Ready? Or not? Comparer les opportunités de demain et les risques futurs. Une enquête mondiale sur les tendances en termes de sécurité informatique.

Transcription

1 Ready? Or not? Comparer les opportunités de demain et les risques futurs. Une enquête mondiale sur les tendances en termes de sécurité informatique. Be Ready for What s Next. kaspersky.com/fr/beready

2 Sommaire 0.1 INTRODUCTION La sécurité informatique et le risque perçu pour l entreprise Le risque des périphériques hors de contrôle Les cyber-attaques et les systèmes mal préparés Les organisations menacées Les dangers inhérents DES nouveaux Médias La réalité des dommages causés aux entreprises Comment les entreprises réagissentelles face aux menaces? ARE YOU READY FOR WHAT S NEXT? 11 2

3 Introduction 0.1 Points clés de l enquête: 91 % des entreprises ont été affectées par des attaques l année dernière 45 % ne sont pas suffisamment préparées aux cyber-attaques dédiées 17 % ont perdu des données critiques à la suite d attaques 57 % ont interdit l accès aux réseaux sociaux en raison des risques de sécurité potentiels 30 % n ont pas encore pleinement mis en place de logiciels anti-malwares Tandis que le paysage technologique évolue, les entreprises et leurs équipes informatiques sont confrontées de plus en plus aux cybermenaces ciblant leur sécurité informatique. Toutes les organisations à travers le monde sont affectées : près de la moitié pensent que les cyber-menaces seront une priorité absolue dans les deux prochaines années et 45 % ne se sentent pas pleinement préparées Pour traiter ce sujet et avoir un aperçu clair des effets ressentis par les entreprises aujourd hui, nous avons demandé une étude complète auprès de professionnels seniors, des petites aux grandes entreprises, dans 11 pays. L enquête, produite par B2B International, a été conduite à la fois dans les marchés développés dont le Royaume-Uni, les États-Unis et le Japon, et dans les marchés en développement dont le Brésil, la Chine et l Inde. Les personnes qui ont été interrogées ont une influence sur la politique de sécurité informatique, une bonne connaissance des questions de sécurité informatique et une connaissance de l ensemble de l organisation dans laquelle elles travaillaient. Les conclusions ont été claires : la cyber-sécurité prend une place grandissante dans l agenda des organisations en raison d une augmentation perçue des virus et violations de données. En outre, les appareils et les personnes touchées sont de plus en plus difficiles à contrôler et protéger car ils deviennent de plus en plus mobiles et choisissent d utiliser leur propre technologie au lieu de celle fournie par le service informatique. Les entreprises sont-elles vraiment prête pour à l avenir? Pays couverts Marchés développés: (n=800) États-Unis 200 Allemagne 100 Royaume-Uni 100 France 100 Espagne 100 Italie 100 Japon 100 Marchés en développement: (n=500) Brésil 100 Inde 100 Chine 200 Russie 100 3

4 La sécurité informatique et le risque perçu pour l entreprise 1.0 sseulement 14 % des entreprises considèrent les cyber-menaces comme faisant partie de leurs 3 principaux risques 9 % des entreprises ont subi une attaque ciblée ; ce chiffre est probablement plus élevé, mais beaucoup n en sont pas encore conscientes. Costin Raiu Les entreprises et les technologies qu elles utilisent sont en train de changer. La sécurité du réseau informatique est actuellement l une des considérations stratégiques principales des organisations. Aujourd hui, les cadres doivent prendre en compte et prévoir les prochaines menaces qu ils pourront rencontrer. Seuls 14 % d entre eux envisagent toutefois les cyber-menaces comme l un des trois principaux risques pour l entreprise. Cela indique une faible sensibilisation générale à la sécurité informatique dans les entreprises. Fait intéressant, la dégradation de la marque, l espionnage industriel et le vol de propriété intellectuelle faisaient partie des plus grandes menaces envisagées par les entreprises. Tous ces événements peuvent être provoqués par une violation de la sécurité informatique. Inversement, toutefois, la dégradation potentielle de la marque peut être l une des principales raisons pour lesquelles les attaques ne sont pas déclarées. Ce qui est dangereux pour les organisations du monde entier, dans la majorité des cas, c est qu elles ne peuvent pas se rendre compte qu elles ont subi une attaque ou qu elles sont une cible intéressante pour les criminels. Les équipes informatiques doivent considérer que ces menaces sont réelles ; la question est de savoir «quand ces cyber-attaques interviendront» et «quelle sera l étendue des dégâts». La sécurité informatique et le risque perçu pour l entreprise % Atteinte à la réputation de la marque de l entreprise Espionnage industriel (à l intérieur et à l extérieur de l organisation) Vol de propriété intellectuelle % 55% 42% Sabotage (par des employés actuels ou ayant quitté l entreprise) % Terrorisme % Incertitude économique (récession) % Catastrophes naturelles (inondations, tremblements de terre, tempêtes, etc.) Troubles politiques Cyber-menaces (menaces électroniques envers la sécurité des systèmes d information) Fraude % 16% 14% 13% Activité criminelle (vol de propriété, incendie criminel, vandalisme, dommages criminels) % Classement 1st 2nd 3rd 4

5 Le risque des périphériques hors de contrôle 2.0 les trois quarts des entreprises au niveau mondial s attendent à une augmentation du nombre de périphériques dans les 12 prochains mois Jusqu àrécemment, chaque employé possédait un ordinateur et un téléphone fixe sur son bureau. Malgré les cyber-menaces, les périphériques étaient universels et faciles à contrôler. Aujourd hui, la situation est différente : le coût des connexions Internet haut débit et des smartphones ne cesse de diminuer, et la définition d un périphérique est en train de changer : passant du PC à tout matériel mobile suffisamment «intelligent» et connecté à un réseau. Dans les petites entreprises, il peut y avoir 50 périphériques, voire plus, connectés à Internet, pour des milliers dans les grandes entreprises. Hélas pour les équipes informatiques, les trois quarts des entreprises au niveau mondial s attendent à une augmentation de ces chiffres dans les 12 prochains mois. Pour les organisations du monde entier, un nombre croissant de dispositifs utilisés par un effectif mobile signifie un nombre croissant de menaces. Ces périphériques, tels que l IPAD, sont plus difficiles à contrôler par les équipes informatiques que les PC. De plus, bon nombre de ces dispositifs ne comportent souvent aucun logiciel de sécurité, c est pourquoi ils représentent la nouvelle cible des cybercriminels. Le périphérique ne se contente plus d être un simple PC, il peut être tout périphérique suffisamment intelligent et bien connecté à un réseau. Stefan Tanase Changement des périphériques de l utilisateur final Plus de 100% d augmentation Plus de 50 99% d augmentation Plus de 11 49% d augmentation 2% 7% 32% 2% 6% 26% 76% ont connu une augmentation 75% s attendent à une augmentation Plus de 1 10% d augmentation 35% 85% dans les marchés en développement 41% 85% dans les marchés en développement Aucun changement 18% 19% Toute baisse 6% 6% 12 derniers mois 12 prochains mois 5

6 Les cyber-attaques et les systèmes mal préparés 3.0 près de la moitié des entreprises voient les cyber-menaces comme l un des 3 premiers risques près de la moitié des entreprises admettent qu elles ne sont pas préparées aux cyber-attaques. Cela indique-t-il un certain sens du réalisme, ou qu elles n obtiennent pas le budget nécessaire? Roel Schouwenberg Alors que les entreprises commencent à prendre conscience de la menace de futures potentielles violations de la sécurité, les cybercriminels s attaquent aujourd hui aux entreprises qui ne sont pas suffisamment prêtes à faire face aux menaces. Un peu moins de la moitié des entreprises estiment que les cyber-menaces seront beaucoup plus importantes dans les deux années à venir, et comprennent pourquoi la prévention des violations de la sécurité informatique doit être le souci numéro un des services informatiques dans tous les départements. En dépit de cela, seule la moitié des entreprises se sent bien équipées pour faire face à des risques imminents, et pour celles-ci, la définition «bien préparée» peut varier d une entreprise à l autre, laissant certaines plus exposées que d autres. Ce problème est amplifié dans les petites entreprises. 45 % ne pensent pas être bien préparées aux cyber-attaques, car elles mettent en œuvre beaucoup moins de mesures que les grandes entreprises,. Cela est souvent dû à un manque de ressources informatiques dédiées, alors que beaucoup de grandes entreprises peuvent s offrir une équipe disponible 24h/24 et 7j/7. Le manque de préparation dans les entreprises de toutes tailles vient également des réductions budgétaires ; si ces problèmes ne sont pas à l ordre du jour, il n y a simplement pas de budget pour s y attaquer entièrement. Augmentation des risques d ici deux ans Près de la moitié des entreprises voient les cyber-menaces comme l un des 3 premiers risques % Cyber-menaces (menaces électroniques à la sécurité des systèmes d information) Incertitude économique (récession) 46% 37% Atteinte à la réputation de la marque ou de l entreprise 22% Vol de la propriété intellectuelle Espionnage industriel (à l intérieur et à l extérieur de l entreprise) Activité criminelle (vol de propriété, incendie criminel, vandalisme, dommages criminels) Fraude 18% 18% 16% 15% Troubles politiques Catastrophes naturelles (inondations, tremblements de terre, tempêtes, etc.) Sabotage (par des employés actuels ou ayant quitté la société récemment) Terrorisme 15% 15% 12% 10% % estimant que les risques seront beaucoup plus importants dans 2 ans 6

7 Les organisations menacées % des entreprises disent avoir ressenti une augmentation du nombre de cyber-attaques l année dernière 40 % des entreprises sont préoccupées par l ingérence du gouvernement dans leurs systèmes d information en général, peu de personnes remarquent les attaques ciblées au début et avant que le vol n ait lieu. Costin Raiu En dépit d un manque de préparation des équipes informatiques et des grandes entreprises face aux menaces imminentes, les entreprises sont conscientes du danger. 48 % des entreprises disent avoir ressenti une augmentation du nombre de cyberattaques l année dernière, et plus de la moitié sont inquiètes quant à la participation des bandes criminelles organisées. Peut-être plus important encore, 30 % des entreprises ont estimé qu elles étaient spécifiquement attaquées, toutefois, ces chiffres peuvent être plus faible que prévu car les attaques passent souvent inaperçues jusqu à ce qu un vol ait lieu. Mais ce ne sont pas seulement les gangs de cyber-criminels que surveillent les équipes de sécurité. 40 % des organisations sont préoccupées par l ingérence du gouvernement dans leurs systèmes d information. Cela signifie que la cryptographie devra devenir omniprésente, et les solutions qui existent déjà (y compris l ensemble du cryptage de disque et des réseaux privés virtuels) devront être mises en œuvre pour assurer des niveaux de sécurité supérieurs. En dépit de la majorité des menaces (61 %) venant de programmes malveillants et d intrusions sur le réseau, la menace pour les entreprises ne provient pas seulement de sources extérieures. En interne, la plus forte vulnérabilité provenait de défauts de logiciels existants ; 44 % des entreprises ont signalé un incident au cours des 12 derniers mois. Le personnel constitue également une menace interne envers les pertes de données ; 10 % des entreprises ont été victimes de fraude ou de sabotage par leur propre personnel et 16 % ont signalé les fuites intentionnelles de données critiques comme étant la menace la plus importante pour l avenir. Perceptions du nombre de cyber-menaces 48 % ont perçu une augmentation du nombre de menaces au cours des 12 derniers mois Diminution nette de 8 % Score de menace net : + 40 % Augmentation nette de 48 % 43% 39% 2% 2% 9% Une diminution significative (50 % de moins) Une légère diminution (1 à 49 % de moins) Aucun changement Une légère augmentation (1 à 49 %) Une augmentation significative du nombre d événements (plus de 50 % en plus) 7

8 Les dangers inhérents aux nouveaux médias % des entreprises ont dans une certaine mesure interdit les sites de réseaux sociaux aux clients utilisateurs Les réseaux de partage de fichiers Peer-to-Peer demeurent la principale préoccupation dans les environnements d entreprise et doivent être interdits dans toute organisation qui se soucie de la sécurité. Costin Raiu Les menaces venant du personnel ne sont pas toujours des attaques malveillantes intentionnelles. Les outils en ligne que vos employés utilisent tant sur le lieu de travail qu à la maison peuvent avoir un effet direct sur votre sécurité. Les virus et logiciels malveillants se propagent au moyen de réseaux sociaux et les sites de partage de fichiers en particulier peuvent souvent entraîner des problèmes pour les équipes informatiques, quelle que soit la taille de l entreprise. Les réseaux sociaux, par exemple, sont maintenant considérés comme la deuxième plus grande menace de sécurité ; 57 % des organisations percevant l utilisation des médias sociaux par les salariés comme étant un risque significatif pour l entreprise. Les personnes ayant le contrôle des réseaux informatiques ont répondu à ce problème en interdisant ces réseaux sociaux. Plus de la moitié des entreprises ont désormais interdit les sites de réseaux sociaux et 19 % ont restreint l accès d une manière ou d une autre, faisant des réseaux sociaux la deuxième activité la plus restreinte au sein des entreprises du monde entier. Toutefois, nous avons remarqué que cela ne fonctionne pas en réalité car le personnel trouvera toujours un moyen d accéder à ces réseaux, que ce soit à la maison ou sur leurs périphériques personnels. En fin de compte, la sensibilisation de l effectif aux risques de sécurité liés à l utilisation de ces réseaux est la clé pour se défendre contre cette menace à l avenir. Le partage de fichiers Peer-to-Peer se trouve encore en haut de la liste des interdits de l équipe de sécurité. 55 % des organisations voient encore le partage de fichiers comme l activité la plus dangereuse pour leur sécurité ; une activité qui devrait être interdite sur les réseaux et appareils dans toute organisation qui se soucie de la sécurité. Liste des activités ou des applications considérées comme une menace par les entreprises Activité/Application Total Marchés en développement Marchés développés États-Unis Russie Chine Brésil Partage de fichiers/p2p 55% 46% 61% 62% 50% 44% 50% Réseaux sociaux 35% 36% 35% 44% 52% 26% 41% Téléchargement de fichier, transfert de fichier, FTP 34% 33% 34% 33% 44% 28% 38% Accès au site internet 32% 30% 33% 35% 42% 29% 19% Courriel personnel/webmail 31% 29% 32% 36% 22% 28% 32% Messagerie instantanée 23% 32% 18% 20% 19% 36% 35% Jeux en ligne 21% 21% 21% 19% 16% 21% 32% Streaming vidéo/tv internet 13% 18% 10% 8% 12% 21% 14% Mise en réseau des entreprises 11% 15% 9% 5% 4% 24% 7% Voix sur IP (VoIP) 10% 14% 8% 5% 9% 17% 9% Les cellules ombrées indiquent des pays/groupements où la menace perçue est sensiblement plus élevée 8

9 La réalité des dommages causés aux entreprises % des entreprises ont connu au moins une attaque au cours des 12 derniers mois 16 % des entreprises ont été victimes de vol de matériel informatique dans leurs locaux 17 % ont perdu des données financières critiques. Cela indique que le moteur principal de la cyber-criminalité reste le gain financier. Costin Raiu Malheureusement pour les entreprises du monde entier, il ne s agit pas seulement de simples menaces futures, mais de vrais risques qui les touchent tous les jours, à tous les niveaux. L année dernière, 91 % des entreprises ont subi au moins l une de ces attaques, le plus souvent sous la forme de programmes malveillants, suivies ultérieurement par des spams et attaques de phishing. Parmi ces organisations, 24 % ont vu des intrus pénétrer leur réseau d une manière ou d une autre, dont 7 % ont perdu des données sensibles à la suite de ces attaques, entraînant un coût significatif pour l entreprise. De plus en plus d attaques sont spécifiquement ciblées. 9 % des entreprises interrogées ont subi une attaque ciblée au cours de l année dernière, et beaucoup d entre elles ont perdu de la propriété intellectuelle sous diverses formes. Nous estimons que ce chiffre pourrait en fait être plus élevé, car de nombreuses autres entreprises peuvent avoir été spécifiquement ciblées, mais ne le savent pas encore. Ces menaces diffèrent également en fonction des marchés. Dans les pays en développement, les niveaux de perte de données sont beaucoup plus élevés, en raison de l absence d expérience en termes de construction et de défense d une infrastructure moderne contre les attaques. Il est clair que les menaces qui pèsent aujourd hui sur les entreprises sont importantes, et se présentent sous diverses formes. Par exemple, les menaces ne sont pas seulement basées sur le web : 16 % des entreprises ont été victimes de vol de matériel informatique dans leurs locaux ; l un des moyens les plus simples d obtenir des identifiants et des informations pour des attaques ultérieures. Les entreprises doivent ainsi adopter une stratégie dédiée, avec de multiples niveaux de défense, y compris des anti-malwares et un cryptage complet du disque pour assurer un niveau de sécurité aussi complet que possible. La réalité des dommages causés aux entreprises % % des entreprises qui ont été victimes des attaques suivantes : Virus, vers, logiciels espions et autres programmes malveillants Spams Attaques de phishing Intrusion sur le réseau / piratage % 56% 36% 24% Déni de service (distribué) (DoS / DDoS) % Vol de matériel informatique dans les locaux % Espionnage Vol de matériel informatique hors site Attaques ciblant spécifiquement l entreprise/ la marque Dommages criminels (y compris incendie criminel) % 14% 9% 4% Cela a-t-il entraîné une perte de données? Oui - de données commerciales sensibles Oui - de données commerciales non sensibles Non 9

10 Comment les entreprises réagissent-elles face aux menaces? % des entreprises n ont toujours pas pleinement mis en place de logiciels anti-malware Il est étonnant que tant d entreprises ne considèrent pas aujourd hui l anti-malware comme une sécurité de base nécessaire. Bien que l anti-malware ne soit qu un élément d une stratégie bien plus complexe, il devrait être considéré comme étant un élément indispensable de base à la sécurité des informations de l entreprise. Tim Armstrong Tandis que ces tendances continuent de se développer, les entreprises se tournent globalement vers l avenir car la sécurité informatique et les menaces imminentes sont plus que jamais à l ordre du jour. Pour les équipes informatiques d aujourd hui, les menaces extérieures les plus préoccupantes sont l intrusion dans le réseau et le piratage, alors que les défauts de logiciels existants constituent la plus haute menace en interne. Judicieusement, les équipes informatiques commencent à prendre des mesures pour prévenir ces risques de sécurité. La protection contre les programmes malveillants se trouve en tête de la liste des quatre mesures principales prises par les organisations pour protéger leurs données, suivie par la protection par pare-feu client, la sauvegarde et la récupération de données et la gestion régulière des correctifs et mises à jour de logiciels. Il est important de noter que les menaces internes et externes les plus importantes sont liées aux correctifs. En appliquant les correctifs nécessaires à toutes les applications, il sera sans aucun doute plus difficile pour un pirate d accéder à votre réseau. 30 % des entreprises n ont toujours pas pleinement mis en place de logiciels antimalwares. Ce chiffre est aussi préoccupant que stupéfiant. Avec toutes les menaces existantes, ainsi qu avec les conséquences d une attaque éventuelle pour les entreprises, il est choquant de voir à quel point de nombreuses entreprises ne comprennent pas la nécessité de telles mesures de sécurité de base. L anti-malware devrait par exemple être considéré comme le strict minimum. Sociétés ayant pleinement mise en place différentes mesures de sécurité % % Protection anti-malware (anti-virus, anti-spyware) Protection par pare-feu client Sauvegarde et récupération des données 70% 64% 63% Mise en place de niveaux d accès aux différents systèmes informatiques par privilège Sécurité physique des systèmes informatiques critiques (par exemple, feu, vol) Structures de réseau (par exemple, la séparation des réseaux critiques) 44% 42% 42% Gestion régulière des correctifs/ mises à jour de logiciels 63% Politique de récupération après sinistre et préparation 37% Quatre mesures principales Politique de sécurité informatique dans les succursales / bureaux distants Cryptage des données extrêmement sensibles Contrôle/Vérification de la sécurité informatique des fournisseurs tiers Cryptage des communications d entreprise Politiques de sécurité distinctes pour les dispositifs mobiles Cryptage des données sur les appareils mobiles 36% 36% 32% 31% 30% 27% Autres mesures 10

11 Are you Ready for What s Next? 7.1 Aujourd hui, et demain, la cybercriminalité continuera à représenter une menace pour les entreprises du monde entier. Bien que de nombreuses entreprises soient conscientes des risques potentiels auxquels elles font face et soient prêtes à protéger leurs entreprises, il apparaît clairement que beaucoup ne sont pas encore totalement équipées pour faire face à ces menaces. Vous avez peut-être du personnel mobile, qui utilise un certain nombre de dispositifs qui vous exposent aux menaces de cyber-criminels. Que vous ayez été ciblé l année dernière, ou que vous vous prépareriez aux attaques potentielles, il est essentiel pour votre entreprises que vos systèmes informatiques et périphériques soient préparés au futur. Chez Kaspersky Lab, nous vous aidons à prendre une longueur d avance sur les menaces pour aider votre entreprise à évoluer et profiter des opportunités qui s offre à elle en toute sécurité. Pour consultez d autres livres blancs, vidéos et informations, rendez-vous sur le site : kaspersky.com/fr/beready L équipe d experts Kaspersky Lab Costin Raiu Director of Global Research & Analysis Kaspersky Lab Stefan Tanase Senior Security Researcher Kaspersky Lab Roel Schouwenberg Senior Security Researcher Kaspersky Lab Tim Armstrong Security Researcher Kaspersky Lab 11