et/ou que les politiques de signalement en interne des violations signifient que les autorités réglementaires ne seront pas forcément informées des violations. Ce n’est pourtant pas faute de diligence de la part de la Commission nationale de l’informatique et des libertés. En 2014, la CNIL imposait en effet une amende de 150 000 € à Google, dont la politique de confidentialité, selon elle, n’informait pas suffisamment les utilisateurs sur les processus de collecte et d’utilisation de leurs données personnelles. La même année, la CNIL adressait un avertissement au groupe Orange à la suite d’une fuite de données ayant affecté quelque 1,3 million de clients. Au total, pour 2014, la CNIL a sanctionné financièrement huit sociétés et émis sept avertissements. Si l’amende maximale imposée par la CNIL à ce jour ne s’élève qu’à 150 000 euros, les violations de données pourraient très bientôt être sanctionnées beaucoup plus sévèrement : la réglementation GDPR actuellement en cours d’élaboration prévoit pour ce type d’incident une amende maximale équivalant à 5 % du chiffre d’affaires annuel de l’entreprise. Les conséquences d’une violation de données grave peuvent se faire sentir à plusieurs niveaux. Néanmoins, il apparaît nettement que les entreprises françaises craignent par-dessus tout trois facteurs, dont la combinaison pourrait sérieusement nuire à la fidélité de leur clientèle, à leur chiffre d’affaires et, par conséquent, à leurs résultats financiers. La baisse de la confiance et de la fidélité des clients représente la plus grande inquiétude pour un peu plus d’un tiers des entreprises interrogées (37 %), suivie du préjudice pour la marque et la réputation (35 %), puis de la perte de contrats et de chiffre d’affaires (31 %). Si le coût du « nettoyage » après un incident de sécurité (en termes d’heures de travail et de ressources mobilisées) ne se place jamais en tête de la liste des inquiétudes, il reste considéré comme un problème majeur par 53 % des entreprises interrogées. Le renforcement des obligations réglementaires à satisfaire, le risque d’amende et les frais juridiques encourus, en revanche, semblent être moins préoccupants. Ce dernier point dénote que les entreprises françaises ne se sentent pas concernées par les pénalités financières actuellement susceptibles d’être imposées 04: Principales inquiétudes en matière de sécurité Conséquences des violations de données graves suscitant le plus d’inquiétude BAISSE DE LA CONFIANCE ET DE LA FIDÉLITÉ DES CLIENTS 37 % COÛT DES MESURES RÉACTIVES 12 % FRAIS JURIDIQUES 8 % PRÉJUDICE POUR LA MARQUE ET LA RÉPUTATION 35 % OBLIGATIONS RÉGLEMENTAIRES SUPPLÉMENTAIRES 12 % PERTE DE CONTRATS ET DE CHIFFRE D’AFFAIRES 31 % AMENDES 12 % RETOUR AU SOMMAIRE
  • 6.
    RAPPORT FRANCE: L’évolutiondes menaces et de la gestion de la sécurité des données en France 5 | UneétudemenéeparIDGConnectpourProofpoint Elle oblige également les « opérateurs d’infrastructures critiques » ou d’« infrastructures nationales critiques » (ce qui inclut les marchés de l’énergie et du transport autant que le secteur public) à mettre en place les mesures appropriées pour gérer les risques de sécurité et signaler les incidents graves aux autorités nationales compétentes. Le projet initial proposait d’étendre ces obligations à tous les « fournisseurs clés de services de la société de l’information », donc aussi aux plates- formes de commerce en ligne, aux réseaux sociaux, etc. Cette idée a cependant été mise de côté à la suite de nombreuses objections sectorielles. Le parlement européen lui-même a jugé ces contraintes « disproportionnées et ingérables », préférant encourager ces entreprises à signaler volontairement les incidents. La mise en conformité avec la directive de « cybersécurité » NIS et la réglementation GDPR devrait devenir obligatoire pour les entreprises françaises et européennes courant 2017. Parmi les personnes interrogées par IDG Connect, pourtant, beaucoup expriment des doutes quant à la capacité de leur entreprise, aujourd’hui et demain, à satisfaire les obligations NIS/GDPR : la confiance dans cette préparation est de 59 % en 2015 puis 64 % en 2016 pour la NIS, et de 58 % en 2015 puis 66 % en 2016 pour la GDPR. Même si ces chiffres ne sont que légèrement inférieurs aux résultats obtenus au Royaume-Uni, ils indiquent un manque de confiance spécifiques aux entreprises françaises. La GDPR et autres directives européennes concernant la protection des données entreront en vigueur au cours des deux prochaines années. Qu’il s’agisse des politiques de sécurité, des procédures de signalement ou des dispositions d’audit, les entreprises domiciliées ou implantées en Europe devront probablement transformer en profondeur leurs pratiques pour satisfaire à ce nouveau cadre législatif. La législation GDPR vise à appliquer une seule et unique réglementation de protection des données dans tous les États de l’Union, pour mettre fin aux incohérences actuelles en termes d’application de la loi. Elle s’appliquera également aux entreprises opérant en Europe, même si les données traitées sont stockées ailleurs. En outre, la définition des données personnelles sera élargie pour inclure les adresses e-mail, les adresses IP et les publications sur les réseaux sociaux. La directive de « cybersécurité » NIS (Network Information and Security) fixe pour chaque État membre trois prescriptions fondamentales : adopter une stratégie NIS, mettre en place une autorité NIS et créer un « mécanisme de coopération » pour le partage des informations de sécurité avec les autres pays de l’Union. 05: Niveau de préparation aux directives NIS et GDPR De nombreuses entreprises ne sont pas sûres de pouvoir satisfaire aux nouvelles réglementations européennes en matière de protection des données NIS 2015 NIS 2016 GDPR 2015 GDPR 2016 RETOUR AU SOMMAIRE
  • 7.
    RAPPORT FRANCE: L’évolutiondes menaces et de la gestion de la sécurité des données en France 6 | UneétudemenéeparIDGConnectpourProofpoint En tout état de cause, cela indique que les responsables informatiques en France restent plutôt ouverts quant au type de plate-forme de sécurité qu’ils pourraient acquérir à l’avenir. Cette absence de préjugé est une bonne nouvelle pour les fournisseurs de solution de sécurité cherchant à placer leurs produits de protection contre les menaces ciblées et sophistiquées. Si nous analysons plus en détail les résultats pour l’ensemble de l’Europe, il ressort que les plus grandes entreprises (20 000 salariés et plus) sont les plus susceptibles de considérer les fournisseurs de services gérés et les solutions cloud hybrides comme les plus efficaces face à ce type de menace. Les solutions logicielles sur site sont ici moins bien notées. Selon la nature et le volume des attaques, le fait de s’en remettre exclusivement à des systèmes de sécurité maison peut exposer l’entreprise à des dégâts plus importants. L’accès à une information externe de qualité et à une vision d’ensemble des menaces au niveau mondial peut aider les entreprises à prévoir les attaques les plus probables sur la base d’une analyse des données en temps réel et des données historiques, par exemple. Les entreprises françaises manifestent une attitude très positive quant aux solutions de sécurité qu’elles jugent les plus efficaces face aux menaces ciblées et sophistiquées. Ni les services de sécurité gérés en externe, ni les plates-formes de sécurité SaaS, ni les solutions cloud hybrides ne jouissent d’une position particulièrement dominante dans leur esprit. En revanche, les solutions matérielles et logicielles dédiées sur site sont légèrement moins prisées. Ces préférences très également distribuées sont néanmoins sans surprise. Elles s’expliquent par la complexité des infrastructures informatiques actuelles dans les entreprises, ainsi que par le caractère inévitablement disparate des produits de sécurité déployés dans les centres de données, sur les réseaux et sur les ordinateurs de bureau – variant même d’un endroit à l’autre dans les entreprises réparties entre plusieurs sites connectés par réseaux locaux et étendus (LAN/WAN). 06: La meilleure plate-forme de sécurité Peu de différenciation dans les types de solution de sécurité jugés les plus efficaces ÉQUIPEMENT MATÉRIEL ET LOGICIEL DE SÉCURITÉ GÉRÉS PAR LE FOURNISSEUR DE SERVICE 22 % ÉQUIPEMENT MATÉRIEL DE SÉCURITÉ SUR SITE 19 % SERVICE DE SÉCURITÉ CLOUD / SAAS 21 % ÉQUIPEMENT LOGICIEL DE SÉCURITÉ SUR SITE 18 % SERVICE DE SÉCURITÉ CLOUD HYBRIDE 20 % RETOUR AU SOMMAIRE
  • 8.
    RAPPORT FRANCE: L’évolutiondes menaces et de la gestion de la sécurité des données en France 7 | UneétudemenéeparIDGConnectpourProofpoint Il en va de même du risque de fuite de données sur l’Internet public. Du fait de la grande diversité des systèmes de sécurité déployés, il peut également y avoir une certaine équivoque quant à identifier ce qui se situe à l’intérieur de l’architecture locale et ce qui se situe en dehors. Par exemple, même si seulement 61 % des entreprises interrogées en France considèrent les passerelles Web et e-mail comme un espace de déploiement efficace (voire le plus efficace) pour une solution de protection, il faut garder à l’esprit que de telles passerelles peuvent être déployées aussi bien comme outil dédié sur site que comme partie intégrante d’une solution de sécurité plus complète sur le cloud. À 53 %, la proportion des entreprises françaises considérant le terminal comme un espace de déploiement très efficace reste relativement faible. Ce résultat peut cependant s’expliquer en partie par la répartition des personnes interrogées pour cette étude en France, à savoir 74 % de responsables informatiques. En effet, c’est à eux qu’incombera généralement le déploiement, la configuration et la maintenance des solutions de sécurité sur l’ensemble du parc d’ordinateurs de bureau, de portables, de tablettes et de smartphones. La protection au niveau du terminal représente donc pour cette catégorie spécifique une charge de travail beaucoup plus importante que si l’entreprise opte pour des approches plus centralisées. En ce qui concerne l’espace au sein d’une infrastructure informatique le plus indiqué pour déployer une technologie de protection, les avis sont partagés. Pour environ deux tiers des entreprises interrogées en France, le réseau et le cloud représentent une option efficace à très efficace. Si une part comparable (66 %) en France considère le pare-feu comme un centre névralgique efficace, cette proportion est beaucoup moins importante qu’en Allemagne (90 %) ou qu’au Royaume-Uni (88 %). Le fait que tant d’entreprises accordent une telle importance au réseau et au pare-feu indique que la plupart d’entre elles penchent pour une approche périmétrique de la sécurité, visant à empêcher que les attaques de l’extérieur n’atteignent les systèmes internes de l’entreprise. Il faut pourtant opposer à cette approche l’augmentation des incidents impliquant des logiciels malveillants de type menace persistante avancée ou APT (Advanced Persistent Threat), par lesquels les intrus échappent durablement à la détection après avoir gagné l’accès à des systèmes vulnérables. Il est aussi à craindre que les entreprises ne se préoccupent pas suffisamment des logiciels malveillants provenant de leurs propres systèmes ou y résidant, et qui se propagent ensuite plus largement par le biais du réseau local ou étendu. 07: Espace de déploiement sécurisé La préférence pour le pare-feu et le réseau suggère une priorité accordée à la sécurité périmétrique RÉSEAU 68 % PASSERELLE (WEB, E-MAIL, ETC.) 61 % CLOUD 68 % TERMINAL 53 % PARE-FEU 66 % RETOUR AU SOMMAIRE
  • 9.
    RAPPORT FRANCE: L’évolutiondes menaces et de la gestion de la sécurité des données en France 8 | UneétudemenéeparIDGConnectpourProofpoint Pour autant, aucune ne se voit à l’abri. Les entreprises françaises semblent se ranger parmi les plus inquiètes : un tiers d’entre elles évaluent à plus d’une chance sur deux (soit 50 % et plus) la probabilité de subir une attaque persistante avancée dans les douze prochains mois ; aucune ne croit à un risque nul. En revanche, une grande partie des entreprises interrogées (39 %) évaluent à moins une chance sur quatre la probabilité de subir une attaque APT. Ce chiffre indique soit une plus grande confiance que les systèmes en place peuvent détecter et bloquer ce type d’attaque, soit une certaine naïveté quant au risque d’en être victime. Plus l’entreprise est grande, plus la crainte d’une attaque est forte. Parmi les personnes interrogées par IDG Connect occupant un poste dans une entreprise de plus de 10 000 salariés en France, en Allemagne ou au Royaume-Uni, aucune n’a déclaré ne voir absolument aucune probabilité d’attaque APT dans l’année à venir. De fait, 37 % d’entre elles évaluent cette probabilité à 50/50. Dans les entreprises françaises, c’est également aux responsables informatiques que l’on confiera dans la plupart des cas (51 %) la gestion de la sécurité des données, contre 41 % aux DSI, 39 % aux DT et 37 % aux RSSI. Cette tendance peut indiquer une approche plus pragmatique de la sécurité et de sa gestion au sein des entreprises françaises, aussi bien que des problèmes de recrutement : en effet, 16 % des entreprises interrogées en France déclarent que le recrutement constitue la plus grande difficulté du point de vue de la sécurisation des données. En France comme ailleurs en Europe, les entreprises sont encore peu nombreuses (24 %) à déléguer ces questions à des agents de sécurité des données internes. Elles devront cependant revoir cette stratégie si la GDPR oblige effectivement, comme il est prévu, les entreprises de plus de 250 salariés à nommer un agent de protection des données interne ou externe. Le degré de confiance des entreprises européennes dans leurs défenses face à d’éventuelles attaques est variable. 08: Les responsabilités du personnel C’est aux responsables informatiques qu’incombera le plus souvent de gérer la sécurité des données RESPONSABLE INFORMATIQUE 51 % RESPONSABLE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION (RSSI) 37 % DIRECTEUR DES SYSTÈMES D’INFORMATION (DSI) 41 % AGENT INTERNE DE PROTECTION DES DONNÉES 24 % DIRECTEUR DE LA TECHNOLOGIE (DT) 39 % AGENT EXTERNE DE PROTECTION DES DONNÉES / CONSULTANT 8 % RETOUR AU SOMMAIRE
  • 10.
    RAPPORT FRANCE: L’évolutiondes menaces et de la gestion de la sécurité des données en France 9 | UneétudemenéeparIDGConnectpourProofpoint Si l’on en croit ces résultats, il semble que les entreprises françaises se préoccupent un peu moins d’autres aspects de la sécurisation des données, qui pourtant peuvent jouer un rôle dans la protection contre les attaques imprévisibles ou inconnues. La surveillance ressort comme le point le plus problématique des deux dernières années pour 18 % des interrogés, suivi du recrutement pour 16 % et de la documentation des processus pour 14 %. Les entreprises interrogées peuvent avoir l’impression que ces éléments sont déjà suffisamment gérés par leur structure. Il est pourtant plus probable que les points en question ne reçoivent pas l’attention qu’ils méritent. Ici encore, de nombreuses entreprises devront peut-être revoir très bientôt cette approche, ne serait-ce qu’en raison des obligations NIS et GDPR attendues en matière d’audit, de reporting et de désignation d’un agent de protection des données. Les aspects de la gestion des menaces considérés comme les plus épineux sur les deux dernières années devraient nous permettre de prévoir assez justement les priorités d’investissement des entreprises françaises dans un avenir proche. Pour près d’un tiers (29 %) des entreprises interrogées en France, la détection des attaques, la coordination d’une réponse rapide et le rétablissement des systèmes représentent les aspects les moins évidents de la protection des données, ce qui suggère une gestion difficile de la reprise après une attaque. La prévention, c’est-à-dire la mise en place de plates-formes et de processus pour enrayer ou atténuer les attaques, constitue également un problème pour près d’un quart (24 %) des entreprises interrogées. Pour cette catégorie, la difficulté la plus pressante porte sur l’envergure et le volume des vulnérabilités à envisager. Ici encore, l’accent mis sur la prévention et le traitement en première ligne semble indiquer que certaines sociétés sont débordées par le volume et la sophistication des attaques que leurs systèmes actuels ne suffisent plus à repousser. 09: Les défis de la sécurité des données Le plus grand défi : détecter et empêcher les attaques avant d’avoir à y réagir immédiatement DÉTECTION / RÉACTION / RÉTABLISSEMENT 29 % RECRUTEMENT 16 % PRÉVENTION 24 % DOCUMENTATION DES PROCESSUS 14 % SURVEILLANCE 18 % RETOUR AU SOMMAIRE
  • 11.
    RAPPORT FRANCE: L’évolutiondes menaces et de la gestion de la sécurité des données en France 10 | UneétudemenéeparIDGConnectpourProofpoint 10: Priorité en matière de protection des données Une plus grande importance accordée au blocage et à la détection des menaces connues et inconnues provenant de multiples flux de données pour mieux identifier les vulnérabilités et prioriser les menaces selon la probabilité de violation. La tendance générale suggère que de nombreuses entreprises françaises consacrent plus d’efforts à lutter contre les attaques en cours qu’à prévoir celles qui pourraient survenir. Une telle vision peut aussi être fortement conditionnée par les technologies et les ressources disponibles dans chaque entreprise. L’analyse dynamique des logiciels malveillants, qui scrute les applications pendant leur exécution, peut jouer un rôle non négligeable pour combattre les menaces provenant d’accès internes non autorisés aux données, aux applications ou aux appareils, un type d’incident dont nous savons justement qu’il affecte particulièrement les entreprises françaises. Même si le volume des incidents signalés par chaque entreprise peut paraître modéré, l’incidence en est élevée : 61 % des entreprises françaises déclarent avoir subi une ou plusieurs attaques internes au cours des deux dernières années. L’accès interne illicite aux systèmes d’entreprise est une tendance générale signalée dans le rapport DBIR 2015 de Verizon, à tous les échelons : des utilisateurs finaux et employés des services financiers aux cadres et dirigeants, en passant par les développeurs. Ces violations peuvent être motivées par le gain personnel, être dues à une erreur, à un désir d’expédier plus vite des tâches de routine, etc. Au sein des entreprises françaises, la possibilité de bloquer les menaces connues et de détecter les menaces inconnues est considérée comme l’élément le plus important de la protection des données. Ici encore, cela indique une tendance générale des stratégies de gestion de la sécurité à tenter en priorité d’empêcher que des attaques extérieures n’atteignent les systèmes internes. Une importance légèrement moindre est accordée à la surveillance constante des données transitant sur les réseaux locaux ou étendus distribués, ou à l’analyse dynamique des logiciels malveillants pour une exécution préalable des fichiers téléchargés dans un environnement sécurisé. Cette approche pourra dans certains cas laisser d’autres systèmes exposés. De même, l’isolement automatique des serveurs, ordinateurs ou autres appareils infectés afin de limiter la propagation des logiciels malveillants dans les limites du pare-feu (vu comme l’aspect le moins important dans une protection efficace des données) risque lui aussi de laisser des systèmes internes dans une situation de vulnérabilité. L’accès à des analyses statistiques de données historiques afin de prévoir les attaques n’est pas non plus considéré comme crucial. Les entreprises interrogées lui reconnaissent cependant la même importance qu’aux moteurs d’informations en temps réel sur les menaces, lesquels analysent les données BLOQUER LES MENACES CONNUES 19 % ANALYSE DYNAMIQUE DES LOGICIELS MALVEILLANTS 14 % ISOLEMENT AUTOMATIQUE DES MACHINES INFECTÉES 10 % DÉTECTER LES MENACES CONNUES 17 % ACCÈS À DES INFORMATIONS EN TEMPS RÉEL SUR LES MENACES 12 % SURVEILLER LES DONNÉES SENSIBLES SUR LES RÉSEAUX DISTRIBUÉS 15 % ANALYSE STATISTIQUE DES DONNÉES HISTORIQUES AFIN DE PRÉVOIR LES ATTAQUES 12 % RETOUR AU SOMMAIRE
  • 12.
    RAPPORT FRANCE: L’évolutiondes menaces et de la gestion de la sécurité des données en France Les difficultés liées au recrutement et à la documentation des processus sont actuellement considérées comme des problèmes moins importants que la prévention et le traitement des violations de la sécurité des données. De fait, une majorité d’entreprises délèguent cette responsabilité à des postes informatiques généraux plutôt qu’à des agents spécialisés de protection des données. La situation devrait toutefois changer au cours des deux prochaines années avec la mise en œuvre annoncée de la directive européenne de « cybersécurité » NIS (Network Information and Security) et de la réglementation GDPR (General Data Protection Regulation). Ces nouveaux textes devraient fixer pour les entreprises de nouvelles obligations en matière d’audit, de rapports et, dans certains cas, de désignation d’un agent de protection des données. Naturellement, les entreprises françaises craignent par-dessus tout les conséquences susceptibles d’entamer sérieusement leur clientèle, leur chiffre d’affaires et, notamment en raison des coûts de « nettoyage », leurs résultats financiers. Les entreprises françaises se montrent actuellement moins préoccupées des sanctions financières en cas de violations de données. Ici encore, la perception est appelée à changer d’ici 2017, puisque la nouvelle législation européenne conférera aux régulateurs nationaux le pouvoir d’imposer des amendes pouvant atteindre 5 % du chiffre d’affaires mondial annuel d’une entreprise. Les entreprises françaises sont particulièrement sujettes aux violations dues à l’accès non autorisé aux données, applications ou appareils par des employés. Ce problème touche plus particulièrement les entreprises de plus de 5 000 salariés. Pourtant, la majorité des systèmes de sécurité actuels sont axés sur la protection périmétrique, c’est-à-dire empêcher que les attaques de l’extérieur ne contourne les pare-feux et autres défenses pour atteindre les systèmes internes de l’entreprise. Les risques internes d’accès non autorisé, d’usages malveillants ou de fuites de données ne sont, à l’inverse, pas assez pris en compte. Le blocage et la détection des menaces sont également considérés comme plus importants que la surveillance des réseaux locaux et étendus. La détection du trafic suspect, l’analyse dynamique des logiciels malveillants ou encore les informations en temps réel et historique sur les menaces sont pourtant des outils essentiels pour prévoir les attaques. 11: Conclusion Cette étude nous donne une idée claire des menaces pour la sécurité de leurs données que les entreprises françaises doivent actuellement gérer. Elle indique également des pistes d’optimisation des systèmes, processus et méthodes de gestion actuellement en place. Pour améliorer les systèmes et la gestion actuels de protection des données, la meilleure approche consiste à évaluer les défenses et pratiques en place en tenant compte de toutes les options disponibles avant d’adopter une plate-forme technologique. Les entreprises françaises semblent manifester une ouverture d’esprit favorable quant aux mises à niveau et aux investissements à prévoir. Les services de sécurité gérés en externe, les plates- formes SaaS et les solutions cloud hybrides sont considérées comme offrant un degré comparable de protection face aux attaques ciblés et sophistiquées. Ces options ne se classent que légèrement au-dessus des solutions logicielles et matérielles sur site. C’est donc les considérations de coûts supplémentaires, de maintenance et d’assistance qui devraient en définitive emporter le choix des entreprises françaises. RETOUR AU SOMMAIRE
  • 13.
    Nous contacter Proofpoint 54-56 avenueHoche 75008 Paris France Tel +33 1 56 60 54 51 Une étude menée par IDG Connect pour Proofpoint