Exposer les failles de la cybersécurité: France Partie I: Inefficace, en décalage et dans l obscurité Sponsorisé par Websense, Inc. Mené indépendamment par Ponemon Institute LLC Date de publication: juin 2014 Rapport de recherche Ponemon Institute
2 Exposer les failles de la cybersécurité: France Partie I: Inefficace, en décalage et dans l obscurité Résumé Ponemon Institute, juin 2014 Ponemon Institute est heureux de présenter les découvertes de son étude en deux parties, Exposer les failles de la cybersécurité: France, sponsorisé par Websense, Inc. Ce premier rapport révèle les déficiences, le décalage et l'obscurité qui défient les professionnels de la sécurité informatique. Les domaines prioritaires comprennent un déficit en termes d'efficacité des solutions de sécurité; un décalage en ce qui concerne la valeur perçue des données confidentielles; et une visibilité limitée dans les activités cybercriminelles. L étude a sondé 326 professionnels de l'informatique et de la sécurité informatique en France avec une moyenne de 13 ans d expérience dans le domaine. En plus de la France, cette recherche a aussi été menée dans 14 autres pays les États-Unis, le Canada, l Australie, la Chine, Hong Kong, Singapore, l Inde, le Royaume-Uni, l Allemagne, les Pays-Bas, la Suisse, l Italie, le Mexique et le Brésil. Ce rapport couvre les découvertes pour des organisations en France 1. INEFFICACE Les découvertes révèlent que les professionnels de la sécurité ont des systèmes qui ne satisfont pas aux exigences en termes de protection contre les cyberattaques et les fuites de données. Ils doivent avoir accès à des renseignements et des défenses de menace accentués. Parce que le contexte des menaces de sécurité est plus difficile et plus dynamique que jamais, la capacité d'anticiper, d'identifier et de réduire les menaces est essentielle. Soixante-deux pour cent des personnes interrogées pensent que leur organisation n est pas protégée contre les cyber-attaques avancées et 73 pour cent doutent de leur pouvoir d arrêter l'exfiltration d'informations confidentielles. La plupart des personnes interrogées (82 pour cent) croient que les menaces de cybersécurité passent parfois à travers les mailles du filet des systèmes de sécurité actuels de leurs entreprises. Quarante-cinq pour cent des entreprises représentées dans cette recherche ont connu une ou plusieurs cyber-attaques importantes dans la dernière année. (Nous définissons une attaque importante comme celle qui a infiltré les réseaux ou les systèmes d'entreprise.) Soixante-quatre pour cent des entreprises n'ont pas l'intelligence suffisante ou ont des doutes à propos des tentatives d'attaques et de leur impact. En outre, 60 pour cent déclarent que leurs solutions de sécurité ne les informent pas des causes profondes d une attaque ou ne savent pas si leur solution est dotée de cette capacité. EN DÉCALAGE Il y a un décalage en ce qui concerne la valeur perçue des données confidentielles. Soixante-dix-sept pour cent des personnes interrogées affirment que les dirigeants de leur entreprise n'associent pas la perte des données confidentielles à une perte potentielle de 1 Le rapport complet, Exposer les failles de la cybersécurité: une perspective mondiale, Partie I: Insuffisant, en décalage & dans l obscurité contient les découvertes mondiales consolidées. 2
3 revenus, malgré les recherches de l'institut Ponemon indiquant que le coût moyen d'une violation des données organisationnelles s'élève à $ 5,4 millions 2. Trente-cinq pour cent disent que leurs dirigeants de haut niveau ont une compréhension médiocre des problèmes de sécurité. Ce chiffre n'a pas été mesuré dans les enquêtes précédentes, mais il est présumé que la sensibilisation de la cybersécurité a probablement augmenté au cours des dernières années. DANS L'OBSCURITÉ Beaucoup de professionnels de la sécurité ont du mal à surveiller le contexte des menaces et ne sont pas sûrs s'ils ont été victimes d'une attaque. Quarante-six pour cent des personnes interrogées croient qu'elles ont une bonne compréhension du contexte des menaces auquel leur entreprise est confrontée. Seulement 43 pour cent des personnes interrogées pourraient dire avec certitude que leur organisation a perdu des informations sensibles ou confidentielles du fait d'une cyberattaque. Vingt-six pour cent de celles qui avaient perdu des informations sensibles ou confidentielles ne savaient pas exactement quelles données avaient été volées. Principales conclusions: Insuffisant, en décalage et dans l'obscurité Ce qui suit est une analyse des principaux résultats et différences basés sur les réponses des organisations participantes situées en France. INEFFICACE Il y a une carence dans la capacité d'une organisation à se protéger contre les cyberattaques et disposer de la bonne technologie pour neutraliser la perte et le vol des données. Les résultats montrent une tendance inquiétante en matière de cybersécurité. Lorsqu'on les interroge sur l'état de la cybersécurité aujourd'hui, 62 pour cent des personnes ne pensent pas que leur organisation est protégée contre les cyber-attaques avancées. Soixante-treize pour cent n'ont pas la sécurité capable d empêcher les cybercriminels de voler des informations d'entreprise. Seulement 30 pour cent sont d'accord qu'il est possible de créer un programme de sécurité en mesure de résister à toutes les attaques ciblées. Il n'est donc pas surprenant que la plupart des répondants (82 pour cent) croient que les menaces à la cybersécurité passent parfois à travers les mailles du filet des systèmes de sécurité actuels de leurs entreprises. Beaucoup de professionnels de la sécurité ont du mal à suivre le rythme. Avec des attaques de grande envergure qui font la une des médias chaque semaine, les professionnels de la cybersécurité ont du mal à suivre le rythme du contexte des menaces. Quarante-cinq pour cent des entreprises représentées dans cette étude ont connu une ou plusieurs cyberattaques importantes au cours des 12 mois précédents. (Une attaque importante est définie comme celle qui a infiltré les réseaux des systèmes de l entreprise.) La compréhension de l'attaque doit être améliorée. Quarante-quatre pour cent des personnes interrogées disent que les solutions de sécurité de leur entreprise ne fournissent pas l'intelligence suffisante pour les informer d'une tentative de cyber-attaque et des conséquences potentielles. 2 Étude du coût de la violation des données de 2013: Analyse globale, menée par Ponemon Institute et sponsorisée par Symantec. 3
4 En outre, 20 pour cent admettent ne pas savoir si elles reçoivent ces informations. Seulement 36 pour cent disent que leurs solutions fournissent des informations exploitables. Soixante pour cent des personnes interrogées affirment que leurs solutions de sécurité actuelles ne fournissent pas d'informations sur les sources et / ou les causes profondes des cyber-attaques ou sont incertaines. EN DÉCALAGE Il existe un décalage dans la perception de la valeur perçue des données confidentielles. Selon les personnes interrogées, il existe un écart entre la perception des violations de données et la réalité - en particulier en ce qui concerne la perte potentielle de revenus pour leur entreprise. Soixante-dix-sept pour cent des personnes interrogées affirment que leurs dirigeants ne croient pas que la perte de données confidentielles de leur organisation pourrait entraîner une perte potentielle de revenus. Trente-sept pour cent des personnes interrogées disent que leurs administrateurs et dirigeants ont une compréhension médiocre des problèmes de sécurité. Cependant, la sensibilisation à la cybersécurité est de plus en plus présente au sein de ce groupe et devrait continuer dans l'avenir. DANS L'OBSCURITÉ Beaucoup de professionnels de la sécurité sont dans l'obscurité. Les recherches révèlent que les personnes interrogées trouvent qu'il est difficile de surveiller le contexte des menaces et même de savoir si leur organisation a été attaquée. En outre, moins de la moitié (46 pour cent) ont une bonne compréhension du contexte des menaces auquel leur entreprise est confrontée aujourd'hui. Les plus grandes cibles des cyber-attaques sont la propriété intellectuelle et les données des clients. Beaucoup de professionnels de la sécurité passent des nuits blanches à cause de la sophistication des menaces actuelles. On a demandé aux personnes interrogées si leur organisation avait en effet perdu des données à la suite d'une cyber-attaque et, si oui, quels types de données ont été perdus ou volés. Alors que 43 pour cent des personnes interrogées affirment avec certitude que leurs entreprises ont perdu des informations sensibles ou confidentielles du fait d'une cyber-attaque, 27 pour cent sont incertaines. Les données les plus souvent ciblées sont des données de clients suivies par la propriété intellectuelle. Toutefois, 26 pour cent de celles qui avaient perdu des informations sensibles ou confidentielles ne savaient pas exactement ce qui avait été volé. Conclusion Ce rapport de recherche expose les failles dans les défenses de la cybersécurité pour les organisations. Comment les entreprises peuvent-elles mieux gérer les cyber-attaques visant leurs informations sensibles et confidentielles? Voici quelques recommandations: Éliminer l'incertitude des cyber-risques en investissant dans des technologies qui fournissent une visibilité et des détails sur les tentatives d'attaques et la manière dont les attaques réussies pourraient affecter votre entreprise. Rechercher les moyens d acquérir une meilleure compréhension de la menace et de la défense en temps réel. Déployer une stratégie de défense mondiale qui intègre le web, les courriels et les canaux mobiles. Éviter l'hyper-focalisation sur un canal et examiner toutes les voies de vos utilisateurs et l'utilisation du réseau pour interagir avec l'information. 4
5 Évaluer les capacités et les déploiements de solutions de sécurité contre un modèle complet de chaîne de frappe pour éliminer les lacunes et minimiser les chevauchements excessifs. Trouver des méthodes d'enseignement de la sécurité efficaces pour les employés afin de promouvoir la coopération et de communiquer la gravité des cyberattaques et réduire les comportements à haut risque. Ponemon Institute Favoriser la gestion responsable de l'information Ponemon Institute se consacre à la recherche indépendante et à l'éducation qui favorisent les pratiques de gestion de l'information responsable et de la protection de la vie privée au sein des entreprises et du gouvernement. Notre mission est de mener des études empiriques de haute qualité sur des questions essentielles qui touchent la gestion et la sécurité des informations sensibles sur les personnes et les organisations. En tant que membre du Council of American Survey Research Organizations (CASRO), nous défendons la confidentialité stricte des données, le respect de la vie privée et les normes éthiques de recherche. Nous ne collectons aucune information personnelle permettant d'identifier des individus (ou aucune information permettant d'identifier une organisation dans notre recherche de l'entreprise). En outre, nous avons des normes de qualité strictes pour garantir qu'on ne pose pas aux sujets des questions hors de propos, non pertinentes ou inappropriées. 5