CYBER-ATTAQUES. Où en sont les entreprises françaises?

Transcription

1 CYBER-ATTAQUES Où en sont les entreprises françaises?

2 Quelques mots sur Provadys Quelques mots sur le CESIN Editoriaux Sommaire Méthodologie / Profil des répondants Présentation de l étude Présentation de la méthodologie de l étude Structure et thématique Synthèse de l échantillon Dans quel secteur d activité votre entreprise se situe-t-elle? A l exception de la loi informatique et libertés, à quels normes / lois / règlements votre entreprise est-elle soumise?.... A l exception des données à caractère personnel, votre entreprise manipule-t-elle des données sensibles telles que des données classifiées, de cartes de paiement, de santé ou relevant du secret industriel?.... Chapitre - Préparation Introduction.... Des entreprises conscientes de leur exposition aux cyber-attaques.... Votre entreprise a-t-elle déjà été affectée par une ou plusieurs crises de type cyber-attaque?.... Quel intérêt représentez-vous pour un attaquant? Selon vous, quel type de cible votre entreprise est-elle? Comprendre et caractériser la menace Votre entreprise dispose-t-elle de moyens spécifiques ou dédiés à la prise en compte des menaces de type attaques informatiques? Organisez-vous des tests d intrusion sur vos sites les plus sensibles? Se préparer à la gestion d une cyber-crise Avez-vous déjà réalisé un exercice de crise comprenant un scénario de cyber-attaque?... 6 Externalisation et cybercriminalité Evaluez-vous le niveau de sécurité de vos prestataires? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES?

3 Cartographier son SI pour mieux le protéger Gouvernance en matière de sécurité de l information et continuité d activité... 8 Votre entreprise dispose-t-elle d une Politique de Sécurité de l Information (PSSI)?.. 8 La politique de continuité d activité de votre entreprise prend-elle en compte le risque de cyber-attaque? Conclusion Chapitre - Détection Introduction.... Votre entreprise a-t-elle mis en place les outils suivants?.... Votre entreprise a-t-elle mis en place une organisation pour détecter les incidents de sécurité?.... Cette organisation repose-t-elle sur une équipe dédiée, une équipe IT ou bien une équipe transverse? :... Votre entreprise dispose-t-elle d un SOC, d un CERT ou d un CSIRT? :.... Dans le cadre de la surveillance opérationnelle de la sécurité de vos systèmes d information, des investigations sont-elles réalisées? Est-ce que votre entreprise réévalue ses moyens de détection (organisationnels et humains)? Conclusion Chapitre - Réaction Introduction Votre entreprise dispose-t-elle d une organisation lui permettant de réagir efficacement en cas d incident de sécurité? Cette organisation, repose-t-elle une équipe dédiée, une équipe transverse, une équipe IT? Votre entreprise dispose-t-elle de critères pour qualifier l incident de sécurité et déclencher une situation de cyber-crise? Votre entreprise a-t-elle défini les acteurs, leurs rôles et responsabilités en cas de survenance d une cyber-crise? Votre dispositif de crise prévoit-il la sollicitation d experts? Les collaborateurs participent-ils d une manière ou d une autre aux plans de réaction aux cyber-attaques définis? Votre entreprise dispose-t-elle d une ou plusieurs solutions techniques de réaction?.. 0 Votre entreprise a-t-elle définit des processus de notifications et de communication?.0 Les moyens (techniques et organisationnels) de réaction aux crises de type cyber-attaque sont-ils réévalués?.... Conclusion.... Chapitre 4 - Récupération Introduction.... Votre entreprise est-elle équipée d outils permettant la traçabilité / l enregistrement / la collecte des traces et preuves de l agression détectée?.... Votre entreprise a-t-elle défini les processus permettant la prise en compte des aspects juridique et assurance (dossier de plainte / dossier de preuve, estimation du préjudice subit, demande d indemnisation) suite à une Cyber Attaque? Votre entreprise dispose-t-elle de moyens d analyse post-mortem des incidents de sécurité (forensic)? Conclusion Chapitre 5 - Sensibilisation Des campagnes de sensibilisation à la sécurité de l information auprès des collaborateurs sont-elles planifiées? Avez-vous prévu une simulation de crise dans l année? Conclusion Conclusion générale CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES? 5

4 Edito Information Security Pour une sécurité optimale Gestion des risques & Sécurité de l information Spécialiste des technologies de l information, Provadys accompagne les organisations dans leurs grands projets de transformation. Pour appréhender au mieux les défis de la gestion des risques liés aux SI, Provadys tire profit de son ancrage multisectoriel. L approche globale que nous mettons en place combine notre expertise en matière de gouvernance et transformation des SI de gestion globale des risques au bénéfice d une approche spécifique des risques IT. Ainsi, l expertise Provadys Information Security, se déploie en trois axes, la sécurité des SI, la conformité mais aussi la résilience et la continuité d activité. Quelques mots sur le CESIN Le CESIN (Club des Experts de la Sécurité de l Information et du Numérique) est une association loi 90, créée en juillet 0, avec des objectifs de professionnalisation, de promotion et de partage autour de la sécurité de l information et du numérique. C est un lieu d échange de connaissances et d expériences qui permet la coopération entre experts de la sécurité de l information et du numérique et les pouvoirs publics. Le Club conduit des ateliers et groupes de travail, mène des actions de sensibilisation et de conseil, organise des congrès, colloques, ou conférences. Il participe à des démarches nationales dont l objet est la promotion de la sécurité de l information et du numérique. Il est force de proposition sur des textes règlementaires, guides et autres référentiels. Luc Delpha Partner & Lead Provadys Information Security Dans nos systèmes d information de plus en plus complexes, les pannes, défaillances matérielles ou logicielles sont devenues tellement incontournables que toutes les entreprises se sont préparées à y faire face. Elles ont donc admis qu elles devaient être capables de continuer à fonctionner en dépit de l occurrence de ces évènements. Elles ont également mis en œuvre des moyens permettant d atteindre, au moins partiellement, cet objectif. De la même manière, les entreprises sont confrontées au caractère quasi-inévitable des attaques contre leurs systèmes d information. Cette seconde étude menée par Provadys dans le cadre du CESIN permet de mesurer le chemin parcouru depuis 0. Si les entreprises ont aujourd hui globalement pris la mesure du phénomène, notre étude démontre qu elles sont encore insuffisamment préparées et outillées pour faire face à des cyber-attaques de plus en plus sophistiquées. Alain Bouillé Président du CESIN Cette seconde édition de l enquête montre un certain progrès dans la majorité des entreprises. Ces progrès se traduisent par un renforcement des capacités de détection avec des process, des outils sans oublier les hommes qui commencent à faire leur preuve dans la capacité de l entreprise à savoir qu elle est attaquée. Si les entreprises ont, au fil des ans, appréhendé les différents risques systémiques qui peuvent s abattre sur elles au travers de leurs plans de continuité d entreprise ; il reste encore beaucoup de chemin à parcourir pour intégrer le risque cyber dans les process de gestion de crise de l entreprise. Nos démarches de sensibilisation doivent être repensées ; malgré tous les efforts déjà déployés. Car de toute évidence, l utilisateur connaîtra de plus en plus de difficultés à distinguer une sollicitation légitime d une malveillante, tant certaines attaques sont minutieusement planifiées et ciblées. Egalement, les outils de protection vont nécessiter de gagner encore en efficacité pour protéger les entrées au SI de l entreprise, qui vont par ailleurs se démultiplier avec l ultra-mobilité en marche. Une étude réalisée dans le cadre d un partenariat entre Provadys et le CESIN 6 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES? 7

5 Présentation de l étude Méthodologie Profil des répondants L objectif de cette seconde étude réalisée conjointement par le Cesin et Provadys est de mettre en lumière les actions mises en œuvre par les entreprises françaises pour se préparer, détecter et faire face à une cyber-attaque. Il s agit ainsi de mieux comprendre la situation des organisations en matière de résilience aux cyber-attaques. Cet enjeu est d autant plus fondamental que la cybercriminalité vise aujourd hui autant les États, les grands groupes, que les PME. Présentation de la méthodologie de l étude Synthèse de l échantillon Structure et thématique Provadys, en partenariat avec le Cesin, a réalisé une enquête auprès de Responsables de la Sécurité des Systèmes d Information, mais aussi de Directeurs Techniques et de Directeurs Généraux d organisation françaises et internationales. Un questionnaire en ligne a ainsi été mis à disposition. Comme en 0, celui-ci comportait cinquante questions abordant cinq thématiques : la préparation, la détection, la réaction, la récupération ainsi que la sensibilisation en matière de cybercriminalité. 9 RSSI et managers ont participé à l étude, soit deux fois plus qu en 0. Parmi les organisations représentées, 7% comptent moins de 50 salariés et 6% sont des entreprises de très grande taille (plus de 000 salariés). Par conséquent, même si % des répondants sont issus d organisations de moins de 50 collaborateurs, notre enquête reflète majoritairement la situation des grandes entreprises. 8 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES? 9

6 0 Dans quel secteur d activité votre entreprise se situe-t-elle? Le panel d organisations ayant participé à notre enquête est équilibré avec % de réponses émanant du secteur public, 7% de l industrie, 0% du secteur Banque/Assurance et % de celui des services aux entreprises. À l exception de la loi informatique et libertés, à quels normes / lois / règlements votre entreprise est-elle soumise? La moitié (50%) des organisations interrogées ont déclaré être soumises au secret professionnel ou médical. Pour 9%, contre % dans notre enquête de 0, la Loi informatique et libertés constitue la seule réglementation applicable dans leur contexte. À l exception des données à caractère personnel, votre entreprise manipulet-elle des données sensibles telles que des données classifiées, de cartes de paiement, de santé ou relevant du secret industriel? 9% des répondants indiquent que leur organisation manipule des données de santé alors que 5% ont déclaré relever du secret médical. De même, 8% manipulent des données de carte de paiement quand 5% se disent soumises aux normes PCI DSS. Ces écarts montrent que les entreprises n ont pas toujours conscience des conséquences réglementaires de leurs activités. 9 Administration (public) : % Association : 5% Assurance : % 4 Autres : 6% Banque : 8% 6 Energie : 5% 7 Industrie : 7% 8 Transport : % 9 Santé, média, télécoms : 6% 0 Services aux entreprises : % Grande distribution : % ARJEL BALE / BALE SOX AUTRES LSF SOLVENCY ACP SECRET DEFENSE PCI DSS SECRET MEDICAL RGS SECRET PROFESSIONNEL AUCUN DONNÉES CLASSIFIÉES (DÉFENSE) DONNÉES DE CARTES DE PAIEMENT % 4% 8% 8% % % % % 5% 5% % 4% 9% 6% 8% 9% 9% SECRETS INDUSTRIELS DONNÉES DE SANTÉ 0 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES?

7 Introduction Les entreprises sondées dans le cadre de notre étude ont globalement conscience de leur niveau d exposition aux cyber-attaques. La majorité d entre elles en ont d ailleurs déjà été victimes. Depuis 0, les entreprises se préparent davantage à faire face à cette menace et sont plus nombreuses à investir dans leur cybersécurité. Cela passe par l intégration de ces scénarios spécifiques dans leur dispositif de gestion de crise ou par la réalisation de tests de pénétration et d intrusion sur leurs sites les plus sensibles. Les entreprises peuvent néanmoins gagner en maturité en prenant mieux en compte les risques liés à leurs activités externalisées et en se préparant à une interruption d activité consécutive à une cyber-attaque. Chapitre Préparation Des entreprises conscientes de leur exposition aux cyberattaques Votre entreprise a-t-elle déjà été affectée par une ou plusieurs crises de type cyber-attaque? En 0, 5% des organisations interrogées avaient déjà été touchées par au moins une cyber-attaque. Elles sont aujourd hui 57%, dans un contexte de multiplication et d industrialisation des attaques. Cette réalité est probablement encore sous-estimée. 4 Ne sait pas : % Oui, antérieures aux douze derniers mois : 8% Oui, dans les douze derniers mois : 9% 4 Non : % CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES?

8 VOL DE DONNÉES FRAUDE CHANTAGE 7% 6% 5% 6% % % Quel intérêt représentez-vous pour un attaquant? Parmi les organisations s estimant ciblées, le vol de données serait la principale motivation des cyber-assaillants. Cette menace fait peser un risque d autant plus lourd sur les entreprises que la règlementation européenne s oriente vers de nouvelles obligations en matière de protection des données à caractère personnel. Des obligations de notification des autorités et d information des clients concernés seront en particulier introduites pour toutes les entreprises. ESPIONNAGE REVENDICATION AUTRE Comprendre et caractériser la menace Votre entreprise dispose-t-elle de moyens spécifiques ou dédiés à la prise en compte des menaces de type attaques informatiques? Conscientes des enjeux liés à la sécurité de l information, 74% des organisations interrogées disposent de moyens de prise en compte des cyberattaques, contre 6% en 0, ce qui démontre une plus grande sensibilisation à ce sujet. 78% des organisations interrogées conduisent des analyses de risques sur leurs systèmes d information, mais seules % y intègrent le risque de cyber-attaque. Plus globalement, 6% d entre elles ont identifié les scénarios de type cyber-attaque susceptibles de les toucher. Oui, dans des procédures : % Non : 4% Ne sait pas : 7% 4 Oui, mais sans documentation : 7% 5 Oui, dans une analyse de risques : % 5 4 Organisez-vous des tests d intrusion sur vos sites les plus sensibles? Ciblée : 9% Ni l un, ni l autre : 8% Opportuniste : 4% Selon vous, quel type de cible votre entreprise est-elle? La moitié (50%) des organisations interrogées ont déclaré être soumises au secret professionnel ou médical. Pour 9%, contre % dans notre enquête de 0, la Loi informatique et libertés constitue la seule réglementation applicable dans leur contexte. Oui, chaque mois : 9% Oui, chaque trimestre : 8% Non : 4% 4 Oui, tous les ans : 4% 5 Oui, tous les deux ans : 6% 5 4 Se préparer à faire face à une cyber-attaque passe entre autres par l identification des faiblesses de son SI ; les sites internet sont des cibles qui exposent les entreprises et qui peuvent se révéler être des portes d entrée dans leur SI. 76% des organisations déclarent ainsi procéder à des tests d intrusion sur leurs sites les plus sensibles, contre 96% en 0. Cet écart s explique notamment par une plus forte représentation des PME dans cette étude puisque 59% des entreprises de moins de 50 salariés n ont jamais pratiqué de test d intrusion. A l inverse, 95% des groupes de plus de 5000 collaborateurs en réalisent régulièrement. 4 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES? 5

9 Se préparer à la gestion d une cyber-crise Externalisation et cybercriminalité 4 Evaluez-vous le niveau de sécurité de vos prestataires? Oui, l année dernière : % Oui, il y a trois ans : % L externalisation de tout ou partie du système d information est devenue incontournable. Qu il s agisse de Tierce Maintenance Applicative, de recours au cloud en SaaS, IaaS, PaaS ou encore d infogérance, 8% des entreprises font aujourd hui appel à des fournisseurs de service. Cette externalisation n implique pas nécessairement de transférer les risques vers le sous-traitant. Oui, il y a deux ans : 6% 4 Non : 7% Avez-vous déjà réalisé un exercice de crise comprenant un scénario de cyber-attaque? Toutefois, si les entreprises sont globalement conscientes du niveau de la menace, 7% ne se sont jamais préparées à se confronter à une crise de type cyber-attaque dans le cadre d un exercice de crise. % ont déclaré avoir réalisé un exercice de crise comprenant un scénario de cyber-attaque. Pour rappel, 9% des répondants ont indiqué avoir subi une cyber-attaque dans les douze derniers mois. Les entreprises qui n ont jamais été en position de s exercer à réagir aux cyber-attaques risquent de se trouver démunies lorsqu elle seront confrontées de manière réelle à cette situation. Notre Livre Blanc sur l externalisation montre ainsi que seules 4% des entreprises disposent de clauses de transfert de responsabilité en matière de sécurité et 9% transfèrent les responsabilités réglementaires et de conformité à leurs fournisseurs. Si la plupart 89% - des contrats contiennent des exigences de sécurité, le risque d attaque informatique n est pris en compte que dans 57% des cas. Les entreprises sont cependant plus nombreuses à évaluer le niveau de sécurité de leurs prestataires 55% contre 49% en 0. Externalisation et sécurité, où en sont les entreprises françaises? Provadys en collaboration avec le CESIN (04) Non : 6% Ne sait pas : 8% Oui : 54% 6 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES? 7

10 Cartographier son SI pour mieux le protéger Lutter contre les attaques visant son système d information implique de bien maîtriser son architecture. Cela ne concerne que les 68% d entreprises qui indiquent disposer d une cartographie de leur système d information. Parmi celles-ci, 80% sont également en mesure d identifier ses composants internes les plus sensibles et 54% leurs fournisseurs de services sensibles de façon à pouvoir les protéger efficacement. Votre entreprise dispose-t-elle d une Politique de Sécurité de l Information (PSSI)? Si dans l ensemble, 8% des organisations disposent d une Politique de Sécurité des Systèmes d Information (PSSI), seules 59% des PME de moins de 50 salariés en ont mis une en place. Il reste donc au niveau de ces PME un travail important à faire pour définir le cadre de référence dans lequel la Sécurité du Système d Information doit être envisagée. La PSSI est la garantie d un engagement de la Direction en faveur de la sécurité de l information et de l existence de moyens humains et financiers permettant de parer au risque d incident en général, et de cyber-attaques en particulier. Ce document démontre un niveau de maturité de l entreprise en matière de sécurité de l information et d une véritable prise de conscience par l ensemble des enjeux par la Direction. Gouvernance en matière de sécurité de l information et continuité d activité Non : 48% Ne sait pas : % Oui : 4% La politique de continuité d activité de votre entreprise prend-elle en compte le risque de cyber-attaque? Conclusion Les entreprises ont aujourd hui bien conscience des risques induits par les cyber-attaques. Pour la plupart d entre elles, le phénomène n est pas seulement appréhendé à travers les nombreux cas relatés dans les journaux, elles y sont directement confrontées. Elles déploient ainsi davantage de moyens consacrés à la prise en compte de cette menace. Elles réalisent des tests d intrusion et intègrent le scénario cyber-attaque à leurs dispositifs de gestion de crise, mais cette préparation reste trop souvent théorique et par conséquent, insuffisante. Pour gagner en maturité, il s agirait désormais de réévaluer régulièrement la préparation théorique, passer à la pratique en réalisant des exercices impliquant l ensemble des entités et acteurs concernés. En plus de constituer une menace pour la sécurité de leurs patrimoines technique et informationnel, les entreprises devraient également considérer les cyber-attaques comme un risque majeur pesant sur la continuité de leurs activités. Non : 8% Oui : 8% Les cyber-crises récentes ont démontré que l une des conséquences majeures d une cyber-attaque était l indisponibilité du système d information. La cybercriminalité est d ailleurs aujourd hui la première menace affectant la continuité des opérations des entreprises. Cependant, seules 76% des organisations de notre panel disposent d une politique ou de procédures de continuité d activité garantissant le maintien de leurs activités vitales en cas de choc extrême. 4% d entre elles intègrent des mesures visant à préserver leurs activités critiques en cas de cyber-attaque. 8 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES? 9

11 Quels sont les moyens déployés par les entreprises pour détecter une cyber-attaque? Chapitre Détection Introduction Lutter efficacement contre une cyber-attaque nécessite d être capable de la détecter avant qu il ne soit trop tard. Les entreprises peuvent pour cela compter sur des outils techniques de détection des menaces. Cependant, les exploitent-elles de façon optimale? Notre étude démontre qu elles gagneraient à les réévaluer régulièrement, à mieux structurer leurs dispositifs organisationnels de détection et à davantage s appuyer sur les utilisateurs. Votre entreprise a-t-elle mis en place les outils suivants? Les organisations interrogées ont globalement mis en place des outils techniques de détection des cyber-attaques : 77% d entre elles ont recours à au moins un outil et 58% en disposent d au moins deux. En revanche, % des entreprises n ont déployé aucun outil de détection. Les petites entreprises sont ainsi davantage exposées puisque cette proportion s élève à % pour les organisations comptant moins de 50 salariés. AUTRES SYSTÈME DE DÉTECTION DES APT AUCUN SYSTÈME DE CORRÉLATION ET D AUTOMATISATION DE L ANALYSE DES LOGS SYSTÈME DE GESTION DES ÉVÈNEMENTS DE SÉCURITÉ 5% 7% % 4% 0% 57% 59% SYSTÈME DE DÉTECTION D INTRUSION SYSTÈME DE PRÉVENTION D INTRUSION 0 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES?

12 En matière de détection, disposer d outils techniques est inutile si les entreprises ne déploient pas une organisation capable de diffuser et traiter l information relative aux incidents de sécurité. Votre entreprise a-t-elle mis en place une organisation pour détecter les incidents de sécurité? Cette organisation repose-t-elle sur une équipe dédiée, une équipe IT ou bien une équipe transverse? Votre entreprise dispose-t-elle d un SOC, d un CERT ou d un CSIRT? Cette organisation fait défaut chez 4% des organisations de notre panel. Les grandes entreprises sont mieux armées puisqu elles sont 66% à avoir mis en place une organisation consacrée à la détection des incidents de sécurité. Dans 55% des cas, une telle fonction est exercée par une équipe du département informatique. L accent peut également être mis sur la transversalité dans 4% des organisations ou bien sur la spécialisation (8%). 4 D un point de vue organisationnel, 6% des entreprises ont mis en place un SOC (Information Security Operation Center), un CERT (Computer Emergency Response Team) ou un CSIRT (Computer Security Incident Response Team). Les grandes entreprises (5000 salariés et plus) sont plus nombreuses à s être dotées de tels dispositifs puisque 40% d entre elles disposent d un SOC, % d un CERT et 0% d un CSIRT. Oui : 74% Oui : 58% Non : 4% Une équipe dédiée : 8% Une équipe IT : 55% Une équipe transverse : 4% 4 Autre : % Non : 6% Les utilisateurs sont impliqués dans ce dispositif de détection dans 74% des entreprises, contre 47% en 0. Avec la multiplication des attaques s appuyant sur le phishing (hameçonnage), les ransomwares (rançongiciels), l ingénierie sociale, ou encore l usurpation d identité, l utilisateur est en effet un maillon fort de la sécurité de l information et les entreprises l ont bien compris. AUCUN DES TROIS SOC CERT CSIRT 64% 4% 4% % CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES?

13 5 4 Est-ce que votre entreprise réévalue ses moyens de détection (organisationnels et humains)? Oui, pour toutes les anomalies détectées : 4% D un point de vue organisationnel, 6% des entreprises ont mis en place un SOC (Information Security Operation Center), un CERT (Computer Emergency Response Team) ou un CSIRT (Computer Security Incident Response Team). Les grandes entreprises (5000 salariés et plus) sont plus nombreuses à s être dotées de tels dispositifs puisque 40% d entre elles disposent d un SOC, % d un CERT et 0% d un CSIRT. TRIMESTRIELLE SEMESTRIELLE MENSUELLE APRÈS UN INCIDENT RAREMENT NE SAIT PAS ANNUELLE JAMAIS % 4% 8% 8% % % % % Dans le cadre de la surveillance opérationnelle de la sécurité de vos systèmes d information, des investigations sont-elles réalisées? 8% des entreprises interrogées indiquent mener des investigations dans le cadre de la surveillance opérationnelle de leurs systèmes d information. Un clivage existe cependant entre les groupes de plus de 5000 salariés, où cette proportion atteint 95% et les PME de moins de 50 collaborateurs, qui ne sont que 6% à réaliser de telles investigations. Oui, uniquement sur les anomalies affectant la confidentialité des informations : 6% Non : 7% 4 Oui, pour toutes les anomalies touchant les systèmes les plus sensibles : % 5 Oui, uniquement sur les anomalies affectant la disponibilité des systèmes : % Conclusion Les entreprises ont bien compris qu elles devaient se protéger face aux cyber-attaques et être dotées de moyens de détection. La majorité des entreprises de notre panel utilise en effet un ou plusieurs moyens de détection. Ces moyens ne sont cependant pas mis à niveau assez fréquemment. Cela passe notamment par une réévaluation régulière des moyens déployés ainsi que par la réalisation d investigations après chaque incident pour comprendre et corriger ses faiblesses. Pour cela, il faudrait notamment comprendre pourquoi les PME mènent trop rarement de telles investigations. 4 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES? 5

14 Introduction Comment les entreprises réagissent-elles en cas d attaque? Une fois l attaque détectée, les entreprises doivent être en capacité de mobiliser rapidement des moyens humains et techniques visant à limiter ses conséquences néfastes. Elles doivent pour cela avoir, au préalable, mis en place une organisation et des procédures leur permettant de prendre les mesures qui s imposent : solliciter les bons experts, communiquer auprès des utilisateurs, mettre en œuvre les moyens techniques de réaction. Avant la cyber-crise, ces derniers doivent par ailleurs être réévalués régulièrement pour conserver leur pertinence. Chapitre Réaction Votre entreprise dispose-t-elle d une organisation lui permettant de réagir efficacement en cas d incident de sécurité? 6% des entreprises déclarent disposer d une organisation leur permettant de réagir en cas de cyber-attaque avérée. Les grandes entreprises sont mieux armées puisque 7% des groupes de plus de 5000 salariés en sont dotés, contre 4% des PME de moins de 50 salariés. Oui : 6% Non : 9% 6 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES? 7

15 Cette organisation, repose-t-elle sur une équipe dédiée, une équipe transverse, une équipe IT? Par réagir en cas de cyber-attaque, % des entreprises peuvent compter sur une équipe spécialisée dans le traitement des incidents de sécurité. Elles n étaient que 9% en 0, ce qui démontre une plus grande mobilisation des entreprises sur les questions de cybersécurité. Votre entreprise dispose-t-elle de critères pour qualifier l incident de sécurité et déclencher une situation de cyber-crise? En cas d attaque, il est crucial de réagir de réagir vite pour limiter l importance d éventuels vols de données ou de la contamination des systèmes d information. Pour ce faire, il peut être recommandé de disposer une grille d évaluation permettant de mesurer la gravité d une attaque et de convoquer la cellule de crise rapidement si nécessaire. OUI - AUTRE OUI - RH OUI - SPÉCIALISTE DE LA GESTION DE CRISE OUI - JURIDIQUE OUI - COMMUNICATION NON OUI - TECHNIQUE Votre dispositif de crise prévoit-il la sollicitation d experts? La majorité des entreprises (59%) déclare avoir prévu de s appuyer sur les compétences d experts techniques en cas de cyber-crise. Moins d un tiers d entre elles prévoient cependant de solliciter des experts en communication ou des juristes. 8% % 8% % % % 59% OUI - AUTRES AUTRE NE SAIT PAS EQUIPE DÉDIÉE OUI, UN ANNUAIRE DE CRISE EQUIPE TRANSVERSE OUI, DES FICHES REFLEXE OU CHECK-LISTS DÉCRIVANT LES PREMIÈRES ACTIONS À CONDUIRE NON EQUIPE IT OUI, UNE CELLULE DE CRISE OUI - AUTRE OUI, UNE GRILLE D ÉVALUATION D IMPACT 4% % 4% 5% 6% 9% 55% Votre entreprise a-t-elle défini les acteurs, leurs rôles et responsabilités en cas de survenance d une cyber-crise? En matière de gestion de cyber-crise, les entreprises ne sont globalement pas assez outillées. Seules 4% d entre elles sont à même de mobiliser une cellule de crise. Cette proportion atteint 56% au sein des entreprises de plus de 000 salariés. % des organisations peuvent s appuyer sur des fiches réflexe rappelant les premières actions à mener en cas de crise et 0% disposent d un annuaire de crise. NON Les collaborateurs participent-ils d une manière ou d une autre aux plans de réaction aux cyber-attaques définis? Si 74% des entreprises déclarent impliquer les utilisateurs dans leur processus de détection des attaques, seules 8% d entre elles les intègrent à leurs plans de réaction aux cyberattaques. Il est cependant reconnu que dans certains cas, la mobilisation des utilisateurs peut permettre de limiter la propagation ou l ampleur des dégâts causés par une attaque. Oui : 8% Non : 6% % 8% 0% % % 4% 8 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES? 9

16 Votre entreprise dispose-t-elle d une ou plusieurs solutions techniques de réaction? Alors que 8% des entreprises estiment constituer une cible, 4% d entre elles n ont déployé aucune solution technique leur permettant de faire face à une cyber-attaque. Lorsqu ils existent, ces outils sont dédiés à la prévention ou à la détection des attaques. 70% des entreprises seraient par ailleurs démunies face à une attaque de type DDoS. OUI, AUTRES OUI, ANT-APT OUI, ANTI-DDOS Votre entreprise a-t-elle défini des processus de notifications et de communication? Si la moitié des organisations interrogées indiquent avoir défini des processus de notifications et de communication à l égard de leurs salariés, seules 4% en ont prévu pour leurs clients et 0% pour les autorités. Le projet de règlement sur la protection des données destiné à remplacer la Directive 95/46/CE va obliger les entreprises à progresser en la matière puisque celui-ci comprend l obligation pour les organisations de notifier l autorité en charge de la protection des données (la CNIL en France) dans les 7h suivant un vol de données. Les clients ou usagers concernés par le vol de leurs données personnelles devront également être informés rapidement. OUI - AUTRES OUI - MÉDIAS OUI - AUTORITÉS (BEFTI, OCLCTIC ) OUI - ACTIONNAIRES NON, AUCUNE NON OUI - SALARIÉS OUI, OUTILS DE PRÉVENTION OU DE DÉTECTION % 7% 0% 4% 54% OUI, UNE CELLULE DE CRISE Les moyens (techniques et organisationnels) de réaction aux crises de type cyber-attaque sont-ils réévalués? Par rapport à 0, les entreprises ont progressé suivant le modèle d amélioration continue de leurs dispositifs de réponse aux cyberattaques. Elles sont aujourd hui % à les réévaluer chaque année et % après chaque test, contre 7% et 7% dans la précédente édition de cette étude. Notons que seules 8% d entre elles réévaluent leurs moyens de réaction après une cyber-attaque, ce qui ralentit leur montée en maturité. OUI - AUTRES OUI - MÉDIAS OUI - CLIENTS OUI - ACTIONNAIRES NON OUI - SALARIÉS Conclusion Les entreprises disposent de moyens de réaction, mais restent trop peu structurées d un point de vue organisationnel pour faire face efficacement aux attaques. Trop peu d entre elles mobilisent une équipe dédiée à la réponse aux incidents. Les activités de cette équipe doivent également s inscrire dans un processus de gestion de crise prévoyant la sollicitation d experts en communication et juridiques notamment et la notification des autorités compétentes. La réglementation obligera en effet bientôt les entreprises à notifier rapidement l autorité en charge de la protection des données personnelles ainsi que leurs clients dont les données auraient pu être dérobées. Les utilisateurs doivent en outre également être impliqués dans la stratégie de réponse à une cyber-attaque dans la mesure où leur comportement peut contribuer à contenir l ampleur et la gravité de l attaque. L ensemble des moyens de réaction doit enfin être régulièrement réévalué pour les adapter aux évolutions techniques et organisationnelles. 8% 8% 0% % % 50% 4% 8% 8% 4% % % 50% 0 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES?

17 Chapitre 4 Introduction Collecter des preuves Récupération Quels moyens les entreprises déploient-elles pour réparer les conséquences d une cyber-attaque? Si la majorité des entreprises sont conscientes de leur exposition aux cyber-attaques, elles ne prennent pas toujours les mesures leur permettant d être résilientes en cas d attaque avérée. En cas d agression, il est important de pouvoir collecter des éléments rendant possible la compréhension des ressorts de l attaque ainsi que d identifier les lacunes de ses dispositifs de protection. Au-delà de la réaction technique, les entreprises doivent être à même de réagir en matière juridique et d assurance pour limiter l impact des attaques sur leurs finances. Votre entreprise est-elle équipée d outils permettant la traçabilité / l enregistrement / la collecte des traces et preuves de l agression détectée? Trop peu d organisations (44%) disposent de moyens permettant la traçabilité, l enregistrement, la collecte des traces et preuves des agressions avérées. Or ces éléments sont essentiels à l identification des failles et à la mise en place d actions correctives. Oui : 44% Non : 56% CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES?

18 Votre entreprise a-t-elle défini les processus permettant la prise en compte des aspects juridique et assurance (dossier de plainte / dossier de preuve, estimation du préjudice subi, demande d indemnisation) suite à une cyber-attaque? Votre entreprise dispose-t-elle de moyens d analyse post-mortem des incidents de sécurité (forensic)? Comme en 0, plus du tiers des organisations n est pas en mesure d analyser les incidents post mortem, alors que davantage d entre elles mènent des investigations après avoir constaté une anomalie. Il leur est donc difficile de comprendre le mode opératoire des assaillants et d évaluer précisément l impact de l attaque sur le système d information et les données de l entreprise. Elles ne sont par conséquent pas à même de capitaliser sur les incidents de sécurité et restent exposées à des attaques de même nature. Cela augmente également les conséquences des attaques pour les entreprises qui sont en incapacité de déposer plainte. Oui : 9% Non : 6% La proportion d entreprise déclarant avoir anticipé les démarches juridiques et assurantiels consécutives à une cyber-attaque n a pas progressé par rapport à 0. Ce manque de préparation peut mettre en péril la récupération, voire la pérennité d une entreprise fortement fragilisée par une attaque. Oui, par des dispositifs internes : 7% Oui, par des interventions externes : 7% Non : 6% Conclusion Le déploiement d outils et de moyens liés à la récupération après une cyber-attaque reste insuffisant dans les entreprises. Dans un contexte où la probabilité d occurrence d une telle agression est élevée pour les grands groupes, les PME comme les organisations du secteur public, d avantage doit être fait pour se préparer à limiter les conséquences d une cyber-attaque. D un point de vue technique, les entreprises doivent investir dans des moyens techniques et humains permettant de tirer les enseignements des attaques qu elles subissent pour améliorer leurs dispositifs de détection et de réaction. Elles doivent également s appuyer sur les contrats d assurance complétant les polices classiques et couvrant notamment les frais d expertise technique, d extorsion, de communication de crise, de justice ou encore les pertes directes et indirectes suite à une cyber-attaque. 4 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES? 5

19 Chapitre 5 Sensibilisation Non % Information 44% Cyber-attaque % Des campagnes de sensibilisation à la sécurité de l information auprès des collaborateurs sont-elles planifiées? Engagées dans l implication des utilisateurs dans leurs dispositifs de détection des attaques, 77% des entreprises déclarent mener des campagnes de sensibilisation auprès de leurs collaborateurs. Le tiers les sensibilise aux risques de cyber-attaques. Cette sensibilisation est d autant plus importante que la plupart des attaques ciblent majoritairement les utilisateurs. L amélioration de la résilience des entreprises face aux cyber-attaques passe donc par une systématisation et une récurrence de l implication des utilisateurs en matière de prévention, de détection, mais également de réaction aux attaques. 6 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES? 7

20 Les moyens (techniques et organisationnels) de réaction aux crises de type cyber-attaque sont-ils réévalués? Par rapport à 0, les entreprises ont progressé suivant le modèle d amélioration continue de leurs dispositifs de réponse aux cyber-attaques. Elles sont aujourd hui % à les réévaluer chaque année et % après chaque test, contre 7% et 7% dans la précédente édition de cette étude. Notons que seules 8% d entre elles réévaluent leurs moyens de réaction après une cyber-attaque, ce qui ralentit leur montée en maturité. Conclusion Oui - sans scénario cyber-attque : 7% Oui - avec un scénario cyber-attque : 8% Non : 65% L expérience montre que les attaques actuelles s appuient généralement sur des scénarios ciblant les utilisateurs. Ces derniers doivent par conséquent être impliqués dans tous les dispositifs de lutte contre les cyber-attaques. Cela implique non seulement de communiquer auprès d eux pour leur permettre de jouer un rôle passif dans la sécurité du SI, mais aussi de leur donner un rôle actif. Plus concrètement, il s agit de dépasser le modèle selon lequel l utilisateur était invité à éviter les comportements à risques pour atteindre une nouvelle forme de défense intégrant l utilisateur en matière de prévention, de détection et de réaction. Conclusion générale Depuis notre précédente étude, en 0, les entreprises ont véritablement pris la mesure de la menace que constituait pour elles les cyber-attaques. Beaucoup reste cependant à faire pour assurer un niveau de résilience optimal aux entreprises, petites ou grandes. Les entreprises se sont en effet investies dans la lutte contre la cybercriminalité, mais cette préparation reste trop théorique dans la mesure où elles réalisent encore trop peu de simulations de cyber-crise et ne réévaluent pas régulièrement leurs dispositifs de détection et de réaction. La nature et l ampleur de la menace exigent aujourd hui de changer de paradigme en passant d un modèle de défense rigide s appuyant sur la dissuasion et la prévention à une réponse globale incluant des moyens de réaction aux attaques. Pour ce faire, les entreprises doivent davantage entraîner leurs collaborateurs les équipes techniques comme les utilisateurs à identifier les signes d une attaque en cours. Elles doivent également œuvrer à l amélioration continue de leurs outils de détection et de réponses ainsi qu à celle de leurs dispositifs organisationnels. Enfin, notre étude a mis en évidence un dangereux manque de maturité des petites et moyennes entreprises qui restent moins outillées et organisées que les grands groupes face aux cyber-attaques. Or elles ne sont pas moins exposées à cette menace et peuvent être fatalement fragilisées par un vol de données ou un acte de sabotage de leur SI. 8 CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES? CYBER-ATTAQUES, OÙ EN SONT LES ENTREPRISES FRANÇAISES? 9

21