SlideShare une entreprise Scribd logo
L’évolution des menaces
et de la gestion de la
sécurité des données
en France
RAPPORT FRANCE:
Il est essentiel de renforcer la sécurité pour faire face à
la multiplication d’attaques toujours plus diversifiées et
répondre aux nouvelles réglementations européennes
de protection des données personnelles.
Une étude menée par IDG Connect
pour Proofpoint
01	 Résumé graphique
02	 Introduction
03	 Violations courantes de sécurité
04	 Principales inquiétudes en matière de sécurité
05	 Niveau de préparation aux directives NIS et GDPR
06	 La meilleure plate-forme de sécurité
07	 Espace de déploiement sécurisé
08	 Les responsabilités du personnel
09	 Les défis de la sécurité des données
10	 Priorité en matière de protection des données
11	 Conclusion
RAPPORT FRANCE: L’évolution des menaces et de la gestion de la sécurité des données en France
1 | UneétudemenéeparIDGConnectpourProofpoint	
Violations couramment détectées
Un quart des entreprises françaises ont subi au
moins cinq incidents d’accès interne non autorisé
à des données, applications ou appareils au cours
des deux dernières années.
Qui gère la sécurité dans les
entreprises ?
La responsabilité de la sécurité des données est
souvent confiée au directeur informatique plutôt
qu’à un responsable de la sécurité des systèmes
d’information (RSSI) dédié ou à un agent interne
de protection des données. Une telle approche
peut entraîner la non-conformité aux nouvelles
réglementations européennes en matière de
protection des données.
Probabilité de dégâts suite à
une attaque APT
Si l’on en juge par les réponses reçues, les
entreprises françaises estiment qu’il n’y a aucun
risque de subir un préjudice par suite d’une
attaque APT au cours des douze prochains mois.
Pour 30 % d’entre elles, cette probabilité se situe
entre 26 et 50 %.
01:	 Résumé graphique
Résumé de l’étude
24 % Accès internes non autorisés à des
données, applications ou appareils
18 % Logiciels malveillants « jour zéro »
18 % Attaques par hameçonnage
14 % Attaques ciblées
12 % Appareil perdu ou volé
8 % Fuite de données
8 % Rançongiciels (ransomware)
6 % Vol d’identifiants
39 % 1 – 25% chance
30 % 26 – 50% chance
30 % More than a 50% chance
0 % No chance
51 % Responsable informatique
41 % Directeur des systèmes
d’information (DSI)
39 % Directeur de la technologie (DT)
37 % Responsable de la sécurité des
systèmes d’information (RSSI)
24 % Agent interne de protection
des données
8 % Agent externe de protection des
données / consultant
RETOUR AU SOMMAIRE
RAPPORT FRANCE: L’évolution des menaces et de la gestion de la sécurité des données en France
Si de nouveaux types de
menace apparaissent, d’autres
se transforment et deviennent
méconnaissables et indétectables
par les défenses en place. Dans
le même temps, les services
informatiques et les dirigeants
d’entreprise doivent répondre
à des demandes toujours plus
poussées en matière de protection
des données : de la part des clients,
des partenaires commerciaux,
des organismes sectoriels et des
régulateurs nationaux, européens et
internationaux.
La version révisée de la réglementation générale
de protection des données GDPR (General
Data Protection Regulation) de la Commission
européenne, par exemple, entrera en vigueur
en 2017. Cette nouvelle réglementation viendra
imposer aux entreprises de nouvelles obligations
sur de nombreux points : collecte, conservation
et traitement des données ; mesures de sécurité
physique et numérique ; documentation et
reporting ; élimination/destruction sécurisées des
données ; évaluation des risques et conformité ;
réaction en cas de violation ou d’intrusion.
Pour satisfaire aux exigences de la GDPR et
tenir tête au piratage, les entreprises
européennes doivent être en mesure d’identifier
les attaques qui présentent le potentiel de
réussite le plus élevé, d’évaluer l’importance
des données et des systèmes qui seraient
affectés, et se préparer aux conséquences de
violations qui surviendront inévitablement.
Il faudra pour cela prendre des décisions
difficiles quant aux infrastructures, aux
processus et aux méthodes de gestion en
place pour la protection des données. Il
faudra également être constamment à l’affût
des nouvelles stratégies, technologies et
méthodologies, surtout quand elles rendent
caducs les systèmes de défense classiques.
Cette transformation est pour une grande part
déjà en cours. Selon les prévisions du cabinet
d’études IDC, d’ici 2017, 75 % des grandes
entreprises recevront des informations sur
les menaces client adaptées à leur métier
et spécifiques à la société, à la marque et à
l’environnement. Par ailleurs, d’ici 2018, 15 % de
la sécurité sera assurée sous forme de solution
dans le cloud ou de plate-forme SaaS.
IDG Connect a interrogé une cinquantaine de
décideurs informatiques en poste dans de
grandes entreprises françaises. Il s’agissait
de comprendre de quelle façon sont gérées
les obligations de sécurité des données.
Il s’agissait aussi d’évaluer la solidité des
défenses, des politiques et des processus
existants, en prévision des défis qui s’annoncent.
Plus de la moitié (59 %) des personnes
interrogées travaillent au sein d’entreprises de
5 000 salariés et plus, et 18 % dans des
entreprises de plus de 20 000 salariés. Ces
personnes interviennent dans des verticales
très diversifiées, notamment les secteurs
manufacturiers (18 %), techniques (16 %) et
financiers (14 %).
La plupart (70 %) des personnes interrogées
occupent un poste de responsable informatique,
contre 26 % de cadres dirigeants, notamment
directeurs des systèmes d’information (DSI),
directeur de la technologie (DT), responsable de
la sécurité des systèmes d’information (RSSI),
PDG et vice-président.
02:	 Introduction
En matière de sécurité des données, la situation change constamment. Aucune entreprise
ne peut se permettre l’immobilisme face au risque que des informations sensibles de nature
commerciale tombent dans de mauvaises mains.
RETOUR AU SOMMAIRE
RAPPORT FRANCE: L’évolution des menaces et de la gestion de la sécurité des données en France
3 | UneétudemenéeparIDGConnectpourProofpoint	
Les rançongiciels, qui pénètrent dans les systèmes
par le biais de fichiers téléchargés ou de failles
dans le réseau, sont fréquemment propagés
par des chevaux de Troie tels que CTB-Locker,
CryptoLocker/Cryptowall et TorrentLocker. Ils
peuvent donc être confondus avec d’autres types
d’attaque. Le vol d’identifiants, où des pirates
usurpent des informations client pour accéder à
des comptes bancaires en ligne ou aux systèmes
internes d’entreprises, est lui aussi souvent mal
identifié et classé dans la catégorie des logiciels
malveillants ou des attaques ciblées.
Les attaques ciblées semblent représenter
un problème de moindre envergure pour les
entreprises de plus de 10 000 salariés, que ce
soit en France, en Allemagne ou au Royaume-
Uni : 51 % d’entre elles ne déclarent aucune
attaque de ce type, contre 31 % des entreprises
de taille inférieure. Les fuites de données sont
plus répandues parmi les entreprises de plus de
5 000 salariés. Cet état de fait peut être attribué
au nombre même des employés, qui induit un
plus grand risque de pertes de matériel et de
négligence concernant les données sensibles
et les identifiants.
Les logiciels malveillants « Jour zéro », les
hameçonnages (phishing) et les attaques ciblées
sont aussi des problèmes récurrents. En revanche,
et comme ailleurs en Europe, les deux types
d’attaques les moins susceptibles de frapper des
entreprises françaises sont le vol d’identifiants
et les « rançongiciels » (ransomware). Une part
beaucoup plus réduite (55 % dans les deux cas)
des réponses signalent une absence d’incident
au cours des deux années écoulées. En effet, 8
% des entreprises interrogées indiquent plus de
7 attaques par rançongiciel, tandis que 6 % ont
subi plus de 7 cas de vol d’identifiants. Ces chiffres
semblent indiquer une sensibilisation particulière
des sociétés françaises à ce type de vulnérabilité.
Selon d’autres études provenant des États-Unis,
en revanche, l’hameçonnage serait le type
d’attaque le plus courant dans ce pays. Dans
l’édition 2015 de son Rapport sur les violations
de données (DIBR, Data Breach Investigations
Report), l’opérateur télécom américain Verizon
note une augmentation constante du volume des
attaques par hameçonnage, mais aussi de leur
efficacité : de plus en plus d’utilisateurs se laissent
convaincre d’ouvrir des messages ou des pièces
jointes infectés.
Une autre analyse, réalisée par Proofpoint, indique
une multiplication par 17 du nombre de messages
avec pièces jointes malveillantes entre octobre
2014 et mars 2015. À l’inverse, les attaques sur le
Web ont diminué sur la même période.
03:	 Violations courantes de sécurité
Types d’attaques subies au moins cinq fois au cours des deux dernières années
ACCÈS INTERNES NON
AUTORISÉS À DES DONNÉES,
APPLICATIONS OU APPAREILS
24 %
ATTAQUES CIBLÉES
14 %
RANÇONGICIELS
(RANSOMWARE)
8 %
LOGICIELS MALVEILLANTS
« JOUR ZÉRO »
18 %
APPAREIL PERDU OU VOLÉ
12 %
VOL D’IDENTIFIANTS
6 %
ATTAQUES PAR HAMEÇONNAGE
18 %
FUITE DE DONNÉES
8 %
Les entreprises françaises sont particulièrement sujettes à un volume élevé de
violations en raison d’accès internes non autorisés à des données, applications
ou appareils. Dans presque un quart des cas (24 %), les entreprises ont subi
cinq incidents ou plus au cours des deux dernières années.
RETOUR AU SOMMAIRE
RAPPORT FRANCE: L’évolution des menaces et de la gestion de la sécurité des données en France
4 | UneétudemenéeparIDGConnectpourProofpoint	
par les autorités réglementaires nationales et
transnationales, et/ou que les politiques de
signalement en interne des violations signifient
que les autorités réglementaires ne seront pas
forcément informées des violations.
Ce n’est pourtant pas faute de diligence de la part
de la Commission nationale de l’informatique et
des libertés. En 2014, la CNIL imposait en effet
une amende de 150 000 € à Google, dont la
politique de confidentialité, selon elle, n’informait
pas suffisamment les utilisateurs sur les processus
de collecte et d’utilisation de leurs données
personnelles. La même année, la CNIL adressait
un avertissement au groupe Orange à la suite
d’une fuite de données ayant affecté quelque 1,3
million de clients. Au total, pour 2014, la CNIL a
sanctionné financièrement huit sociétés et émis
sept avertissements.
Si l’amende maximale imposée par la CNIL
à ce jour ne s’élève qu’à 150 000 euros, les
violations de données pourraient très bientôt
être sanctionnées beaucoup plus sévèrement :
la réglementation GDPR actuellement en cours
d’élaboration prévoit pour ce type d’incident une
amende maximale équivalant à 5 % du chiffre
d’affaires annuel de l’entreprise.
Les conséquences d’une violation de
données grave peuvent se faire sentir
à plusieurs niveaux. Néanmoins, il
apparaît nettement que les entreprises
françaises craignent par-dessus tout
trois facteurs, dont la combinaison
pourrait sérieusement nuire à la
fidélité de leur clientèle, à leur chiffre
d’affaires et, par conséquent, à leurs
résultats financiers.
La baisse de la confiance et de la fidélité des
clients représente la plus grande inquiétude pour
un peu plus d’un tiers des entreprises interrogées
(37 %), suivie du préjudice pour la marque et la
réputation (35 %), puis de la perte de contrats et de
chiffre d’affaires (31 %).
Si le coût du « nettoyage » après un incident de
sécurité (en termes d’heures de travail et de
ressources mobilisées) ne se place jamais en
tête de la liste des inquiétudes, il reste considéré
comme un problème majeur par 53 % des
entreprises interrogées.
Le renforcement des obligations réglementaires
à satisfaire, le risque d’amende et les frais
juridiques encourus, en revanche, semblent être
moins préoccupants. Ce dernier point dénote
que les entreprises françaises ne se sentent
pas concernées par les pénalités financières
actuellement susceptibles d’être imposées
04:	 Principales inquiétudes en matière de sécurité
Conséquences des violations de données graves suscitant le plus d’inquiétude
BAISSE DE LA CONFIANCE ET
DE LA FIDÉLITÉ DES CLIENTS
37 %
COÛT DES MESURES RÉACTIVES
12 %
FRAIS JURIDIQUES
8 %
PRÉJUDICE POUR LA MARQUE
ET LA RÉPUTATION
35 %
OBLIGATIONS RÉGLEMENTAIRES
SUPPLÉMENTAIRES
12 %
PERTE DE CONTRATS ET DE
CHIFFRE D’AFFAIRES
31 %
AMENDES
12 %
RETOUR AU SOMMAIRE
RAPPORT FRANCE: L’évolution des menaces et de la gestion de la sécurité des données en France
5 | UneétudemenéeparIDGConnectpourProofpoint	
Elle oblige également les « opérateurs
d’infrastructures critiques » ou d’« infrastructures
nationales critiques » (ce qui inclut les marchés de
l’énergie et du transport autant que le secteur public)
à mettre en place les mesures appropriées pour
gérer les risques de sécurité et signaler les incidents
graves aux autorités nationales compétentes.
Le projet initial proposait d’étendre ces obligations
à tous les « fournisseurs clés de services de la
société de l’information », donc aussi aux plates-
formes de commerce en ligne, aux réseaux sociaux,
etc. Cette idée a cependant été mise de côté à la
suite de nombreuses objections sectorielles. Le
parlement européen lui-même a jugé ces contraintes
« disproportionnées et ingérables », préférant
encourager ces entreprises à signaler
volontairement les incidents.
La mise en conformité avec la directive de
« cybersécurité » NIS et la réglementation GDPR
devrait devenir obligatoire pour les entreprises
françaises et européennes courant 2017.
Parmi les personnes interrogées par IDG Connect,
pourtant, beaucoup expriment des doutes quant à
la capacité de leur entreprise, aujourd’hui et demain,
à satisfaire les obligations NIS/GDPR : la confiance
dans cette préparation est de 59 % en 2015 puis
64 % en 2016 pour la NIS, et de 58 % en 2015 puis
66 % en 2016 pour la GDPR. Même si ces chiffres ne
sont que légèrement inférieurs aux résultats obtenus
au Royaume-Uni, ils indiquent un manque
de confiance spécifiques aux entreprises françaises.
La GDPR et autres directives
européennes concernant la protection
des données entreront en vigueur au
cours des deux prochaines années.
Qu’il s’agisse des politiques de sécurité,
des procédures de signalement ou des
dispositions d’audit, les entreprises
domiciliées ou implantées en Europe
devront probablement transformer
en profondeur leurs pratiques pour
satisfaire à ce nouveau cadre législatif.
La législation GDPR vise à appliquer une seule
et unique réglementation de protection des
données dans tous les États de l’Union, pour
mettre fin aux incohérences actuelles en termes
d’application de la loi. Elle s’appliquera également
aux entreprises opérant en Europe, même si
les données traitées sont stockées ailleurs.
En outre, la définition des données personnelles
sera élargie pour inclure les adresses e-mail,
les adresses IP et les publications sur les
réseaux sociaux.
La directive de « cybersécurité » NIS (Network
Information and Security) fixe pour chaque État
membre trois prescriptions fondamentales :
adopter une stratégie NIS, mettre en place
une autorité NIS et créer un « mécanisme de
coopération » pour le partage des informations
de sécurité avec les autres pays de l’Union.
05:	 Niveau de préparation aux directives NIS et GDPR
De nombreuses entreprises ne sont pas sûres de pouvoir satisfaire aux nouvelles réglementations
européennes en matière de protection des données
NIS 2015
NIS 2016
GDPR 2015
GDPR 2016
RETOUR AU SOMMAIRE
RAPPORT FRANCE: L’évolution des menaces et de la gestion de la sécurité des données en France
6 | UneétudemenéeparIDGConnectpourProofpoint	
En tout état de cause, cela indique que les
responsables informatiques en France restent
plutôt ouverts quant au type de plate-forme de
sécurité qu’ils pourraient acquérir à l’avenir.
Cette absence de préjugé est une bonne
nouvelle pour les fournisseurs de solution
de sécurité cherchant à placer leurs produits
de protection contre les menaces ciblées et
sophistiquées.
Si nous analysons plus en détail les résultats
pour l’ensemble de l’Europe, il ressort
que les plus grandes entreprises (20 000
salariés et plus) sont les plus susceptibles de
considérer les fournisseurs de services gérés
et les solutions cloud hybrides comme les
plus efficaces face à ce type de menace. Les
solutions logicielles sur site sont ici moins bien
notées.
Selon la nature et le volume des attaques, le fait
de s’en remettre exclusivement à des systèmes
de sécurité maison peut exposer l’entreprise
à des dégâts plus importants. L’accès à une
information externe de qualité et à une vision
d’ensemble des menaces au niveau mondial
peut aider les entreprises à prévoir les attaques
les plus probables sur la base d’une analyse
des données en temps réel et des données
historiques, par exemple.
Les entreprises françaises
manifestent une attitude très
positive quant aux solutions de
sécurité qu’elles jugent les plus
efficaces face aux menaces ciblées
et sophistiquées. Ni les services de
sécurité gérés en externe, ni les
plates-formes de sécurité SaaS, ni les
solutions cloud hybrides ne jouissent
d’une position particulièrement
dominante dans leur esprit. En
revanche, les solutions matérielles
et logicielles dédiées sur site sont
légèrement moins prisées.
Ces préférences très également distribuées
sont néanmoins sans surprise. Elles s’expliquent
par la complexité des infrastructures
informatiques actuelles dans les entreprises,
ainsi que par le caractère inévitablement
disparate des produits de sécurité déployés
dans les centres de données, sur les réseaux et
sur les ordinateurs de bureau – variant même
d’un endroit à l’autre dans les entreprises
réparties entre plusieurs sites connectés par
réseaux locaux et étendus (LAN/WAN).
06:	 La meilleure plate-forme de sécurité
Peu de différenciation dans les types de solution de sécurité jugés les plus efficaces
ÉQUIPEMENT MATÉRIEL ET
LOGICIEL DE SÉCURITÉ GÉRÉS
PAR LE FOURNISSEUR DE
SERVICE
22 %
ÉQUIPEMENT MATÉRIEL DE
SÉCURITÉ SUR SITE
19 %
SERVICE DE SÉCURITÉ
CLOUD / SAAS
21 %
ÉQUIPEMENT LOGICIEL DE
SÉCURITÉ SUR SITE
18 %
SERVICE DE SÉCURITÉ
CLOUD HYBRIDE
20 %
RETOUR AU SOMMAIRE
RAPPORT FRANCE: L’évolution des menaces et de la gestion de la sécurité des données en France
7 | UneétudemenéeparIDGConnectpourProofpoint	
Il en va de même du risque de fuite de données
sur l’Internet public.
Du fait de la grande diversité des systèmes de
sécurité déployés, il peut également y avoir une
certaine équivoque quant à identifier ce qui se
situe à l’intérieur de l’architecture locale et ce
qui se situe en dehors. Par exemple, même si
seulement 61 % des entreprises interrogées en
France considèrent les passerelles Web et e-mail
comme un espace de déploiement efficace (voire
le plus efficace) pour une solution de protection,
il faut garder à l’esprit que de telles passerelles
peuvent être déployées aussi bien comme outil
dédié sur site que comme partie intégrante d’une
solution de sécurité plus complète sur le cloud.
À 53 %, la proportion des entreprises françaises
considérant le terminal comme un espace de
déploiement très efficace reste relativement
faible. Ce résultat peut cependant s’expliquer
en partie par la répartition des personnes
interrogées pour cette étude en France, à savoir
74 % de responsables informatiques. En effet,
c’est à eux qu’incombera généralement le
déploiement, la configuration et la maintenance
des solutions de sécurité sur l’ensemble du
parc d’ordinateurs de bureau, de portables,
de tablettes et de smartphones. La protection
au niveau du terminal représente donc pour
cette catégorie spécifique une charge de travail
beaucoup plus importante que si l’entreprise opte
pour des approches plus centralisées.
En ce qui concerne l’espace au sein
d’une infrastructure informatique le plus
indiqué pour déployer une technologie
de protection, les avis sont partagés.
Pour environ deux tiers des entreprises
interrogées en France, le réseau et le
cloud représentent une option efficace
à très efficace.
Si une part comparable (66 %) en France
considère le pare-feu comme un centre
névralgique efficace, cette proportion est
beaucoup moins importante qu’en Allemagne
(90 %) ou qu’au Royaume-Uni (88 %).
Le fait que tant d’entreprises accordent une telle
importance au réseau et au pare-feu indique que la
plupart d’entre elles penchent pour une approche
périmétrique de la sécurité, visant à empêcher
que les attaques de l’extérieur n’atteignent les
systèmes internes de l’entreprise. Il faut pourtant
opposer à cette approche l’augmentation des
incidents impliquant des logiciels malveillants
de type menace persistante avancée ou APT
(Advanced Persistent Threat), par lesquels les
intrus échappent durablement à la détection après
avoir gagné l’accès à des systèmes vulnérables.
Il est aussi à craindre que les entreprises ne se
préoccupent pas suffisamment des logiciels
malveillants provenant de leurs propres systèmes
ou y résidant, et qui se propagent ensuite plus
largement par le biais du réseau local ou étendu.
07:	 Espace de déploiement sécurisé
La préférence pour le pare-feu et le réseau suggère une priorité accordée à la sécurité périmétrique
RÉSEAU
68 %
PASSERELLE (WEB, E-MAIL, ETC.)
61 %
CLOUD
68 %
TERMINAL
53 %
PARE-FEU
66 %
RETOUR AU SOMMAIRE
RAPPORT FRANCE: L’évolution des menaces et de la gestion de la sécurité des données en France
8 | UneétudemenéeparIDGConnectpourProofpoint	
Pour autant, aucune ne se voit à l’abri. Les
entreprises françaises semblent se ranger parmi
les plus inquiètes : un tiers d’entre elles évaluent
à plus d’une chance sur deux (soit 50 % et plus)
la probabilité de subir une attaque persistante
avancée dans les douze prochains mois ; aucune
ne croit à un risque nul.
En revanche, une grande partie des entreprises
interrogées (39 %) évaluent à moins une chance
sur quatre la probabilité de subir une attaque APT.
Ce chiffre indique soit une plus grande confiance
que les systèmes en place peuvent détecter
et bloquer ce type d’attaque, soit une certaine
naïveté quant au risque d’en être victime.
Plus l’entreprise est grande, plus la crainte d’une
attaque est forte. Parmi les personnes interrogées
par IDG Connect occupant un poste dans une
entreprise de plus de 10 000 salariés en France, en
Allemagne ou au Royaume-Uni, aucune n’a déclaré
ne voir absolument aucune probabilité d’attaque
APT dans l’année à venir. De fait, 37 % d’entre elles
évaluent cette probabilité à 50/50.
Dans les entreprises françaises,
c’est également aux responsables
informatiques que l’on confiera dans la
plupart des cas (51 %) la gestion de la
sécurité des données, contre 41 % aux
DSI, 39 % aux DT et 37 % aux RSSI.
Cette tendance peut indiquer une approche plus
pragmatique de la sécurité et de sa gestion au
sein des entreprises françaises, aussi bien que
des problèmes de recrutement : en effet, 16 % des
entreprises interrogées en France déclarent que le
recrutement constitue la plus grande difficulté du
point de vue de la sécurisation des données.
En France comme ailleurs en Europe, les
entreprises sont encore peu nombreuses (24
%) à déléguer ces questions à des agents de
sécurité des données internes. Elles devront
cependant revoir cette stratégie si la GDPR oblige
effectivement, comme il est prévu, les entreprises
de plus de 250 salariés à nommer un agent de
protection des données interne ou externe.
Le degré de confiance des entreprises
européennes dans leurs défenses face à
d’éventuelles attaques est variable.
08:	 Les responsabilités du personnel
C’est aux responsables informatiques qu’incombera le plus souvent de gérer la sécurité des données
RESPONSABLE INFORMATIQUE
51 %
RESPONSABLE DE LA SÉCURITÉ
DES SYSTÈMES D’INFORMATION
(RSSI)
37 %
DIRECTEUR DES SYSTÈMES
D’INFORMATION (DSI)
41 %
AGENT INTERNE DE
PROTECTION DES DONNÉES
24 %
DIRECTEUR DE LA
TECHNOLOGIE (DT)
39 %
AGENT EXTERNE DE
PROTECTION DES DONNÉES
/ CONSULTANT
8 %
RETOUR AU SOMMAIRE
RAPPORT FRANCE: L’évolution des menaces et de la gestion de la sécurité des données en France
9 | UneétudemenéeparIDGConnectpourProofpoint	
Si l’on en croit ces résultats, il semble que les
entreprises françaises se préoccupent un peu
moins d’autres aspects de la sécurisation des
données, qui pourtant peuvent jouer un rôle
dans la protection contre les attaques
imprévisibles ou inconnues.
La surveillance ressort comme le point le plus
problématique des deux dernières années pour
18 % des interrogés, suivi du recrutement pour
16 % et de la documentation des processus
pour 14 %. Les entreprises interrogées peuvent
avoir l’impression que ces éléments sont déjà
suffisamment gérés par leur structure. Il est
pourtant plus probable que les points en question
ne reçoivent pas l’attention qu’ils méritent. Ici
encore, de nombreuses entreprises devront
peut-être revoir très bientôt cette approche, ne
serait-ce qu’en raison des obligations NIS et GDPR
attendues en matière d’audit, de reporting et de
désignation d’un agent de protection des données.
Les aspects de la gestion des menaces
considérés comme les plus épineux sur
les deux dernières années devraient
nous permettre de prévoir assez
justement les priorités d’investissement
des entreprises françaises dans un
avenir proche.
Pour près d’un tiers (29 %) des entreprises
interrogées en France, la détection des attaques,
la coordination d’une réponse rapide et le
rétablissement des systèmes représentent les
aspects les moins évidents de la protection des
données, ce qui suggère une gestion difficile de la
reprise après une attaque.
La prévention, c’est-à-dire la mise en place de
plates-formes et de processus pour enrayer
ou atténuer les attaques, constitue également
un problème pour près d’un quart (24 %) des
entreprises interrogées. Pour cette catégorie, la
difficulté la plus pressante porte sur l’envergure et
le volume des vulnérabilités à envisager.
Ici encore, l’accent mis sur la prévention et le
traitement en première ligne semble indiquer que
certaines sociétés sont débordées par le volume et
la sophistication des attaques que leurs systèmes
actuels ne suffisent plus à repousser.
09:	 Les défis de la sécurité des données
Le plus grand défi : détecter et empêcher les attaques avant d’avoir à y réagir immédiatement
DÉTECTION / RÉACTION /
RÉTABLISSEMENT
29 %
RECRUTEMENT
16 %
PRÉVENTION
24 %
DOCUMENTATION DES
PROCESSUS
14 %
SURVEILLANCE
18 %
RETOUR AU SOMMAIRE
RAPPORT FRANCE: L’évolution des menaces et de la gestion de la sécurité des données en France
10 | UneétudemenéeparIDGConnectpourProofpoint	
10:	 Priorité en matière de protection des données
Une plus grande importance accordée au blocage et à la détection des menaces connues et inconnues
provenant de multiples flux de données pour
mieux identifier les vulnérabilités et prioriser les
menaces selon la probabilité de violation.
La tendance générale suggère que de
nombreuses entreprises françaises consacrent
plus d’efforts à lutter contre les attaques en cours
qu’à prévoir celles qui pourraient survenir. Une telle
vision peut aussi être fortement conditionnée par
les technologies et les ressources disponibles dans
chaque entreprise.
L’analyse dynamique des logiciels malveillants, qui
scrute les applications pendant leur exécution, peut
jouer un rôle non négligeable pour combattre les
menaces provenant d’accès internes non autorisés
aux données, aux applications ou aux appareils, un
type d’incident dont nous savons justement qu’il
affecte particulièrement les entreprises françaises.
Même si le volume des incidents signalés
par chaque entreprise peut paraître modéré,
l’incidence en est élevée : 61 % des entreprises
françaises déclarent avoir subi une ou plusieurs
attaques internes au cours des deux dernières
années. L’accès interne illicite aux systèmes
d’entreprise est une tendance générale signalée
dans le rapport DBIR 2015 de Verizon, à tous les
échelons : des utilisateurs finaux et employés
des services financiers aux cadres et dirigeants,
en passant par les développeurs. Ces violations
peuvent être motivées par le gain personnel, être
dues à une erreur, à un désir d’expédier plus vite
des tâches de routine, etc.
Au sein des entreprises françaises, la
possibilité de bloquer les menaces
connues et de détecter les menaces
inconnues est considérée comme
l’élément le plus important de la protection
des données. Ici encore, cela indique
une tendance générale des stratégies de
gestion de la sécurité à tenter en priorité
d’empêcher que des attaques extérieures
n’atteignent les systèmes internes.
Une importance légèrement moindre est accordée
à la surveillance constante des données transitant
sur les réseaux locaux ou étendus distribués, ou à
l’analyse dynamique des logiciels malveillants pour
une exécution préalable des fichiers téléchargés dans
un environnement sécurisé. Cette approche pourra
dans certains cas laisser d’autres systèmes exposés.
De même, l’isolement automatique des serveurs,
ordinateurs ou autres appareils infectés afin de
limiter la propagation des logiciels malveillants dans
les limites du pare-feu (vu comme l’aspect le moins
important dans une protection efficace des données)
risque lui aussi de laisser des systèmes internes dans
une situation de vulnérabilité.
L’accès à des analyses statistiques de données
historiques afin de prévoir les attaques n’est pas
non plus considéré comme crucial. Les entreprises
interrogées lui reconnaissent cependant la même
importance qu’aux moteurs d’informations en temps
réel sur les menaces, lesquels analysent les données
BLOQUER LES MENACES
CONNUES
19 %
ANALYSE DYNAMIQUE DES
LOGICIELS MALVEILLANTS
14 %
ISOLEMENT AUTOMATIQUE DES
MACHINES INFECTÉES
10 %
DÉTECTER LES MENACES
CONNUES
17 %
ACCÈS À DES INFORMATIONS
EN TEMPS RÉEL SUR LES
MENACES
12 %
SURVEILLER LES DONNÉES
SENSIBLES SUR LES RÉSEAUX
DISTRIBUÉS
15 %
ANALYSE STATISTIQUE DES
DONNÉES HISTORIQUES AFIN
DE PRÉVOIR LES ATTAQUES
12 %
RETOUR AU SOMMAIRE
RAPPORT FRANCE: L’évolution des menaces et de la gestion de la sécurité des données en France
Les difficultés liées au recrutement et à la
documentation des processus sont actuellement
considérées comme des problèmes moins
importants que la prévention et le traitement
des violations de la sécurité des données. De
fait, une majorité d’entreprises délèguent cette
responsabilité à des postes informatiques
généraux plutôt qu’à des agents spécialisés de
protection des données.
La situation devrait toutefois changer au cours
des deux prochaines années avec la mise en
œuvre annoncée de la directive européenne de
« cybersécurité » NIS (Network Information and
Security) et de la réglementation GDPR (General
Data Protection Regulation). Ces nouveaux textes
devraient fixer pour les entreprises de nouvelles
obligations en matière d’audit, de rapports et,
dans certains cas, de désignation d’un agent de
protection des données.
Naturellement, les entreprises françaises
craignent par-dessus tout les conséquences
susceptibles d’entamer sérieusement leur
clientèle, leur chiffre d’affaires et, notamment en
raison des coûts de « nettoyage », leurs résultats
financiers. Les entreprises françaises se montrent
actuellement moins préoccupées des sanctions
financières en cas de violations de données. Ici
encore, la perception est appelée à changer d’ici
2017, puisque la nouvelle législation européenne
conférera aux régulateurs nationaux le pouvoir
d’imposer des amendes pouvant atteindre 5 % du
chiffre d’affaires mondial annuel d’une entreprise.
Les entreprises françaises sont
particulièrement sujettes aux
violations dues à l’accès non
autorisé aux données, applications
ou appareils par des employés.
Ce problème touche plus
particulièrement les entreprises de
plus de 5 000 salariés. Pourtant, la
majorité des systèmes de sécurité
actuels sont axés sur la protection
périmétrique, c’est-à-dire empêcher
que les attaques de l’extérieur ne
contourne les pare-feux et autres
défenses pour atteindre les systèmes
internes de l’entreprise. Les risques
internes d’accès non autorisé,
d’usages malveillants ou de fuites
de données ne sont, à l’inverse,
pas assez pris en compte.
Le blocage et la détection des menaces sont
également considérés comme plus importants
que la surveillance des réseaux locaux et
étendus. La détection du trafic suspect, l’analyse
dynamique des logiciels malveillants ou encore
les informations en temps réel et historique sur
les menaces sont pourtant des outils essentiels
pour prévoir les attaques.
11:	 Conclusion
Cette étude nous donne une idée claire des menaces pour la sécurité de leurs données que les
entreprises françaises doivent actuellement gérer. Elle indique également des pistes d’optimisation
des systèmes, processus et méthodes de gestion actuellement en place.
Pour améliorer les systèmes et la gestion actuels
de protection des données, la meilleure approche
consiste à évaluer les défenses et pratiques en
place en tenant compte de toutes les options
disponibles avant d’adopter une plate-forme
technologique.
Les entreprises françaises semblent manifester
une ouverture d’esprit favorable quant aux mises
à niveau et aux investissements à prévoir. Les
services de sécurité gérés en externe, les plates-
formes SaaS et les solutions cloud hybrides sont
considérées comme offrant un degré comparable
de protection face aux attaques ciblés et
sophistiquées. Ces options ne se classent que
légèrement au-dessus des solutions logicielles et
matérielles sur site. C’est donc les considérations
de coûts supplémentaires, de maintenance et
d’assistance qui devraient en définitive emporter
le choix des entreprises françaises.
RETOUR AU SOMMAIRE
Nous contacter
Proofpoint
54-56 avenue Hoche
75008 Paris
France
Tel +33 1 56 60 54 51
Une étude menée par IDG Connect
pour Proofpoint

Contenu connexe

Tendances

Cyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminelsCyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminels
EY
 
Manifeste pour la cyber-résilience
Manifeste pour la cyber-résilienceManifeste pour la cyber-résilience
Manifeste pour la cyber-résilience
Symantec
 
Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017
NRC
 
Rapport de Sécurité Check Point 2016
Rapport de Sécurité Check Point 2016Rapport de Sécurité Check Point 2016
Rapport de Sécurité Check Point 2016
Blandine Delaporte
 
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
Symantec
 
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
polenumerique33
 
Démystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésDémystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilités
NRC
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
polenumerique33
 
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Crossing Skills
 
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
OpinionWay
 
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Eric DUPUIS
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?
Alain EJZYN
 
Jeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécuritéJeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécurité
Antoine Vigneron
 
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesCours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures Critiques
Franck Franchin
 
Risque informatique avec Kaspersky et Project si
Risque informatique avec Kaspersky et Project siRisque informatique avec Kaspersky et Project si
Risque informatique avec Kaspersky et Project si
PROJECT SI
 
CyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéECyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéE
Christophe-Alexandre PAILLARD
 
ENFIN Cyber !
ENFIN Cyber !ENFIN Cyber !
ENFIN Cyber !
Henri d'AGRAIN
 
Maitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsMaitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industriels
Bee_Ware
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?
Kiwi Backup
 
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Télécom Paris
 

Tendances (20)

Cyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminelsCyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminels
 
Manifeste pour la cyber-résilience
Manifeste pour la cyber-résilienceManifeste pour la cyber-résilience
Manifeste pour la cyber-résilience
 
Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017
 
Rapport de Sécurité Check Point 2016
Rapport de Sécurité Check Point 2016Rapport de Sécurité Check Point 2016
Rapport de Sécurité Check Point 2016
 
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
 
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
 
Démystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésDémystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilités
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
 
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
 
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?
 
Jeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécuritéJeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécurité
 
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesCours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures Critiques
 
Risque informatique avec Kaspersky et Project si
Risque informatique avec Kaspersky et Project siRisque informatique avec Kaspersky et Project si
Risque informatique avec Kaspersky et Project si
 
CyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéECyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéE
 
ENFIN Cyber !
ENFIN Cyber !ENFIN Cyber !
ENFIN Cyber !
 
Maitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsMaitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industriels
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?
 
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
 

Similaire à Gestion de la sécurité des données en France - étude 2016

Résumé de l’étude sur la sécurité de Scalar 2016
Résumé de l’étude sur la sécurité de Scalar 2016Résumé de l’étude sur la sécurité de Scalar 2016
Résumé de l’étude sur la sécurité de Scalar 2016
Scalar Decisions
 
Introduction à la sécurité des SI
Introduction à la sécurité des SIIntroduction à la sécurité des SI
Introduction à la sécurité des SI
Jean-Michel Tyszka
 
Sondage opinion way pour cci france gce - cybersécurité
Sondage opinion way pour cci france   gce - cybersécuritéSondage opinion way pour cci france   gce - cybersécurité
Sondage opinion way pour cci france gce - cybersécurité
contactOpinionWay
 
Menaces informatique et pratique de sécurité en france
Menaces informatique et pratique de sécurité en franceMenaces informatique et pratique de sécurité en france
Menaces informatique et pratique de sécurité en france
Bee_Ware
 
Les entreprises européennes sont elles bien armées pour affronter les cyber a...
Les entreprises européennes sont elles bien armées pour affronter les cyber a...Les entreprises européennes sont elles bien armées pour affronter les cyber a...
Les entreprises européennes sont elles bien armées pour affronter les cyber a...
Bee_Ware
 
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
OpinionWay
 
IT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patchIT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patchDaniel Soriano
 
Webinar ATN+ symantec
Webinar ATN+  symantecWebinar ATN+  symantec
EI-Institut - Newsletter Check Point - Septembre 2013
EI-Institut - Newsletter Check Point - Septembre 2013EI-Institut - Newsletter Check Point - Septembre 2013
EI-Institut - Newsletter Check Point - Septembre 2013
Pierre SARROLA
 
Séminaire audit et sécurité des systèmes d’information
Séminaire  audit et sécurité des systèmes d’informationSéminaire  audit et sécurité des systèmes d’information
Séminaire audit et sécurité des systèmes d’informationn_b_nancy
 
Ipsos x Sopra Steria - Les Français et la cybersécurité.pdf
Ipsos x Sopra Steria - Les Français et la cybersécurité.pdfIpsos x Sopra Steria - Les Français et la cybersécurité.pdf
Ipsos x Sopra Steria - Les Français et la cybersécurité.pdf
Ipsos France
 
La perception du risque cyber par les dirigeants d’entreprises
La perception du risque cyber par les dirigeants d’entreprisesLa perception du risque cyber par les dirigeants d’entreprises
La perception du risque cyber par les dirigeants d’entreprises
contactOpinionWay
 
Trois principes pour améliorer la sécurité
Trois principes pour améliorer la sécuritéTrois principes pour améliorer la sécurité
Trois principes pour améliorer la sécurité
Andreanne Clarke
 
Conférence BNI, GR Assurances, Generali Protection numérique
Conférence BNI, GR Assurances, Generali Protection numériqueConférence BNI, GR Assurances, Generali Protection numérique
Conférence BNI, GR Assurances, Generali Protection numérique
Fabian Puech
 
Introduction Mobile Gov
Introduction Mobile GovIntroduction Mobile Gov
Introduction Mobile GovFinancialVideo
 
Manifeste ResistanceCYBER 18.05.17
Manifeste ResistanceCYBER 18.05.17Manifeste ResistanceCYBER 18.05.17
Manifeste ResistanceCYBER 18.05.17
ITrust - Cybersecurity as a Service
 
Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1
PRONETIS
 
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlog
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlogReveelium, solution innovante pour analyser les cyber menaces @ITrustBlog
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlog
ITrust - Cybersecurity as a Service
 
Communiqué de Presse - Résultats de l'étude BSA / IDC sur le piratage régiona...
Communiqué de Presse - Résultats de l'étude BSA / IDC sur le piratage régiona...Communiqué de Presse - Résultats de l'étude BSA / IDC sur le piratage régiona...
Communiqué de Presse - Résultats de l'étude BSA / IDC sur le piratage régiona...
AntiPiratageLogiciel
 
Pwc barometre-cybersecurite-septembre-2018
Pwc barometre-cybersecurite-septembre-2018Pwc barometre-cybersecurite-septembre-2018
Pwc barometre-cybersecurite-septembre-2018
Société Tripalio
 

Similaire à Gestion de la sécurité des données en France - étude 2016 (20)

Résumé de l’étude sur la sécurité de Scalar 2016
Résumé de l’étude sur la sécurité de Scalar 2016Résumé de l’étude sur la sécurité de Scalar 2016
Résumé de l’étude sur la sécurité de Scalar 2016
 
Introduction à la sécurité des SI
Introduction à la sécurité des SIIntroduction à la sécurité des SI
Introduction à la sécurité des SI
 
Sondage opinion way pour cci france gce - cybersécurité
Sondage opinion way pour cci france   gce - cybersécuritéSondage opinion way pour cci france   gce - cybersécurité
Sondage opinion way pour cci france gce - cybersécurité
 
Menaces informatique et pratique de sécurité en france
Menaces informatique et pratique de sécurité en franceMenaces informatique et pratique de sécurité en france
Menaces informatique et pratique de sécurité en france
 
Les entreprises européennes sont elles bien armées pour affronter les cyber a...
Les entreprises européennes sont elles bien armées pour affronter les cyber a...Les entreprises européennes sont elles bien armées pour affronter les cyber a...
Les entreprises européennes sont elles bien armées pour affronter les cyber a...
 
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
 
IT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patchIT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patch
 
Webinar ATN+ symantec
Webinar ATN+  symantecWebinar ATN+  symantec
Webinar ATN+ symantec
 
EI-Institut - Newsletter Check Point - Septembre 2013
EI-Institut - Newsletter Check Point - Septembre 2013EI-Institut - Newsletter Check Point - Septembre 2013
EI-Institut - Newsletter Check Point - Septembre 2013
 
Séminaire audit et sécurité des systèmes d’information
Séminaire  audit et sécurité des systèmes d’informationSéminaire  audit et sécurité des systèmes d’information
Séminaire audit et sécurité des systèmes d’information
 
Ipsos x Sopra Steria - Les Français et la cybersécurité.pdf
Ipsos x Sopra Steria - Les Français et la cybersécurité.pdfIpsos x Sopra Steria - Les Français et la cybersécurité.pdf
Ipsos x Sopra Steria - Les Français et la cybersécurité.pdf
 
La perception du risque cyber par les dirigeants d’entreprises
La perception du risque cyber par les dirigeants d’entreprisesLa perception du risque cyber par les dirigeants d’entreprises
La perception du risque cyber par les dirigeants d’entreprises
 
Trois principes pour améliorer la sécurité
Trois principes pour améliorer la sécuritéTrois principes pour améliorer la sécurité
Trois principes pour améliorer la sécurité
 
Conférence BNI, GR Assurances, Generali Protection numérique
Conférence BNI, GR Assurances, Generali Protection numériqueConférence BNI, GR Assurances, Generali Protection numérique
Conférence BNI, GR Assurances, Generali Protection numérique
 
Introduction Mobile Gov
Introduction Mobile GovIntroduction Mobile Gov
Introduction Mobile Gov
 
Manifeste ResistanceCYBER 18.05.17
Manifeste ResistanceCYBER 18.05.17Manifeste ResistanceCYBER 18.05.17
Manifeste ResistanceCYBER 18.05.17
 
Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1
 
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlog
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlogReveelium, solution innovante pour analyser les cyber menaces @ITrustBlog
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlog
 
Communiqué de Presse - Résultats de l'étude BSA / IDC sur le piratage régiona...
Communiqué de Presse - Résultats de l'étude BSA / IDC sur le piratage régiona...Communiqué de Presse - Résultats de l'étude BSA / IDC sur le piratage régiona...
Communiqué de Presse - Résultats de l'étude BSA / IDC sur le piratage régiona...
 
Pwc barometre-cybersecurite-septembre-2018
Pwc barometre-cybersecurite-septembre-2018Pwc barometre-cybersecurite-septembre-2018
Pwc barometre-cybersecurite-septembre-2018
 

Gestion de la sécurité des données en France - étude 2016

  • 1. L’évolution des menaces et de la gestion de la sécurité des données en France RAPPORT FRANCE: Il est essentiel de renforcer la sécurité pour faire face à la multiplication d’attaques toujours plus diversifiées et répondre aux nouvelles réglementations européennes de protection des données personnelles. Une étude menée par IDG Connect pour Proofpoint 01 Résumé graphique 02 Introduction 03 Violations courantes de sécurité 04 Principales inquiétudes en matière de sécurité 05 Niveau de préparation aux directives NIS et GDPR 06 La meilleure plate-forme de sécurité 07 Espace de déploiement sécurisé 08 Les responsabilités du personnel 09 Les défis de la sécurité des données 10 Priorité en matière de protection des données 11 Conclusion
  • 2. RAPPORT FRANCE: L’évolution des menaces et de la gestion de la sécurité des données en France 1 | UneétudemenéeparIDGConnectpourProofpoint Violations couramment détectées Un quart des entreprises françaises ont subi au moins cinq incidents d’accès interne non autorisé à des données, applications ou appareils au cours des deux dernières années. Qui gère la sécurité dans les entreprises ? La responsabilité de la sécurité des données est souvent confiée au directeur informatique plutôt qu’à un responsable de la sécurité des systèmes d’information (RSSI) dédié ou à un agent interne de protection des données. Une telle approche peut entraîner la non-conformité aux nouvelles réglementations européennes en matière de protection des données. Probabilité de dégâts suite à une attaque APT Si l’on en juge par les réponses reçues, les entreprises françaises estiment qu’il n’y a aucun risque de subir un préjudice par suite d’une attaque APT au cours des douze prochains mois. Pour 30 % d’entre elles, cette probabilité se situe entre 26 et 50 %. 01: Résumé graphique Résumé de l’étude 24 % Accès internes non autorisés à des données, applications ou appareils 18 % Logiciels malveillants « jour zéro » 18 % Attaques par hameçonnage 14 % Attaques ciblées 12 % Appareil perdu ou volé 8 % Fuite de données 8 % Rançongiciels (ransomware) 6 % Vol d’identifiants 39 % 1 – 25% chance 30 % 26 – 50% chance 30 % More than a 50% chance 0 % No chance 51 % Responsable informatique 41 % Directeur des systèmes d’information (DSI) 39 % Directeur de la technologie (DT) 37 % Responsable de la sécurité des systèmes d’information (RSSI) 24 % Agent interne de protection des données 8 % Agent externe de protection des données / consultant RETOUR AU SOMMAIRE
  • 3. RAPPORT FRANCE: L’évolution des menaces et de la gestion de la sécurité des données en France Si de nouveaux types de menace apparaissent, d’autres se transforment et deviennent méconnaissables et indétectables par les défenses en place. Dans le même temps, les services informatiques et les dirigeants d’entreprise doivent répondre à des demandes toujours plus poussées en matière de protection des données : de la part des clients, des partenaires commerciaux, des organismes sectoriels et des régulateurs nationaux, européens et internationaux. La version révisée de la réglementation générale de protection des données GDPR (General Data Protection Regulation) de la Commission européenne, par exemple, entrera en vigueur en 2017. Cette nouvelle réglementation viendra imposer aux entreprises de nouvelles obligations sur de nombreux points : collecte, conservation et traitement des données ; mesures de sécurité physique et numérique ; documentation et reporting ; élimination/destruction sécurisées des données ; évaluation des risques et conformité ; réaction en cas de violation ou d’intrusion. Pour satisfaire aux exigences de la GDPR et tenir tête au piratage, les entreprises européennes doivent être en mesure d’identifier les attaques qui présentent le potentiel de réussite le plus élevé, d’évaluer l’importance des données et des systèmes qui seraient affectés, et se préparer aux conséquences de violations qui surviendront inévitablement. Il faudra pour cela prendre des décisions difficiles quant aux infrastructures, aux processus et aux méthodes de gestion en place pour la protection des données. Il faudra également être constamment à l’affût des nouvelles stratégies, technologies et méthodologies, surtout quand elles rendent caducs les systèmes de défense classiques. Cette transformation est pour une grande part déjà en cours. Selon les prévisions du cabinet d’études IDC, d’ici 2017, 75 % des grandes entreprises recevront des informations sur les menaces client adaptées à leur métier et spécifiques à la société, à la marque et à l’environnement. Par ailleurs, d’ici 2018, 15 % de la sécurité sera assurée sous forme de solution dans le cloud ou de plate-forme SaaS. IDG Connect a interrogé une cinquantaine de décideurs informatiques en poste dans de grandes entreprises françaises. Il s’agissait de comprendre de quelle façon sont gérées les obligations de sécurité des données. Il s’agissait aussi d’évaluer la solidité des défenses, des politiques et des processus existants, en prévision des défis qui s’annoncent. Plus de la moitié (59 %) des personnes interrogées travaillent au sein d’entreprises de 5 000 salariés et plus, et 18 % dans des entreprises de plus de 20 000 salariés. Ces personnes interviennent dans des verticales très diversifiées, notamment les secteurs manufacturiers (18 %), techniques (16 %) et financiers (14 %). La plupart (70 %) des personnes interrogées occupent un poste de responsable informatique, contre 26 % de cadres dirigeants, notamment directeurs des systèmes d’information (DSI), directeur de la technologie (DT), responsable de la sécurité des systèmes d’information (RSSI), PDG et vice-président. 02: Introduction En matière de sécurité des données, la situation change constamment. Aucune entreprise ne peut se permettre l’immobilisme face au risque que des informations sensibles de nature commerciale tombent dans de mauvaises mains. RETOUR AU SOMMAIRE
  • 4. RAPPORT FRANCE: L’évolution des menaces et de la gestion de la sécurité des données en France 3 | UneétudemenéeparIDGConnectpourProofpoint Les rançongiciels, qui pénètrent dans les systèmes par le biais de fichiers téléchargés ou de failles dans le réseau, sont fréquemment propagés par des chevaux de Troie tels que CTB-Locker, CryptoLocker/Cryptowall et TorrentLocker. Ils peuvent donc être confondus avec d’autres types d’attaque. Le vol d’identifiants, où des pirates usurpent des informations client pour accéder à des comptes bancaires en ligne ou aux systèmes internes d’entreprises, est lui aussi souvent mal identifié et classé dans la catégorie des logiciels malveillants ou des attaques ciblées. Les attaques ciblées semblent représenter un problème de moindre envergure pour les entreprises de plus de 10 000 salariés, que ce soit en France, en Allemagne ou au Royaume- Uni : 51 % d’entre elles ne déclarent aucune attaque de ce type, contre 31 % des entreprises de taille inférieure. Les fuites de données sont plus répandues parmi les entreprises de plus de 5 000 salariés. Cet état de fait peut être attribué au nombre même des employés, qui induit un plus grand risque de pertes de matériel et de négligence concernant les données sensibles et les identifiants. Les logiciels malveillants « Jour zéro », les hameçonnages (phishing) et les attaques ciblées sont aussi des problèmes récurrents. En revanche, et comme ailleurs en Europe, les deux types d’attaques les moins susceptibles de frapper des entreprises françaises sont le vol d’identifiants et les « rançongiciels » (ransomware). Une part beaucoup plus réduite (55 % dans les deux cas) des réponses signalent une absence d’incident au cours des deux années écoulées. En effet, 8 % des entreprises interrogées indiquent plus de 7 attaques par rançongiciel, tandis que 6 % ont subi plus de 7 cas de vol d’identifiants. Ces chiffres semblent indiquer une sensibilisation particulière des sociétés françaises à ce type de vulnérabilité. Selon d’autres études provenant des États-Unis, en revanche, l’hameçonnage serait le type d’attaque le plus courant dans ce pays. Dans l’édition 2015 de son Rapport sur les violations de données (DIBR, Data Breach Investigations Report), l’opérateur télécom américain Verizon note une augmentation constante du volume des attaques par hameçonnage, mais aussi de leur efficacité : de plus en plus d’utilisateurs se laissent convaincre d’ouvrir des messages ou des pièces jointes infectés. Une autre analyse, réalisée par Proofpoint, indique une multiplication par 17 du nombre de messages avec pièces jointes malveillantes entre octobre 2014 et mars 2015. À l’inverse, les attaques sur le Web ont diminué sur la même période. 03: Violations courantes de sécurité Types d’attaques subies au moins cinq fois au cours des deux dernières années ACCÈS INTERNES NON AUTORISÉS À DES DONNÉES, APPLICATIONS OU APPAREILS 24 % ATTAQUES CIBLÉES 14 % RANÇONGICIELS (RANSOMWARE) 8 % LOGICIELS MALVEILLANTS « JOUR ZÉRO » 18 % APPAREIL PERDU OU VOLÉ 12 % VOL D’IDENTIFIANTS 6 % ATTAQUES PAR HAMEÇONNAGE 18 % FUITE DE DONNÉES 8 % Les entreprises françaises sont particulièrement sujettes à un volume élevé de violations en raison d’accès internes non autorisés à des données, applications ou appareils. Dans presque un quart des cas (24 %), les entreprises ont subi cinq incidents ou plus au cours des deux dernières années. RETOUR AU SOMMAIRE
  • 5. RAPPORT FRANCE: L’évolution des menaces et de la gestion de la sécurité des données en France 4 | UneétudemenéeparIDGConnectpourProofpoint par les autorités réglementaires nationales et transnationales, et/ou que les politiques de signalement en interne des violations signifient que les autorités réglementaires ne seront pas forcément informées des violations. Ce n’est pourtant pas faute de diligence de la part de la Commission nationale de l’informatique et des libertés. En 2014, la CNIL imposait en effet une amende de 150 000 € à Google, dont la politique de confidentialité, selon elle, n’informait pas suffisamment les utilisateurs sur les processus de collecte et d’utilisation de leurs données personnelles. La même année, la CNIL adressait un avertissement au groupe Orange à la suite d’une fuite de données ayant affecté quelque 1,3 million de clients. Au total, pour 2014, la CNIL a sanctionné financièrement huit sociétés et émis sept avertissements. Si l’amende maximale imposée par la CNIL à ce jour ne s’élève qu’à 150 000 euros, les violations de données pourraient très bientôt être sanctionnées beaucoup plus sévèrement : la réglementation GDPR actuellement en cours d’élaboration prévoit pour ce type d’incident une amende maximale équivalant à 5 % du chiffre d’affaires annuel de l’entreprise. Les conséquences d’une violation de données grave peuvent se faire sentir à plusieurs niveaux. Néanmoins, il apparaît nettement que les entreprises françaises craignent par-dessus tout trois facteurs, dont la combinaison pourrait sérieusement nuire à la fidélité de leur clientèle, à leur chiffre d’affaires et, par conséquent, à leurs résultats financiers. La baisse de la confiance et de la fidélité des clients représente la plus grande inquiétude pour un peu plus d’un tiers des entreprises interrogées (37 %), suivie du préjudice pour la marque et la réputation (35 %), puis de la perte de contrats et de chiffre d’affaires (31 %). Si le coût du « nettoyage » après un incident de sécurité (en termes d’heures de travail et de ressources mobilisées) ne se place jamais en tête de la liste des inquiétudes, il reste considéré comme un problème majeur par 53 % des entreprises interrogées. Le renforcement des obligations réglementaires à satisfaire, le risque d’amende et les frais juridiques encourus, en revanche, semblent être moins préoccupants. Ce dernier point dénote que les entreprises françaises ne se sentent pas concernées par les pénalités financières actuellement susceptibles d’être imposées 04: Principales inquiétudes en matière de sécurité Conséquences des violations de données graves suscitant le plus d’inquiétude BAISSE DE LA CONFIANCE ET DE LA FIDÉLITÉ DES CLIENTS 37 % COÛT DES MESURES RÉACTIVES 12 % FRAIS JURIDIQUES 8 % PRÉJUDICE POUR LA MARQUE ET LA RÉPUTATION 35 % OBLIGATIONS RÉGLEMENTAIRES SUPPLÉMENTAIRES 12 % PERTE DE CONTRATS ET DE CHIFFRE D’AFFAIRES 31 % AMENDES 12 % RETOUR AU SOMMAIRE
  • 6. RAPPORT FRANCE: L’évolution des menaces et de la gestion de la sécurité des données en France 5 | UneétudemenéeparIDGConnectpourProofpoint Elle oblige également les « opérateurs d’infrastructures critiques » ou d’« infrastructures nationales critiques » (ce qui inclut les marchés de l’énergie et du transport autant que le secteur public) à mettre en place les mesures appropriées pour gérer les risques de sécurité et signaler les incidents graves aux autorités nationales compétentes. Le projet initial proposait d’étendre ces obligations à tous les « fournisseurs clés de services de la société de l’information », donc aussi aux plates- formes de commerce en ligne, aux réseaux sociaux, etc. Cette idée a cependant été mise de côté à la suite de nombreuses objections sectorielles. Le parlement européen lui-même a jugé ces contraintes « disproportionnées et ingérables », préférant encourager ces entreprises à signaler volontairement les incidents. La mise en conformité avec la directive de « cybersécurité » NIS et la réglementation GDPR devrait devenir obligatoire pour les entreprises françaises et européennes courant 2017. Parmi les personnes interrogées par IDG Connect, pourtant, beaucoup expriment des doutes quant à la capacité de leur entreprise, aujourd’hui et demain, à satisfaire les obligations NIS/GDPR : la confiance dans cette préparation est de 59 % en 2015 puis 64 % en 2016 pour la NIS, et de 58 % en 2015 puis 66 % en 2016 pour la GDPR. Même si ces chiffres ne sont que légèrement inférieurs aux résultats obtenus au Royaume-Uni, ils indiquent un manque de confiance spécifiques aux entreprises françaises. La GDPR et autres directives européennes concernant la protection des données entreront en vigueur au cours des deux prochaines années. Qu’il s’agisse des politiques de sécurité, des procédures de signalement ou des dispositions d’audit, les entreprises domiciliées ou implantées en Europe devront probablement transformer en profondeur leurs pratiques pour satisfaire à ce nouveau cadre législatif. La législation GDPR vise à appliquer une seule et unique réglementation de protection des données dans tous les États de l’Union, pour mettre fin aux incohérences actuelles en termes d’application de la loi. Elle s’appliquera également aux entreprises opérant en Europe, même si les données traitées sont stockées ailleurs. En outre, la définition des données personnelles sera élargie pour inclure les adresses e-mail, les adresses IP et les publications sur les réseaux sociaux. La directive de « cybersécurité » NIS (Network Information and Security) fixe pour chaque État membre trois prescriptions fondamentales : adopter une stratégie NIS, mettre en place une autorité NIS et créer un « mécanisme de coopération » pour le partage des informations de sécurité avec les autres pays de l’Union. 05: Niveau de préparation aux directives NIS et GDPR De nombreuses entreprises ne sont pas sûres de pouvoir satisfaire aux nouvelles réglementations européennes en matière de protection des données NIS 2015 NIS 2016 GDPR 2015 GDPR 2016 RETOUR AU SOMMAIRE
  • 7. RAPPORT FRANCE: L’évolution des menaces et de la gestion de la sécurité des données en France 6 | UneétudemenéeparIDGConnectpourProofpoint En tout état de cause, cela indique que les responsables informatiques en France restent plutôt ouverts quant au type de plate-forme de sécurité qu’ils pourraient acquérir à l’avenir. Cette absence de préjugé est une bonne nouvelle pour les fournisseurs de solution de sécurité cherchant à placer leurs produits de protection contre les menaces ciblées et sophistiquées. Si nous analysons plus en détail les résultats pour l’ensemble de l’Europe, il ressort que les plus grandes entreprises (20 000 salariés et plus) sont les plus susceptibles de considérer les fournisseurs de services gérés et les solutions cloud hybrides comme les plus efficaces face à ce type de menace. Les solutions logicielles sur site sont ici moins bien notées. Selon la nature et le volume des attaques, le fait de s’en remettre exclusivement à des systèmes de sécurité maison peut exposer l’entreprise à des dégâts plus importants. L’accès à une information externe de qualité et à une vision d’ensemble des menaces au niveau mondial peut aider les entreprises à prévoir les attaques les plus probables sur la base d’une analyse des données en temps réel et des données historiques, par exemple. Les entreprises françaises manifestent une attitude très positive quant aux solutions de sécurité qu’elles jugent les plus efficaces face aux menaces ciblées et sophistiquées. Ni les services de sécurité gérés en externe, ni les plates-formes de sécurité SaaS, ni les solutions cloud hybrides ne jouissent d’une position particulièrement dominante dans leur esprit. En revanche, les solutions matérielles et logicielles dédiées sur site sont légèrement moins prisées. Ces préférences très également distribuées sont néanmoins sans surprise. Elles s’expliquent par la complexité des infrastructures informatiques actuelles dans les entreprises, ainsi que par le caractère inévitablement disparate des produits de sécurité déployés dans les centres de données, sur les réseaux et sur les ordinateurs de bureau – variant même d’un endroit à l’autre dans les entreprises réparties entre plusieurs sites connectés par réseaux locaux et étendus (LAN/WAN). 06: La meilleure plate-forme de sécurité Peu de différenciation dans les types de solution de sécurité jugés les plus efficaces ÉQUIPEMENT MATÉRIEL ET LOGICIEL DE SÉCURITÉ GÉRÉS PAR LE FOURNISSEUR DE SERVICE 22 % ÉQUIPEMENT MATÉRIEL DE SÉCURITÉ SUR SITE 19 % SERVICE DE SÉCURITÉ CLOUD / SAAS 21 % ÉQUIPEMENT LOGICIEL DE SÉCURITÉ SUR SITE 18 % SERVICE DE SÉCURITÉ CLOUD HYBRIDE 20 % RETOUR AU SOMMAIRE
  • 8. RAPPORT FRANCE: L’évolution des menaces et de la gestion de la sécurité des données en France 7 | UneétudemenéeparIDGConnectpourProofpoint Il en va de même du risque de fuite de données sur l’Internet public. Du fait de la grande diversité des systèmes de sécurité déployés, il peut également y avoir une certaine équivoque quant à identifier ce qui se situe à l’intérieur de l’architecture locale et ce qui se situe en dehors. Par exemple, même si seulement 61 % des entreprises interrogées en France considèrent les passerelles Web et e-mail comme un espace de déploiement efficace (voire le plus efficace) pour une solution de protection, il faut garder à l’esprit que de telles passerelles peuvent être déployées aussi bien comme outil dédié sur site que comme partie intégrante d’une solution de sécurité plus complète sur le cloud. À 53 %, la proportion des entreprises françaises considérant le terminal comme un espace de déploiement très efficace reste relativement faible. Ce résultat peut cependant s’expliquer en partie par la répartition des personnes interrogées pour cette étude en France, à savoir 74 % de responsables informatiques. En effet, c’est à eux qu’incombera généralement le déploiement, la configuration et la maintenance des solutions de sécurité sur l’ensemble du parc d’ordinateurs de bureau, de portables, de tablettes et de smartphones. La protection au niveau du terminal représente donc pour cette catégorie spécifique une charge de travail beaucoup plus importante que si l’entreprise opte pour des approches plus centralisées. En ce qui concerne l’espace au sein d’une infrastructure informatique le plus indiqué pour déployer une technologie de protection, les avis sont partagés. Pour environ deux tiers des entreprises interrogées en France, le réseau et le cloud représentent une option efficace à très efficace. Si une part comparable (66 %) en France considère le pare-feu comme un centre névralgique efficace, cette proportion est beaucoup moins importante qu’en Allemagne (90 %) ou qu’au Royaume-Uni (88 %). Le fait que tant d’entreprises accordent une telle importance au réseau et au pare-feu indique que la plupart d’entre elles penchent pour une approche périmétrique de la sécurité, visant à empêcher que les attaques de l’extérieur n’atteignent les systèmes internes de l’entreprise. Il faut pourtant opposer à cette approche l’augmentation des incidents impliquant des logiciels malveillants de type menace persistante avancée ou APT (Advanced Persistent Threat), par lesquels les intrus échappent durablement à la détection après avoir gagné l’accès à des systèmes vulnérables. Il est aussi à craindre que les entreprises ne se préoccupent pas suffisamment des logiciels malveillants provenant de leurs propres systèmes ou y résidant, et qui se propagent ensuite plus largement par le biais du réseau local ou étendu. 07: Espace de déploiement sécurisé La préférence pour le pare-feu et le réseau suggère une priorité accordée à la sécurité périmétrique RÉSEAU 68 % PASSERELLE (WEB, E-MAIL, ETC.) 61 % CLOUD 68 % TERMINAL 53 % PARE-FEU 66 % RETOUR AU SOMMAIRE
  • 9. RAPPORT FRANCE: L’évolution des menaces et de la gestion de la sécurité des données en France 8 | UneétudemenéeparIDGConnectpourProofpoint Pour autant, aucune ne se voit à l’abri. Les entreprises françaises semblent se ranger parmi les plus inquiètes : un tiers d’entre elles évaluent à plus d’une chance sur deux (soit 50 % et plus) la probabilité de subir une attaque persistante avancée dans les douze prochains mois ; aucune ne croit à un risque nul. En revanche, une grande partie des entreprises interrogées (39 %) évaluent à moins une chance sur quatre la probabilité de subir une attaque APT. Ce chiffre indique soit une plus grande confiance que les systèmes en place peuvent détecter et bloquer ce type d’attaque, soit une certaine naïveté quant au risque d’en être victime. Plus l’entreprise est grande, plus la crainte d’une attaque est forte. Parmi les personnes interrogées par IDG Connect occupant un poste dans une entreprise de plus de 10 000 salariés en France, en Allemagne ou au Royaume-Uni, aucune n’a déclaré ne voir absolument aucune probabilité d’attaque APT dans l’année à venir. De fait, 37 % d’entre elles évaluent cette probabilité à 50/50. Dans les entreprises françaises, c’est également aux responsables informatiques que l’on confiera dans la plupart des cas (51 %) la gestion de la sécurité des données, contre 41 % aux DSI, 39 % aux DT et 37 % aux RSSI. Cette tendance peut indiquer une approche plus pragmatique de la sécurité et de sa gestion au sein des entreprises françaises, aussi bien que des problèmes de recrutement : en effet, 16 % des entreprises interrogées en France déclarent que le recrutement constitue la plus grande difficulté du point de vue de la sécurisation des données. En France comme ailleurs en Europe, les entreprises sont encore peu nombreuses (24 %) à déléguer ces questions à des agents de sécurité des données internes. Elles devront cependant revoir cette stratégie si la GDPR oblige effectivement, comme il est prévu, les entreprises de plus de 250 salariés à nommer un agent de protection des données interne ou externe. Le degré de confiance des entreprises européennes dans leurs défenses face à d’éventuelles attaques est variable. 08: Les responsabilités du personnel C’est aux responsables informatiques qu’incombera le plus souvent de gérer la sécurité des données RESPONSABLE INFORMATIQUE 51 % RESPONSABLE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION (RSSI) 37 % DIRECTEUR DES SYSTÈMES D’INFORMATION (DSI) 41 % AGENT INTERNE DE PROTECTION DES DONNÉES 24 % DIRECTEUR DE LA TECHNOLOGIE (DT) 39 % AGENT EXTERNE DE PROTECTION DES DONNÉES / CONSULTANT 8 % RETOUR AU SOMMAIRE
  • 10. RAPPORT FRANCE: L’évolution des menaces et de la gestion de la sécurité des données en France 9 | UneétudemenéeparIDGConnectpourProofpoint Si l’on en croit ces résultats, il semble que les entreprises françaises se préoccupent un peu moins d’autres aspects de la sécurisation des données, qui pourtant peuvent jouer un rôle dans la protection contre les attaques imprévisibles ou inconnues. La surveillance ressort comme le point le plus problématique des deux dernières années pour 18 % des interrogés, suivi du recrutement pour 16 % et de la documentation des processus pour 14 %. Les entreprises interrogées peuvent avoir l’impression que ces éléments sont déjà suffisamment gérés par leur structure. Il est pourtant plus probable que les points en question ne reçoivent pas l’attention qu’ils méritent. Ici encore, de nombreuses entreprises devront peut-être revoir très bientôt cette approche, ne serait-ce qu’en raison des obligations NIS et GDPR attendues en matière d’audit, de reporting et de désignation d’un agent de protection des données. Les aspects de la gestion des menaces considérés comme les plus épineux sur les deux dernières années devraient nous permettre de prévoir assez justement les priorités d’investissement des entreprises françaises dans un avenir proche. Pour près d’un tiers (29 %) des entreprises interrogées en France, la détection des attaques, la coordination d’une réponse rapide et le rétablissement des systèmes représentent les aspects les moins évidents de la protection des données, ce qui suggère une gestion difficile de la reprise après une attaque. La prévention, c’est-à-dire la mise en place de plates-formes et de processus pour enrayer ou atténuer les attaques, constitue également un problème pour près d’un quart (24 %) des entreprises interrogées. Pour cette catégorie, la difficulté la plus pressante porte sur l’envergure et le volume des vulnérabilités à envisager. Ici encore, l’accent mis sur la prévention et le traitement en première ligne semble indiquer que certaines sociétés sont débordées par le volume et la sophistication des attaques que leurs systèmes actuels ne suffisent plus à repousser. 09: Les défis de la sécurité des données Le plus grand défi : détecter et empêcher les attaques avant d’avoir à y réagir immédiatement DÉTECTION / RÉACTION / RÉTABLISSEMENT 29 % RECRUTEMENT 16 % PRÉVENTION 24 % DOCUMENTATION DES PROCESSUS 14 % SURVEILLANCE 18 % RETOUR AU SOMMAIRE
  • 11. RAPPORT FRANCE: L’évolution des menaces et de la gestion de la sécurité des données en France 10 | UneétudemenéeparIDGConnectpourProofpoint 10: Priorité en matière de protection des données Une plus grande importance accordée au blocage et à la détection des menaces connues et inconnues provenant de multiples flux de données pour mieux identifier les vulnérabilités et prioriser les menaces selon la probabilité de violation. La tendance générale suggère que de nombreuses entreprises françaises consacrent plus d’efforts à lutter contre les attaques en cours qu’à prévoir celles qui pourraient survenir. Une telle vision peut aussi être fortement conditionnée par les technologies et les ressources disponibles dans chaque entreprise. L’analyse dynamique des logiciels malveillants, qui scrute les applications pendant leur exécution, peut jouer un rôle non négligeable pour combattre les menaces provenant d’accès internes non autorisés aux données, aux applications ou aux appareils, un type d’incident dont nous savons justement qu’il affecte particulièrement les entreprises françaises. Même si le volume des incidents signalés par chaque entreprise peut paraître modéré, l’incidence en est élevée : 61 % des entreprises françaises déclarent avoir subi une ou plusieurs attaques internes au cours des deux dernières années. L’accès interne illicite aux systèmes d’entreprise est une tendance générale signalée dans le rapport DBIR 2015 de Verizon, à tous les échelons : des utilisateurs finaux et employés des services financiers aux cadres et dirigeants, en passant par les développeurs. Ces violations peuvent être motivées par le gain personnel, être dues à une erreur, à un désir d’expédier plus vite des tâches de routine, etc. Au sein des entreprises françaises, la possibilité de bloquer les menaces connues et de détecter les menaces inconnues est considérée comme l’élément le plus important de la protection des données. Ici encore, cela indique une tendance générale des stratégies de gestion de la sécurité à tenter en priorité d’empêcher que des attaques extérieures n’atteignent les systèmes internes. Une importance légèrement moindre est accordée à la surveillance constante des données transitant sur les réseaux locaux ou étendus distribués, ou à l’analyse dynamique des logiciels malveillants pour une exécution préalable des fichiers téléchargés dans un environnement sécurisé. Cette approche pourra dans certains cas laisser d’autres systèmes exposés. De même, l’isolement automatique des serveurs, ordinateurs ou autres appareils infectés afin de limiter la propagation des logiciels malveillants dans les limites du pare-feu (vu comme l’aspect le moins important dans une protection efficace des données) risque lui aussi de laisser des systèmes internes dans une situation de vulnérabilité. L’accès à des analyses statistiques de données historiques afin de prévoir les attaques n’est pas non plus considéré comme crucial. Les entreprises interrogées lui reconnaissent cependant la même importance qu’aux moteurs d’informations en temps réel sur les menaces, lesquels analysent les données BLOQUER LES MENACES CONNUES 19 % ANALYSE DYNAMIQUE DES LOGICIELS MALVEILLANTS 14 % ISOLEMENT AUTOMATIQUE DES MACHINES INFECTÉES 10 % DÉTECTER LES MENACES CONNUES 17 % ACCÈS À DES INFORMATIONS EN TEMPS RÉEL SUR LES MENACES 12 % SURVEILLER LES DONNÉES SENSIBLES SUR LES RÉSEAUX DISTRIBUÉS 15 % ANALYSE STATISTIQUE DES DONNÉES HISTORIQUES AFIN DE PRÉVOIR LES ATTAQUES 12 % RETOUR AU SOMMAIRE
  • 12. RAPPORT FRANCE: L’évolution des menaces et de la gestion de la sécurité des données en France Les difficultés liées au recrutement et à la documentation des processus sont actuellement considérées comme des problèmes moins importants que la prévention et le traitement des violations de la sécurité des données. De fait, une majorité d’entreprises délèguent cette responsabilité à des postes informatiques généraux plutôt qu’à des agents spécialisés de protection des données. La situation devrait toutefois changer au cours des deux prochaines années avec la mise en œuvre annoncée de la directive européenne de « cybersécurité » NIS (Network Information and Security) et de la réglementation GDPR (General Data Protection Regulation). Ces nouveaux textes devraient fixer pour les entreprises de nouvelles obligations en matière d’audit, de rapports et, dans certains cas, de désignation d’un agent de protection des données. Naturellement, les entreprises françaises craignent par-dessus tout les conséquences susceptibles d’entamer sérieusement leur clientèle, leur chiffre d’affaires et, notamment en raison des coûts de « nettoyage », leurs résultats financiers. Les entreprises françaises se montrent actuellement moins préoccupées des sanctions financières en cas de violations de données. Ici encore, la perception est appelée à changer d’ici 2017, puisque la nouvelle législation européenne conférera aux régulateurs nationaux le pouvoir d’imposer des amendes pouvant atteindre 5 % du chiffre d’affaires mondial annuel d’une entreprise. Les entreprises françaises sont particulièrement sujettes aux violations dues à l’accès non autorisé aux données, applications ou appareils par des employés. Ce problème touche plus particulièrement les entreprises de plus de 5 000 salariés. Pourtant, la majorité des systèmes de sécurité actuels sont axés sur la protection périmétrique, c’est-à-dire empêcher que les attaques de l’extérieur ne contourne les pare-feux et autres défenses pour atteindre les systèmes internes de l’entreprise. Les risques internes d’accès non autorisé, d’usages malveillants ou de fuites de données ne sont, à l’inverse, pas assez pris en compte. Le blocage et la détection des menaces sont également considérés comme plus importants que la surveillance des réseaux locaux et étendus. La détection du trafic suspect, l’analyse dynamique des logiciels malveillants ou encore les informations en temps réel et historique sur les menaces sont pourtant des outils essentiels pour prévoir les attaques. 11: Conclusion Cette étude nous donne une idée claire des menaces pour la sécurité de leurs données que les entreprises françaises doivent actuellement gérer. Elle indique également des pistes d’optimisation des systèmes, processus et méthodes de gestion actuellement en place. Pour améliorer les systèmes et la gestion actuels de protection des données, la meilleure approche consiste à évaluer les défenses et pratiques en place en tenant compte de toutes les options disponibles avant d’adopter une plate-forme technologique. Les entreprises françaises semblent manifester une ouverture d’esprit favorable quant aux mises à niveau et aux investissements à prévoir. Les services de sécurité gérés en externe, les plates- formes SaaS et les solutions cloud hybrides sont considérées comme offrant un degré comparable de protection face aux attaques ciblés et sophistiquées. Ces options ne se classent que légèrement au-dessus des solutions logicielles et matérielles sur site. C’est donc les considérations de coûts supplémentaires, de maintenance et d’assistance qui devraient en définitive emporter le choix des entreprises françaises. RETOUR AU SOMMAIRE
  • 13. Nous contacter Proofpoint 54-56 avenue Hoche 75008 Paris France Tel +33 1 56 60 54 51 Une étude menée par IDG Connect pour Proofpoint