Résultats exclusifs de l'enquête 2013

Transcription

1 Résultats exclusifs de l'enquête 2013 Sécurité informatique. Combattre la menace silencieuse. Rapport mondial sur les comportements et les opinions des entreprises en matière de sécurité informatique. Avec Kaspersky, maintenant, c'est possible. kaspersky.fr/business Be Ready for What s Next

2 Table des matières À propos de l'enquête 3 Résumé analytique 4 1 Sécurité informatique : vos préoccupations sont-elles les bonnes? 5 2 Gérer la folie de la technologie mobile 9 3 BYOD : le vent est-il en train de tourner? 11 4 Mise en perspective : le défi de gestion 13 5 Évaluer le coût des atteintes à la sécurité informatique 15 6 Recommandations : il est temps de passer à la vitesse supérieure 17 Avec Kaspersky, maintenant, c'est possible 18 2

3 À propos de l'enquête i Pourquoi lire ce rapport? Pour avoir une vision globale de la sécurité informatique dans les entreprises à l'heure actuelle Pour savoir ce que les autres entreprises pensent, prévoient et font Pour avoir un élément de comparaison entre entreprises homologues Pour bénéficier de l'analyse pointue des experts de Kaspersky Lab L'enquête de Kaspersky Lab sur les risques informatiques mondiaux, confiée au cabinet d'études et de conseil B2B International, en est à sa troisième année. Elle s'adresse aux professionnels de l'informatique du monde entier, désireux d'avoir un éclairage sur leurs comportements, opinions et convictions en matière de sécurité informatique, et sur l'impact que cela a sur leur entreprise. Nous espérons ainsi établir une référence mondiale pour le secteur afin de permettre aux entreprises de tous types et de toutes tailles d'avoir une vision plus large de la sécurité informatique. 3

4 Introduction Le coût moyen d'une atteinte à la sécurité informatique est de dollars pour une PME et de dollars pour une grande entreprise L'enquête en quelques mots : entretiens 24 pays Toutes les personnes interrogées sont des professionnels de l'informatique en poste dans des entreprises de plus de 100 postes Toutes les personnes interrogées ont une bonne connaissance pratique des problèmes de sécurité informatique Cette année, l'enquête sur les risques informatiques mondiaux comprend deux nouveautés. Tout d'abord, nous avons segmenté les données entre PME (de 10 à postes) et grandes entreprises (plus de postes). Si les résultats sont en grande partie homogènes, il existe cependant des points de divergence intéressants, qui seront détaillés dans ce rapport. Le point qui attire particulièrement l'attention est le manque inquiétant de connaissance et de compréhension de la sécurité informatique dans les petites entreprises. La seconde nouveauté est d'avoir demandé aux entreprises d'estimer les dommages financiers liés à une atteinte à la sécurité informatique. Ce point est développé au chapitre 5. Le coût moyen est de dollars pour les PME et de dollars pour les grandes entreprises. Ces chiffres montrent en substance que les atteintes à la sécurité informatique font proportionnellement bien plus de tort aux PME qu'aux grandes entreprises. Le reste de l'enquête traite des mêmes sujets que ceux abordés les années précédentes. Il est toujours intéressant d'observer les changements d'une année sur l'autre ; et cette année, l'enquête réserve quelques résultats surprenants et à première vue contradictoires. D'une part, les deux principales préoccupations pour les professionnels de l'informatique sont une fois encore «la prévention des atteintes à la sécurité informatique» (34 % contre 30 % l'année dernière) et «la protection des données» (28 % contre 26 % l'année dernière). D'autre part, la grande majorité des sondés ont sous-estimé la quantité de programmes malveillants, et le nombre de personnes percevant une augmentation des cyberattaques a baissé de 6 %. Mais l'heure est-elle vraiment à l'optimisme? Comme le suggère notre analyse, les choses ne sont pas aussi simples. Il faut reconnaître globalement que les entreprises investissent dans de nouveaux outils de protection et prennent de plus en plus la mesure de l'importance de la sécurité informatique, ce qui est tout à leur crédit. Mais le problème est que les failles de sécurité sont aujourd'hui bien moins perceptibles qu'elles ne l'étaient auparavant. Les programmes malveillants ont causé des problèmes informatiques évidents qui ont été identifiés et corrigés. Mais ces programmes malveillants sont aujourd'hui bien plus sophistiqués. L'époque où la chambre d'adolescent était le Q.G. du piratage informatique est révolue. Les cybercriminels sont aujourd'hui des professionnels qui ciblent les entreprises dans le but de voler des données précieuses, soit pour en tirer un gain financier direct (en accédant par exemple à des comptes bancaires), soit pour les vendre sur le marché très ouvert des renseignements personnels. Ceci est confirmé par l'une des statistiques les plus inquiétantes révélées dans le rapport : 35 % des entreprises interrogées ont perdu des données professionnelles suite à des attaques informatiques externes. Cette année encore, le nombre d'entreprises considérant la technologie mobile comme un défi majeur de sécurité informatique augmente. Nous avons également questionné les entreprises sur leur approche du BYOD (l'utilisation d'appareils personnels à des fins professionnelles), une autre tendance bien connue au sein des entreprises ; et il se trouve que les professionnels de l'informatique la considèrent de plus en plus comme un risque sécuritaire. Les menaces informatiques sont donc désormais plus sournoises et plus redoutables. Et tout indique que les cybercriminels visent en premier lieu les cibles les plus faciles à atteindre, autrement dit les plus petites entreprises qui ne bénéficient pas des outils professionnels de sécurité informatique et des compétences nécessaires pour se défendre efficacement et en temps réel. Certes, partout dans le monde, les entreprises ont fait des progrès en matière de sécurité informatique. Mais pour Kaspersky Lab, les mentalités doivent impérativement évoluer. 4

5 Sécurité informatique : vos préoccupations sont-elles les bonnes? 1 L'explosion des programmes malveillants mobiles Le nombre d'échantillons en 2012 était six fois supérieur à celui de 2011, lui-même égal au total des six années précédentes. Les résultats ont apporté cette année leur lot de contradictions, ce qui montre que sur le marché de la sécurité informatique en rapide évolution et confronté à des attaques complexes, les entreprises ne savent pas vraiment sur quoi concentrer leurs efforts et leurs investissements. Aussi, les entreprises sondées ont l'impression que le nombre de cyberattaques diminue, alors qu'il n'en est rien. Seuls 46 % des décideurs informatiques interrogés pensent que le nombre d'attaques augmente. D'après les données recueillies par Kaspersky Lab, le nombre de programmes malveillants continue d'augmenter, avec échantillons uniques actuellement répertoriés chaque jour. Les programmes malveillants mobiles continuent eux aussi d'augmenter, à un taux exponentiel. Le nombre de menaces mobiles identifiées par Kaspersky Lab en 2012 était six fois supérieur à celui de 2011, lui-même égal au volume total détecté entre 2004 et En mars 2013, plus de nouvelles modifications de programmes malveillants ont été répertoriées. Perceptions du nombre de cybermenaces Le pourcentage de personnes estimant que le nombre d'attaques ciblant leur entreprise augmente a chuté au cours des 12 derniers mois. Le nombre de menaces étant en réalité actuellement en hausse, il faut peut-être y voir un excès d'optimisme de la part des entreprises. Nombre de cyberattaques visant l'entreprise (12 derniers mois) En baisse Stable En hausse Évolution nette des menaces 2013 : +35 % 2012 : +43 % 2011 : +42 % 5

6 On peut en tirer plusieurs conclusions. Soit les entreprises sont davantage prêtes à faire face aux menaces et ont donc l'impression que la situation s'améliore (ou du moins n'empire pas). Soit elles ne considèrent tout simplement pas la sécurité informatique comme une préoccupation majeure. (Contrairement à ce que l'enquête révèle par ailleurs). Soit, problème plus fondamental encore, le nombre de programmes malveillants importe finalement peu. La très grande majorité des entreprises (90 %) ont considérablement sousestimé le nombre réel de programmes malveillants. Cette erreur de perception est encore plus flagrante dans les petites entreprises. Les grandes entreprises estiment le nombre à par jour, tandis que les petites entreprises sont encore plus loin du compte avec une estimation de par jour. Les petites comme les grandes entreprises ont donc sous-estimé ce chiffre, dans une proportion de plus de 60 %. David Emm, Senior Researcher au sein de Kaspersky Lab, explique : «Le problème est malheureusement loin d'être simple. Le nombre de programmes malveillants peut être perçu comme un sujet de préoccupation, mais ce qui doit encore plus nous inquiéter, c'est la sophistication des menaces auxquelles sont aujourd'hui confrontées les entreprises.» Comme indiqué dans le résumé d'introduction, il s'agit là d'un des exemples où la différence de compréhension et de connaissance entre les PME et les grandes entreprises est tout à fait perceptible. Les PME ont rarement en poste des spécialistes en sécurité informatique, et ont donc plus que jamais besoin d'une formation et d'un soutien dans ce secteur, surtout en sachant que la sécurité informatique et la protection de données arrivent une fois de plus en tête des préoccupations des professionnels de l'informatique. La sécurité informatique est donc importante pour les PME, mais ces dernières n'ont pas les ressources et le niveau de compréhension suffisants pour s'attaquer au problème. 6

7 «Les entreprises n'ont pas compris que les programmes malveillants avaient évolué. Les cybercriminels utilisent des logiciels malveillants sophistiqués pour cibler directement des entreprises et leur voler des données sensibles. Cette relation est importante, car lutter contre l'une des composantes permet d'empêcher l'autre.» David Emm Senior Researcher, Kaspersky Lab. Virus, vers, logiciels espions et autres programmes malveillants Quelle est la véritable menace? Chaque année, nous demandons aux décideurs informatiques quelles menaces ils rencontrent et quelles sont leurs préoccupations en matière de sécurité informatique. Alors que 91 % (comme l'année dernière) ont rencontré au moins une menace et que la plupart (66 %, contre 55 % auparavant) ont été confrontés à des virus, des logiciels espions et autres programmes malveillants, les entreprises ne font pas encore systématiquement le rapport entre programme malveillant et perte de données. Menaces externes rencontrées 91 % des entreprises ont subi au moins une menace au cours des 12 derniers mois. Les logiciels malveillants restent la menace la plus courante (et celle qui se développe le plus). Le vol d'appareils mobiles reste un problème fréquent : une entreprise sur cinq indique avoir été victime d'un vol au cours des 12 derniers mois. % des entreprises confrontées à une menace de sécurité Courriers indésirables Attaques par phishing Intrusion dans les réseaux/piratage Vol de périphériques mobiles (smartphones/ tablettes) Attaques par déni de service (DoS) ou déni de service distribué (DDoS) Vol de gros matériel (PC, ordinateurs portables, etc.) Espionnage industriel (impliquant des personnes et non des systèmes informatiques) Attaques ciblées visant notre entreprise ou marque Préjudices d'origine criminelle (incendies inclus) Aucune Hausse significative d'une année sur l'autre 7

8 Les entreprises craignent davantage la perte de données client, qui aurait un impact évident sur leur réputation et mettrait en péril leurs activités. Cela se vérifie sur l'ensemble des réponses, quelles que soient la taille de l'entreprise et la zone géographique. David Emm, Senior Researcher au sein de Kaspersky Lab, explique : «Les entreprises n'ont pas clairement saisi à quel point les programmes malveillants ont évolué. Les groupes de cybercriminels utilisent des programmes malveillants sophistiqués pour cibler des entreprises en particulier et leur voler des données sensibles. Ce lien entre programmes malveillants et perte de données est primordial, car une stratégie efficace pour lutter contre l'un permet de lutter contre l'autre.» Comprendre que les programmes malveillants sont les principaux responsables de la perte de données serait un grand pas en avant. La lutte contre les programmes malveillants serait ainsi mieux considérée sur l'échelle des priorités au sein des entreprises. Par ailleurs, concernant les préoccupations des professionnels de l'informatique, des incidents comme les «intrusions dans les réseaux» sont très bien placés dans les réponses de notre enquête. Or, quelles sont les causes de ces types d'attaques? Les programmes malveillants, développés et déployés dans le but de voler des données sensibles. Ce qui est perdu et ce que les entreprises ont peur de perdre La perte d'informations client est la première préoccupation de la plupart des entreprises et concerne actuellement 35 % des entreprises confrontées à une perte de données dans les 12 derniers mois. Perte de données subie (%) Perte de données redoutée (%) Informations client Informations sur le fonctionnement interne de l'entreprise Informations financières sur l'entreprise Propriété intellectuelle Informations commerciales/veille concurrentielle 22 9 Informations sur les paiements 10 7 Informations sur le personnel/rh 23 7 Autres 8

9 Gérer la folie de la technologie mobile 2 Seule une entreprise sur 10 affirme avoir entièrement déployé une politique mobile Cette année encore, la technologie mobile continue d'être un sujet de préoccupation pour les entreprises. On note d'ailleurs que cette préoccupation relève davantage de la perte de données sensibles (38 %) que de la perte de l'appareil en lui-même (33 %). Quoi qu'il en soit, les entreprises ont encore beaucoup de mal à définir et maintenir des politiques de sécurité informatique efficaces pour les appareils mobiles et leurs utilisateurs. Seul un sondé sur 10 affirme avoir une politique mobile entièrement déployée au sein de l'entreprise. Pour les décideurs informatiques, la technologie mobile est clairement un problème de taille à résoudre et à maîtriser. Les appareils mobiles sont par nature plus difficiles à «localiser» pour l'entreprise qu'un parc de PC ou d'ordinateurs portables. Sans compter que beaucoup d'employés possèdent plusieurs téléphones. Dans un monde régi par la consommation, où vie privée et vie professionnelle ne sont plus clairement dissociables, n'importe quelles données d'entreprise peuvent désormais se retrouver sur l'appareil personnel d'un employé. Pourtant, le pourcentage d'entreprises qui adoptent une démarche proactive et déploient des mesures préventives reste faible. Seulement 24 % des entreprises utilisent un logiciel de gestion des appareils mobiles (Mobile Device Management, MDM), et seulement 40 % utilisent une protection contre les programmes malveillants pour appareils mobiles. Politique de sécurité informatique pour les appareils mobiles À peine plus d'une entreprise sur 10 a entièrement déployé une politique de sécurité pour les appareils mobiles. Bien que la plupart des entreprises soient disposées à adopter une telle politique, près de la moitié n'en ont absolument aucune. % Global PME Grandes entreprises APAC Amérique du Nord Japon Europe élargie Tous les pays d'amérique latine CCG/Moyen-Orient Russie Non, et ce n'est pas prévu Non, mais c'est prévu Oui, mais elle n'est pas entièrement déployée Oui, et elle est entièrement déployée 9

10 Sergey Lozhkin explique : «La technologie mobile est considérée comme la dernière roue du carrosse. Les équipes informatiques bénéficient rarement des fonds et des ressources supplémentaires nécessaires, même face à la complexification de l'environnement informatique. Elles sont par conséquent obligées de faire des choix et ne peuvent déployer les outils qu'elles voudraient, car cela nécessiterait des ressources supplémentaires qu'elles n'ont pas.» Un autre problème mentionné plus haut est que pour ces «une sur 10» qui ont mis en place avec succès des politiques de sécurité mobile, rares sont celles qui ont bénéficié des ressources qu'elles estimaient nécessaires pour y parvenir. Nous leur avons demandé si elles avaient bénéficié d'une enveloppe budgétaire supérieure pour couvrir les frais supplémentaires : 16 % ont répondu par la négative, et parmi les réponses positives, 48 % ont indiqué que le complément budgétaire s'était avéré insuffisant. Néanmoins, la sécurité mobile fait son chemin et ces difficultés relèvent de plus en plus du domaine de la perception que de la réalité. Aujourd'hui, les solutions de sécurité des terminaux mobiles regroupent la gestion des appareils mobiles (MDM) et la sécurité mobile sur une même plateforme, ce qui réduit la nécessité de compétences et de ressources supplémentaires. David Emm, Senior Researcher au sein de Kaspersky Lab ajoute : «D'une certaine façon, la situation actuelle en matière de technologie mobile est comparable à celle des messageries électroniques lorsque celles-ci ont été massivement adoptées par les entreprises. À l'époque, les équipes informatiques ont dû revoir les outils de contrôle et les politiques de sécurité. Le mobile en est selon moi à ce même stade où les services informatiques vont devoir revoir leur copie.» 10

11 BYOD : le vent est-il en train de tourner? 3 Cette année, nous avons posé des questions spécifiques autour du BYOD. Ce phénomène a rapidement pris de l'ampleur ces dernières années, largement alimenté par l'explosion du marché des tablettes. La plupart des entreprises ont une politique d'utilisation des appareils personnels relativement «libérale». 32 % prônent une utilisation libre (et donc l'utilisation des réseaux et ressources de l'entreprise) sur smartphones, 29 % sur tablettes et 37 % sur ordinateurs portables. Ce dernier chiffre a chuté de plus de 10 % en un an. On remarque en toute logique que plus l'entreprise est grande, plus les restrictions sont importantes. Ce qui est plus intéressant, c'est de voir comment les entreprises envisagent l'avenir du BYOD. Dans l'ensemble, les décideurs informatiques durcissent leurs positions. L'enquête en indique clairement la raison principale : le BYOD soulève des inquiétudes au sujet de la sécurité informatique. 65 % des décideurs informatiques ont le sentiment que le BYOD est une menace pour leur entreprise. Ce phénomène est assez homogène dans l'ensemble des régions interrogées, le Japon se distinguant toutefois avec pas moins de 93 % de sondés qui affirment être inquiets quant à l'impact du BYOD sur la sécurité informatique. Par ailleurs, lorsqu'on demande aux personnes de songer à l'avenir, 48 % s'inquiètent du risque que le BYOD pourrait représenter dans les années à venir. La menace du BYOD telle qu'elle est perçue 65 % des entreprises sondées pensent que le byod représente une menace pour la sécurité de l'entreprise, les Européens étant particulièrement préoccupés par cette question. Le BYOD représente-t-il une menace pour la sécurité de votre entreprise? % concerné par région Japon 93 Amérique du Nord CCG/Moyen-Orient Europe élargie APAC Tous les pays d'amérique latine Russie Oui Non 11

12 Costin Raiu, Director Global Research & Analysis au sein de Kaspersky Lab explique : «Je pense effectivement que le sentiment autour du BYOD est en train de changer. Les services informatiques sont sur la défensive. Face à l'engouement pour les tablettes, en particulier chez les responsables, ils n'avaient pas d'autres choix que de suivre le mouvement. Mais ils voient à présent les données les plus sensibles de l'entreprise être stockées sur les appareils personnels, et prennent conscience à juste titre de la bombe à retardement qui menace la sécurité informatique.» L'avenir des politiques autour du BYOD Seule une minorité d'entreprises vont d'une manière ou d'une autre limiter l'utilisation des appareils personnels. Les résultats de 2013 indiquent cependant une position plus défensive de la part des directeurs informatiques sur la question du BYOD. % Résultat mondial (2013), n= Résultat mondial (2012), n= PME, n=2340 Grandes entreprises, n= Nous allons autoriser activement plus d'utilisateurs à apporter et utiliser leurs appareils personnels à des fins professionnelles Quoi que nous fassions, il y aura une hausse inévitable du nombre d'appareils personnels sur le lieu de travail Nous allons essayer de limiter le nombre et le type d'utilisateurs autorisés à apporter leurs appareils personnels Il sera formellement interdit aux utilisateurs d'apporter et d'utiliser leurs appareils personnels à des fins professionnelles 12

13 Mise en perspective : le défi de gestion 4 Nous venons de voir que l'attitude à l'égard du BYOD avait changé. Les données de l'enquête montrent clairement que cette évolution des mentalités est en fait le signe d'un changement plus profond, et d'un problème de «contrôle» plus large. Par exemple, à peine plus de la moitié des entreprises (54 %) ont recours à une gestion des correctifs et à une gestion des systèmes, alors même que ces deux éléments figurent parmi les défis technologiques les plus cités. Le nombre d'entreprises utilisant ces outils de gestion de base a d'ailleurs baissé de 9 % depuis la dernière enquête. En outre, un nombre inquiétant d'entreprises adopte une stratégie de sécurité informatique axée uniquement sur la protection contre les programmes malveillants ; et contrairement à ce que l'on pourrait penser, ce choix n'est pas réservé aux petites entreprises. Protection contre les programmes malveillants (antivirus, anti-espions) Gestion régulière des mises à jour de correctifs/logiciels Mise en œuvre d'un niveau d'accès aux différents systèmes informatiques à l'aide de privilèges Structures réseau (par exemple, séparation des réseaux stratégiques des autres réseaux) Contrôle des applications (seuls les programmes autorisés peuvent être exécutés sur les appareils) Politique de gestion de la sécurité informatique dans des bureaux/succursales à distance Contrôle des périphériques (seuls les périphériques autorisés peuvent se connecter aux appareils) Agent contre les programmes malveillants pour appareils mobiles Chiffrement des fichiers et des dossiers Mesures prises pour prévenir les risques liés à la sécurité La protection contre les programmes malveillants est la mesure de sécurité la plus employée et la plus courante. La gestion régulière des mises à jour de correctifs/logiciels est toujours en deuxième position. Toutefois, leur mise en œuvre a considérablement chuté depuis Il s'agit d'un grand problème que les entreprises doivent résoudre à travers le monde. Les entreprises s'adaptent à la prise en charge de la sécurité mobile pour les ordinateurs portables et de la sécurité à distance dans d'autres bureaux. 71 Comparaison % -9 % 4 % 3 % N/A 4 % N/A N/A 40 N/A Chiffrement de toutes les données stockées (chiffrement intégral de disque dur) Politique de sécurité distincte pour les ordinateurs portables Politique de sécurité distincte pour les appareils amovibles (USB, etc.) Chiffrement des communications de l'entreprise Audit/vérification de la sécurité informatique de fournisseurs tiers Gestion du cycle de vie des PC Chiffrement des données sur les appareils amovibles (USB, etc.) Politique de sécurité distincte pour les smartphones/tablettes Gestion des appareils mobiles Comparaison 2012 Ce diagramme montre le pourcentage d'organisations ayant entièrement déployé différentes mesures de sécurité Baisse significative d'une année sur l'autre Hausse significative d'une année sur l'autre N/A - nouvelles questions soulevées en % 3 % 0 % -1 % 0 % -1 % 2 % 0 % -2 % 13

14 Nous avons demandé aux sondés quelles technologies ils avaient besoin de mieux comprendre, et il est intéressant de voir que «l'ensemble des logiciels de gestion disponibles» est la deuxième réponse la plus citée avec 51 % (derrière le «cloud» qui récolte 1 % de plus). Sergey Lozhkin, Senior Technology Positioning Manager, explique : «La gestion des systèmes vous permet de savoir ce qui se passe sur votre réseau, quels appareils vos employés utilisent et quels programmes sont installés. Si vous ne savez pas quels programmes vos employés téléchargent, installent et utilisent, vous êtes en position vulnérable face aux attaques et programmes malveillants. Quand on sait que 80 % des programmes issus des sites de partage de fichiers comme Torrent sont déjà infectés par un virus, il y a de quoi être choqué!» David Emm poursuit : «La gestion des systèmes est perçue comme difficile et/ou onéreuse. Ce sentiment est particulièrement tenace au sein des PME, qui pensent que c'est une technologie réservée aux grandes entreprises. Mais elles se trompent. Les plateformes unifiées actuelles proposent des fonctions de gestion des systèmes adaptées aux PME, mais sans le coût ou la complexité généralement associés aux outils destinés aux grandes entreprises.» 14

15 Évaluer le coût des atteintes à la sécurité informatique 5 Pour la première fois depuis la création de cette enquête, nous avons voulu mesurer l'impact financier des atteintes à la sécurité informatique. C'était une tâche ardue, car les entreprises ont été critiquées par le passé pour leurs estimations alarmistes basées sur des calculs grossiers où la probabilité d'une menace était multipliée par un temps d'arrêt horaire. Cette approche ne tient pas suffisamment la route puisqu'elle ne s'appuie pas sur une moyenne valable et que le temps d'arrêt ne revêt pas la même signification selon le type d'activité. Un commerçant en ligne peut très vite mettre la clé sous la porte en cas de déni de service par exemple. Alors qu'un cabinet de services-conseils aux professionnels pourra continuer à fonctionner puisque son cycle commercial est plus long et repose également sur des relations client en face à face. 60 % des atteintes à la sécurité informatique ont entraîné une défaillance de fonctionnement de l'entreprise 53 % des entreprises ont subi une atteinte à leur réputation Les dommages financiers sont plus importants en cas d'incapacité temporaire à commercer : 1,7 m$ pour les grandes entreprises $ pour les PME En sachant cela, il convient d'expliquer la méthodologie utilisée pour calculer le coût des atteintes à la sécurité informatique. Nous avons demandé à toutes les entreprises ayant perdu des données (sensibles ou autres) de nous en dire plus sur l'impact d'un tel sinistre. Nous nous sommes intéressés uniquement aux violations de données les plus graves de ces 12 derniers mois. Nous avons posé des questions sur les différentes dépenses supplémentaires et actions préventives et correctives mises en place suite à cette infraction. Nous avons demandé aux entreprises qui le pouvaient de nous donner une estimation des dommages financiers. À l'aide de ces informations et d'une analyse plus poussée de l'impact de ces violations de données sur l'entreprise, nous avons pu estimer le coût total de différents sinistres et pour des entreprises de différentes tailles. Ces résultats sont intéressants, car ils s'appuient sur des expériences concrètes plutôt que sur des situations hypothétiques. Dans 88 % des cas, les entreprises ont sollicité des services professionnels pour résoudre le problème, en général des conseillers en sécurité informatique, mais également beaucoup d'avocats. Pour les grandes entreprises, le coût moyen s'est élevé à dollars. Les PME ont payé en moyenne dollars, ce qui représente un important poste de dépenses imprévues. 60 % des atteintes ont entraîné une défaillance de fonctionnement pour l'entreprise, et pour 53 % des entreprises, une atteinte à leur réputation. Ce coût (qui est moins précis, car il implique dans certains cas des facteurs plus abstraits) est plus élevé : dollars pour les grandes entreprises et dollars pour les PME. Mais c'est dans le cas où une atteinte à la sécurité informatique a entraîné une incapacité temporaire à commercer que les pertes financières sont les plus importantes. Ce scénario a été plus rare parmi les entreprises interrogées, mais le coût était conséquent : 1,7 million de dollars pour les grandes entreprises et dollars pour les PME. Nous nous sommes ensuite intéressés à ce que coûteraient des mesures préventives, en gardant à l'esprit que les entreprises concernées avaient subi une perte de données et devaient donc considérablement renforcer leur sécurité. 59 % d'entre elles ont investi dans du matériel ou de nouveaux logiciels, 49 % ont investi dans la formation du personnel et 38 % ont même engagé du personnel supplémentaire (principalement les grandes entreprises). 15

16 En prenant en compte les niveaux variables de probabilité de certains coûts (faible probabilité d'une incapacité à commercer par exemple), à quelles estimations arrive-t-on? Toute prudence gardée, et en se basant uniquement sur les chiffres que les entreprises interrogées peuvent facilement et rapidement mesurer, l'impact financier d'une atteinte à la sécurité informatique avoisine les dollars pour les grandes entreprises et les dollars pour les PME. David Emm, Senior Researcher au sein de Kaspersky Lab, explique : «Ces chiffres apportent un nouvel éclairage sur le coût des atteintes à la sécurité informatique. Si les entreprises étaient conscientes du coût réel en jeu, je pense qu'elles se comporteraient tout à fait différemment. Pour moi, c'est la preuve qu'une meilleure formation et sensibilisation sur les risques potentiels et une technologie efficace sont indispensables.» Par ailleurs, il ressort clairement de l'enquête que les entreprises ne se focalisent pas autant qu'elles le devraient sur la formation des utilisateurs. Beaucoup d'attaques ciblées sont dues au fait que les employés ne comprennent pas la menace, ne savent pas ce qui peut être suspect, à quoi ils doivent faire attention et en quoi leurs actions peuvent compromettre la sécurité de leur entreprise. Le coût total des opportunités commerciales perdues Le coût médian des opportunités commerciales perdues en raison d'une grave perte de données est de dollars pour les PME et de dollars pour les grandes entreprises. PME (de 100 à postes) Grandes entreprises (1 500 postes et plus) $ et plus 7,5 m$ et plus Entre et $ 9 Entre 1,5 m et 7,49 m$ 14 Entre et $ 11 Entre et 1,4 m$ 8 Entre et $ 13 Entre et $ 10 Entre et $ 10 Entre et $ 13 Entre et $ 13 Entre et $ 14 Entre et $ 9 Entre et $ 8 Entre et $ 8 Entre et $ 9 Entre et $ 7 Entre et $ 8 Entre et $ 4 Entre et $ 1 Entre 750 et $ 2 Entre $ et $ 1 Entre 0 et 749 $ 1 Entre 0 et $ 16

17 Recommandations : il est temps de passer à la vitesse supérieure 6 Il ne faut pas confondre silence et absence de menaces Un virus n'est plus simplement quelque chose qui «ralentit votre machine». Les menaces d'aujourd'hui sont sophistiquées et conçues pour passer inaperçues. Ce n'est clairement pas le moment de se démobiliser ; il faut au contraire admettre que la nature même de la sécurité informatique a fondamentalement évolué. L'heure est au contrôle de la technologie mobile et du BYOD L'engouement pour les tablettes n'est pas près de s'arrêter. Les entreprises doivent donc faire le nécessaire pour contrôler ce phénomène au niveau de la protection des données. Il s'agit notamment de définir des politiques strictes sur le BYOD, de former le personnel et de mettre en œuvre un projet de sécurisation du travail sur appareils mobiles. Car une fois mobiles, les données sont vulnérables. La protection contre les programmes malveillants ne suffit plus : vers un niveau de contrôle plus élevé L'enquête de cette année a montré que l'utilisation de la gestion des correctifs et de la gestion des systèmes avait baissé. D'autres outils comme le chiffrement des données et la gestion des appareils mobiles sont toujours assez faiblement utilisés. Étant donné que les cybercriminels utilisent des outils de plus en plus perfectionnés pour récupérer des données confidentielles, un niveau plus élevé de contrôle et de protection est indispensable. Les outils existent et peuvent venir compléter une protection contre les programmes malveillants existante. Aux entreprises de passer à la vitesse supérieure. Améliorer la gestion de la sécurité informatique grâce au principe de console unique La multiplication des problèmes comme des technologies amène donc à consolider la gestion sur une seule et même console. C'est la seule solution pour que les entreprises disposant de ressources limitées puissent espérer améliorer leur sécurité globale. Formation, formation et formation Une constante ressort de l'enquête de cette année : le manque de connaissance et d'intérêt du personnel à l'égard de la sécurité informatique. Près de 40 % des entreprises ont affirmé que dans l'ensemble, leurs employés ne respectaient pas les politiques de sécurité informatique ou ne comprenaient même pas leur utilité. Les choses doivent changer et, en tant que professionnels de la sécurité informatique, nous devons prendre nos responsabilités pour que ce changement s'opère, et rapidement. Nous devons former les employés et leur montrer en quoi leurs actions et leurs comportements peuvent compromettre leur entreprise ainsi que la protection de leurs données personnelles. C'est en leur inculquant les points essentiels qu'ils pourront avoir une influence positive et durable sur la sécurité informatique de leur entreprise. 17

18 Avec Kaspersky, maintenant, c'est possible. Classé parmi les quatre plus grands spécialistes mondiaux de la sécurité, Kaspersky Lab est l'un des fournisseurs de solutions de sécurité informatique enregistrant la croissance la plus rapide au monde. Groupe international présent dans près de 200 pays et territoires à travers le monde, nous fournissons une protection à plus de 300 millions d'utilisateurs et plus de entreprises clientes de toutes tailles, des petites et moyennes entreprises aux grandes organisations gouvernementales et commerciales. Nous proposons des solutions de sécurité intégrées et avancées qui permettent aux entreprises de contrôler de manière inégalée l'utilisation des applications, du Web et des périphériques : vous définissez les règles et nos solutions vous aident à les gérer. Kaspersky Endpoint Security for Business est spécifiquement conçue pour combattre et bloquer les menaces persistantes sophistiquées d'aujourd'hui sous toutes leurs formes. Déployée parallèlement à Kaspersky Security Center, cette solution donne aux équipes de sécurité la visibilité et le contrôle dont elles ont besoin, quelles que soient les menaces qui surgissent. Pour en savoir plus, rendez-vous sur kaspersky.fr/business À la rencontre de nos experts Les informations contenues dans ce rapport sont fournies par l'équipe Global Research and Analysis de Kaspersky Lab. David Emm David a fait ses premiers pas dans l'industrie anti-virus en 1990 et a rejoint Kaspersky Lab en 2004, où il a conçu et développé notre atelier sur la protection contre les programmes malveillants (Malware Defence Workshop). Il est actuellement Senior Regional Researcher pour le Royaume-Uni et il intervient régulièrement dans les médias en tant que commentateur. Ses principaux sujets de recherche portent sur l'écosystème des programmes malveillants, le vol d'identité et les technologies Kaspersky Lab. Le blog de David est consultable sur la page Costin Raiu Costin est le directeur de l'équipe Global Research and Analysis. Anciennement Chief Security Expert, Costin travaille auprès de Kaspersky depuis Il est spécialisé dans les sites Web malveillants, la sécurité des navigateurs et les failles d'exploitation, les programmes malveillants ciblant les services de banque en ligne, la sécurité des grandes entreprises et les menaces du Web 2.0. Consultez son blog sur la page ou sur Twitter. Sergey Lozhkin Sergey est un expert en technologies pour Kaspersky Lab. Diplômé en 2002 de l'académie de police d'omsk, il a travaillé comme détective au sein de l'unité de police de la ville d'omsk en charge de la cybercriminalité. Après avoir quitté les services du gouvernement en 2004, Sergey a travaillé dans la sécurité informatique pour plusieurs entreprises en qualité d'ingénieur et de spécialiste de la sécurité informatique. Il a également réalisé des études de pénétration pour plusieurs réseaux gouvernementaux et d'entreprises privées. 18

19 Avec Kaspersky, maintenant, c'est possible. kaspersky.fr/business Be Ready for What s Next