La sécurité informatique à l heure de la 3 ème plate-forme. Karim BAHLOUL Directeur Etudes et Conseil IDC France 20 mai 2014

Transcription

1 La sécurité informatique à l heure de la 3 ème plate-forme Karim BAHLOUL Directeur Etudes et Conseil IDC France 20 mai 2014

2 Quelques chiffres sur l ampleur des attaques Le blog hackmaggeddon.com, répertorie 1300 attaques documentées sur 2013 Les motivations de ces attaques relèvent pour : 47% de la cybercriminalité 44% de l hacktivisme 5% du cyberespionnage 4% de la cyberguerre Ce n est qu une partie infime des attaques! Les techniques utilisées : 23% DDOS 19% Injections SQL 14% Defacement 9% piratage de comptes 6% attaques ciblées En 24h, le 14 mai 2014, attaques attaques DDOS DDOS ont ont été lancées été lancées (source atlas.arbor.et/summary/dos) Le niveau moyen des attaques est supérieur à 30Gbps 10% des attaques DDOS excèdent 60Gbps 2

3 Comment les attaques informatiques peuvent nuire à l entreprise? PRINCIPAUX RISQUES BUSINESS PERÇUS PAR LES RSSI Perte de propriété intellectuelle Perte d'informations personnelles Atteinte à la réputation Atteinte à la réputation Perte de disponibilité Problème contractuel ou juridique Atteinte à la réputation Perte financière 0% 5% 10% 15% 20% 25% Q. : Quel est le plus grand risque business lié à une attaque contre le système d information de votre entreprise? Source : European Survey, IDC N = 110 3

4 Quelles sont les cibles favorites? Toutes les entreprises sont à risque Une prédilection pour les entreprises BtoC Banques 37% Retail 24% Visées financières : 95% Autres : 5% Telecom, Utilities, Transport 7% Visées financières : 75% Espionnage : 20% Autres : 5% Espionnage : 80% Visées financières : 20% Et pour les industriels qui ont une stratégie orientée sur la marque, la santé, la high tech 13% Le secteur public (4%) de plus en plus ciblé Grands comptes, PME TPE : le Web a «démocratisé» les cibles Espionnage : 90% Autres : 5% Visées financières : 30% Espionnage : 25% Hacktivisme : 25% Autres : 20% 4 Source : IDC et «2013 Data Breach Investigation report», Verizon

5 Quel est l impact financier pour l entreprise? Le coût moyen pour une entreprise attaquée est 5,5 M$ RÉPARTITION DES COÛTS 5% Perte ou vol d'information 19% 44% Interruption des activités Perte de clients 30% Remise à niveau des équipements Autres coûts 93% des coûts portent atteinte à la réputation de l entreprise Le coût global des cyber attaques est estimé à 300 milliards d euros pour les entreprises en 2013 Source : Clusif et Ponemon Institute 5

6 6

7 La 3ème plateforme informatique s impose ++Milliards d objets Milliards d utilisateurs Millions d applications Centaines de million d utilisateurs Dizaines de milliers d applications Millions d utilisateurs Milliers d applications IDC Visit us at IDC.com and follow us on 7

8 La 3ème plateforme impose la gestion de nouveaux risques Risques contractuels, risques de sécurité, risques réglementaires 8

9 None Consequence Significant Importance et impacts des menaces de sécurité Elevées Faibles Conséquences APT Internet des objets Malware sur Tablette/téléphone Solutions Cloud Actions délibérées Cyber attaques Réseaux hackés Négligence des employés Perte ou vol de l'équipement Conformité Malware PC None Experience Significant Faible Expérience Elevée 9

10 None Consequence Significant Importance et impacts des menaces de sécurité Faibles Conséquences Elevées APT Internet des objets Malware sur Tablette/téléphone Solutions Cloud Actions délibérées Cyber attaques Réseaux hackés Négligence des employés Perte ou vol de l'équipement Conformité Malware PC None Experience Significant Faible Expérience Elevée 10

11 None Consequence Significant Importance et impacts des menaces de sécurité Elevées Faibles Conséquences APT Internet des objets Malware sur Tablette/téléphone Solutions Cloud Actions délibérées Cyber attaques Réseaux hackés Négligence des employés Perte ou vol de l'équipement Conformité Malware PC None Experience Significant Faible Expérience Elevée 11

12 None Consequence Significant Importance et impacts des menaces de sécurité Faibles Conséquences Elevées APT Internet des objets Malware sur Tablette/téléphone Solutions Cloud Actions délibérées Cyber attaques Réseaux hackés Négligence des employés Perte ou vol de l'équipement Conformité Malware PC None Experience Significant Faible Expérience Elevée 12

13 La sécurité, premier point d attention des projets de mobilité La sécurité des données et informations 80% Sécurité 1 Difficulté à intégrer les applications Les difficultés techniques de mise en Complexité liée au versionning des OS Le coût de la transformation / acquisition 9% 15% 21% 35% 33% Intégrer la stratégie mobile à l existant Gérer des environnements multiples Intégration 2 Développement Le coût de la gestion des applications La Direction générale y est opposé 8% 27% Démontrer le business case de la mobilité Coûts 3 Peu d'intérêt de la part des salariés 8% 0% 25% 50% 75% 100% Question : Quels sont les principaux freins à l ouverture de tout ou partie du système d information à la mobilité? 13

14 L expérience utilisateurs force la réflexion sur l accessibilité et la sécurité en mobilité Volonté de développer les usages des outils mobiles en situation de nomadisme (% des salariés) 75% Freins à l usage des outils mobiles (% des salariés) 83% Les freins à l utilisation d outils mobiles (% des salariés) Lenteur de connexion Interruption des connexions 42% 56% Craintes liées à la sécurité des données personnelles et professionnelles Perte de données en cas de perte de connexion Manque de fonctionnalités des outils mobiles Beaucoup d'applications ne sont pas accessibles depuis les outils mobiles Inadaptation des applications aux environnements mobiles Environnement de travail différent d'un équipement à l'autre Le coût de l'utilisation des services 24% 22% 27% 25% 42% 40% 47% Quelles sont les principaux freins que vous rencontrez dans l utilisation d'outils mobiles (qu'ils soient personnels ou professionnels)? 14

15 Les priorités des entreprises en matière de sécurité : la mobilité en «première ligne» Initiatives Sécurité pour 2014 Améliorer la sécurité pour les équipements en place Améliorer la sécurité pour les environnements mobiles Améliorer la sécurité liée à la conformité réglementaire Consolider l'infrastructure de sécurité Améliorer la sécurité liée à l'adoption cloud/saas 53% 80% 78% 73% 93% 0% 25% 50% 75% 100% Sécurité pour Smartphones et tablettes Terminaux mobiles Accès Applications Terminaux mobiles Non 31% En projet 20% En place ou en cours de déploiement 49% Nature des solutions 41% IDC Visit us at IDC.com and follow us on 15 88% 85% 83%

16 Modèle de maturité de la Sécurité mobile Verifier Close Loop Déployer Conformité Roadmap Mgmnt Mobile Ajuster Stratégie Eduquer Aligner Préparer Evaluer Budget Politique 16

17 Réseaux sociaux: quelles menaces pour les entreprises? Les menaces associées aux réseaux sociaux Aucune menace associée aux réseaux sociaux 25% Les réseaux sociaux sont une menace 75% 75% Perte de donnes confidentielles Les Malwares, virus, chevaux de Troie L'usurpation d'identité 54% 65% 57% Les spams 51% 50% des entreprises mènent des initiatives pour limiter les risques Outils de filtrage de contenus, scanning traffic pour les malwares, classification des contenus Les logiciels espions Les arnaques par hameçonnage (Phishing) La qualité de services en raison de problèmes de bande passante 25% 49% 42% Encore peu d initiatives ont été menées autour de la gestion des identités et du DLP. 0% 20% 40% 60% 80% Question : Selon vous, à quel type de menaces l entreprise peut-elle être exposée à travers l utilisation d un réseau social? 17

18 Répondre aux enjeux des APT Identité, Authentification et Autorisation, maître-mot des APT Conformité des identités et de l authentification dans le Cloud Augmentation des solutions d authentification SSO fédérées via l adoption de SAML L adoption des terminaux mobiles tire les innovations (NFC, authentification et signature électronique) Le BYOD, apportera la «consumerisation» à la sécurité de l entreprise APT : Vers des plates-formes intégrées de sécurité Enjeux : faire face à la complexité des attaques contre les terminaux, le Web, la messagerie, les mobiles et les réseaux Nécessite une plate-forme centralisée couplée à une politique d architecture Augmenter les taux de détection et améliorer les temps de réaction Déploiement inter-segments de fonctionnalités intégrées de sécurité incorporant une politique centralisée Plate-forme de sécurité multicouche conçue pour des menaces persistantes, et supportant l évolution du paysage réglementaire 18

19 19

20 #1 Les priorités des European entreprises Survey évoluent Trends Réduire / Controller les coûts Améliorer la sécurité informatique Améliorer les services aux utilisateurs Supporter l'innovation métiers Améliorer les processus IT Initiatives IT pour 2014 Solutions IT pour 2014 France Europe 36% 46% 46% 51% 55% 0% 20% 40% 60% 20

21 #2 Les investissements liés à la protection informatique vont continuer de croître DÉPENSES EN SÉCURITÉ % de la dépense IT globale 1,5 milliards d Solutions de sécurité 46,0% Services professionnels 13,0% Services managés de sécurité 15% Identités et accès 10,1% de croissance moyenne annuelle d ici 2017 Gestion des vulnérabilité : 7,7% Sécurité des terminaux : 6,2% Web réseaux, autres : 3,6% Equipes sécurité internes (salaires) 26% 21

22 #2 Les investissements liés à la protection informatique vont continuer de croître PLUS DE 10% DES BUDGETS SÉCURITÉ SONT UTILISÉS POUR LA CONFORMITÉ LÉGALE ET RÈGLEMENTAIRE La législation évolue vers une approche unifiée de pénalisation des pertes de données Les réseaux sociaux sont de plus en plus surveillés La mobilité s étend, et les risques de nonconformité s accroissent Le développement du cloud pose de nouvelles questions en matière juridique Impact pour la DSI L intégration de cette couche sécurité engage le CFO (finance), la direction marketing (réputation), les opérations, et la direction RH 22

23 #3 Une coopération nécessaire entre DSI et Direction marketing SITES WEB ET RÉSEAUX SONT AU CŒUR DES PRIORITÉS DES DIRECTIONS MARKETING 30% Publicité et opérations médias (hors Web) 19% Evènementiel 10% En forte hausse Sites Web de l'entreprise 48% Canaux mobiles 3% Réseaux sociaux 7% Référence ment 14% Display ads et Search ads 7% Marketing Numérique 7% Relations presse/ analystes Evènement s Web, webcast 3% marketing 18% Source : Enquête IDC France Novembre 2012, n =

24 #3 Illustration de la coopération Marketing et Sécurité Part au financement Gestion centralisée de tous les réseaux sociaux officiels Optimisation de la stratégie sécurité des réseaux sociaux tout en maintenant un équilibre avec l utilisation formelle et informelle de ces réseaux Protection des profils individuels des employés de l entreprise Légitimer les demandes d authentification des identités pour éviter le piratage et l usurpation des comptes 30% 4% 35% 31% Finance, achats, direction générale, autres Département des Ventes Département Informatique Département Marketing Surveillance proactive de la perception des marques et de l entreprise sur le web Q. : Quelle est la part du financement des projets informatiques de marketing par les départements suivants? Source : Enquête IDC France Novembre 2012, n =

25 #4 Intégration de la couche sécurité informatique dans les métiers Sécurité de l information Risque métier Finance Retail Cyber sécurité Violation des Données Clients Nouvelle vague de cyber-attaques et de fraude Stockage des données financières Solvency2 pour les assureurs Marketing et commerce Omnichannel Conformité des opérations Industrie Protection de la Propriété Intellectuelle Résilience de la supply chain Utilities Infrastructure Critique Cyber-attaque des systèmes SCADA et Smartgrids Directive EMIR Santé Mobilité et Dossiers Médicaux Electroniques Secret médical et identité médicale des patients GRC des interractions interactions Numérisation des services publics Secteur Public Infrastructure Mobile Critique Usage des mobiles par les citoyens Cible privilégiée des hackers 25

26 #4 La demande des CxO : Une sécurité prévisible en charge opérationnelle Les multiples couches de sécurité renforce la complexité Des CxO découragés et frustrés alors que la gamme de technologies, de services et de fournisseurs continue d évoluer La simplicité et l accroissement des risques tirent la demande vers les services de sécurité managés De la conformité, de la conformité, de la conformité 26

27 #5 L analytique et le big data, vecteurs d une sécurité intelligente Solutions déployées Basées sur des données brutes non corrélées Souvent dédiées Axées sur la décontamination Le Big Data : pour faire quoi? Déploiements à venir : Intégration des SIEM avec des rapports et tableaux de bord personnalisés Prise en compte des automates programmables industriels et des systèmes de télégestion SCADA Des analyses Big Data reposant sur des centaines de flux de données et des milliards d évènements Fraudes, gestion des risques, sécurité Enjeux Une sécurité intelligente basée sur la prise en compte de données internes et externes Pas de limites à la taille des bases de données Automatiser la collecte et l analyse des incidents Le temps réel au cœur des besoins 27

28 Conclusions : 4 P en présence People : Former et sensibiliser les employés permettra de réduire considérablement les risques en provenance des utilisateurs et d améliorer leur capacité à identifier les menaces potentielles Processus : limiter les privilèges, sécuriser le maillon le plus faible, proposer des défenses en profondeur, prévoir (sécuriser) les échecs, améliorer l imprévisibilité, enrôler les utilisateurs, favoriser la simplicité. Détecter les attaques, répondre aux attaquants, être vigilant, observer les observateurs Politiques : Ensemble d'exigences ou des règles qui sont nécessaires pour atteindre les objectifs fixés. Les politiques de sécurité doivent trouver un équilibre entre les accès (l ouverture) et la sécurité. Elles doivent minimiser les risques tout en évitant les restrictions d'accès injustifiées aux personnes qui en ont besoin Performance: L impératif de mesurer la performance de la sécurité portée par des exigences réglementaires, financières et organisationnelles. Le but est d identifier les causes de mauvaises performances et d appliquer des actions correctives appropriées IDC Visit us at IDC.com and follow us on 28

29 Karim BAHLOUL Directeur Etudes et Recherche T P kbahloul@idc.com IDC France 13 rue Paul Valery Paris