Club des Experts de la Sécurité de l Information et du Numérique Cybersécurité dans les entreprises 9 ème Entretiens de Télécom ParisTech Alain Bouillé Président du CESIN
Sommaire 1. Quel terrain de jeu numérique? 2. A quoi sommes nous confrontés dans les entreprises? 3. Comment les entreprises abordent ce phénomène? 27/03/2015 2
Notre monde est numérique En 2014, 40%de la population mondiale -soit 2,8 Md d individus - ont accès à Internet La quasi-totalité de la population mondiale est à proximité d un signal de réseau mobile Le nombre d équipements mobilesreliés à un réseau a dépassé la population de la planète en 2013 14 mds d objets sont connectés à Internet: chiffre qui va être multiplié par cinq d ici 2020 La puissance de calcul d exprime en Teraflops(mille milliards d opérations par seconde) voire en Exaflops(un million de milliards) 3 L internet des objets risque de signer le fin de la vie privée avec la traçabilité de ces objets connectés aux êtres humains
La transformation numérique signifie : Une ouverture du système d information vers les clients, les partenaires mais aussi La mobilité des salariés, Le BYOD, L outsourcing, Le cloud organisé ou non, Le shadowit Les nouveaux usages métiers avec le renforcement du «Power to the customer» mais aussi letime to market et bientôt les objets connectés 27/03/2015 4
L espace social du web 5
Sommaire 1. Quel terrain de jeu numérique? 2. A quoi sont confrontées les entreprises? 3. Comment les entreprises abordent ce phénomène? 6
Evolution de la cybercriminalité Des motivations élargies
Les raisons de la croissance de la cybercriminalité Gains importants Risques faibles Expertise accessible Cibles de plus en plus nombreuses 8
Evolution de la cybercriminalité Les chiffres clefs 9
36% Evolution de la cybercriminalité Les cibles de la cybercriminalité Tous les secteurs sont touchés 24% 20% 20% Finance Distribution Service Industrie Vol de données clients Fraude Vol de données Fusions & Acquisitions Vol de données confidentielles ou de données clients 10 Vol de données clients Piégeage de sites Web Vol données confidentiel les (réseau industriel, R&D, innovations Source : Verizon 2013
Sommaire 1. Quel terrain de jeu numérique? 2. A quoi sommes nous confrontés dans les entreprises? 3. Comment les entreprises abordent ce phénomène? 27/03/2015 11
La France autant concernée que les autres pays : enquête CESIN-Provadys sur les cyber attaques Qu est-ce qu une cyber-attaque? Agressionutilisant / affectant le SI et visant à provoquer des perturbations aux conditions de fonctionnement nominal de l entreprise ou de ses ressources 12
Enquête CESIN-Provadys sur les cyber attaques 13
Enquête CESIN-Provadys sur les cyber attaques Thème 1 : focus sur la préparation Les entreprises sondées ont conscience de leurs vulnérabilités et faiblesses face au scénario de cyberattaque: 52% ontétéaffectéesaumoinsunefois parunecrisedecyber-attaque Seulement 11% d entre elles ne se considèrent pas comme une cible d attaque Les entreprises sont, dans la théorie, préparées au risque de cyber-attaque : 60% intègrent ce scénario dans leur processus de gestion de crise 62% mettentenplacedesmoyensspécifiques/dédiés àlapriseencomptedecesmenaces 96% réalisent des tests de pénétration/ d intrusion sur leurs sites les plus sensibles 81% intègrent dans ces tests le scénario de cyber-attaque Cependant, elles manquent de maturité face à cette thématique: 71% ne disposent pas d une cartographie SI organisée selon le niveau d exposition au risque de cyber-attaque 63% ne connaissent pas les plans de réponse à une cyber-attaque de leurs fournisseurs de services essentiels 49% neréalisentpasdesuivietdemiseàjourrégulière deleurniveaud expositionaurisquedecyber-attaque 14
Enquête CESIN-Provadys sur les cyber attaques Thème 2 : focus sur les capacités de détection Les entreprises disposent aujourd hui d outils techniques de détection : 41% ont mis en place au moins deux outils orientés détection des attaques Cependant, ces outils ne sont pas régulièrement réévalués en termes d efficacité et ne gagnent donc pas suffisamment en maturité: 46%réalisentdesauditsoudesrevuestouslesans (17%tousles6mois) 32% réalisent des investigations sur toutes les anomalies détectées (dans le cadre de la surveillance opérationnelle de la sécurité de leur SI) 43% ne réévaluent pas leurs moyens de détection des incidents de type cyber-attaque Enfin, les utilisateurs ne sont, à leur niveau, pas suffisamment impliqués: 53% des entreprises, ne disposent pas de moyens de détection et/ou de remontée d alerte au niveau utilisateurs 15
Enquête CESIN-Provadys sur les cyber attaques Thème 3 : focus sur les capacités de réaction D un point de vue ressources humaines, les entreprises ne sont pas suffisamment matures dans leurs moyens de réaction : 83% ne disposent pas d équipe dédiée et/ou en charge du traitement des incidents de type cyber-attaque 60% ne disposent pas de cellule et/ou d outils de veille dédiés à la cyber-attaque 47% ne disposent pas d experts spécialisés dans le traitement d une cyber-attaque D unpointdevue pratique : 58% ne définissent pas de processus et/ou de moyen de notification en cas de cyber-attaque Enfin, pour les entreprises disposant de moyens de réaction: 45% ne procèdent pas à une réévaluation de leurs moyens de réaction face à une cyber-attaque 16
Enquête CESIN-Provadys sur les cyber attaques Thème 4 : focus sur les capacités de récupération Au sein des entreprises, la probabilité d occurrence d une agression de type cyber-attaque très élevée à moyen terme pourtant : 32% ne disposent pas d outils permettant la traçabilité, l enregistrement, la collecte des traces et preuves de l agression détectée 59% ne définissent pas de processus permettant de prendre en compte les aspects juridique et assurance suite à une cyber-attaque Cependant : 62% disposent de moyens d analyse post-mortem des incidents de sécurité 46% des entreprises disposant de moyens de récupération procèdent à une réévaluation régulière de leurs moyens de récupération suite à une cyber-attaque 17
Enquête CESIN-Provadys sur les cyber attaques Thème 5 : la sensibilisation au sein de l entreprise Bien qu en théorie préparées aux crises de type cyber-attaque, les entreprises n y sont pas suffisamment entrainées : 72% ne réalisent pas d exercice de crise avec un scénario de cyber-attaque 59% n ont pas prévu de réaliser un exercice de crise avec un scénario de cyber-attaque Cependant, 61% des entreprises réalisent des campagnes de sensibilisation auprès des collaborateurs intégrant la notion de cyber-attaque bien que 20% d entre elles déclarent ne pas impliquer leurs collaborateurs dans les plans de réactions aux cyber-attaques définis 18
Enquête CESIN-Provadys sur les cyber attaques Synthèse globale Les entreprises sont aujourd hui conscientes de la réalité du risque de cyber-attaque. Elles l ont intégré dans leur phases amont de réflexion. Néanmoins, elles manquent de préparation concrète pour faire face à l occurrence d une cyberattaque Au-delà des moyens techniques qui sont pour la plupart en place les entreprises doivent encore entrainer leur organisation à faire face à une situation qui au fil des ans est passée du statut de «possibilité technique» à «quasicertitude statistique» Les entreprises ont connaissance des actions qu elles ont à mener mais pour autant ne se préparent pas suffisamment à les mettre en œuvre Le cycle PDCA est bien compris en théorie mais n est pas(encore) appliqué à la gestion des cyber-attaques (surtout pour les phases vérification et action) Enfin, sans entrainement et sans un niveau de maturité suffisant des processus (détection / réaction / récupération) il sera difficile pour les entreprises d envisager la RESILIENCE 19
Des impacts directs de gestion de crise déjà très conséquents 20
La nécessaire implication de tous les acteurs Direction générale Métiers et Chief Digital Officer Juridique, communication, sûreté DSI et équipes opérationnelles Risk management, assurance et crise RSSI 21
Comment lutter contre la cybercriminalité? Anticiper Sensibiliser les salariés, former les informaticiens et en particulier les développeurs, Prôner le «security inside», Tester, recetter, auditer, Etablir une cartographie des «portes d entrée», Se préoccuper de la sécurité des partenaires Continuer de protéger, mais pas comme avant! Travailler sur une «vraie» architecture sécurité, Penser à simplifier les empilements de boitiers, Investir sur des outils complémentaires (SOC/SIEM/DLP/authentification forte, «anti-apt» ) Détecter & réagir : 200 jours en moyenne pour détecter une attaque réussie ça doit faire réagir! Se doter d un SOC et si c est hors de portée, louer les services d un partenaire compétant, Se doter d un processde gestion de crise. Réfléchir à son attractivité pour les hackers et élaborer les plan de réponse correspondants, Réfléchir au processus de récupération, S entrainer S améliorer Chaque incident doit être formateur ne pas hésiter à remettre «l ouvrage sur le métier». 27/03/2015 22
Sans oublier la cyber assurance Nouveau Cahier Technique disponible enligne: www.cesin.fr 23
En conclusion : une posture à faire évoluer Du château-fort à l aéroport! Historiquement, la protection Aujourd hui, la nécessité d une meilleure détection/réaction 24