Questionnaire aux entreprises Septembre 2011 INTRODUCTION Dans le cadre des activités de Ra&D de l Ecole d Ingénieurs et d Architectes de Fribourg, le projet d observatoire national (NetObservatory) pour la sécurité de l Internet Suisse a démarré en 2010. Son but est dans un premier temps de fournir une vue globale du niveau de sécurité de l Internet au niveau national, et dans un deuxième temps d offrir une surveillance plus complète des sites et réseaux d entreprises et organisations qui le désirent. Les premiers résultats des analyses ont été publiés en décembre 2010 au travers de notre rapport trimestriel NORA (NetObservatory Report & Analysis) qui démontrent que plus de 70% des sites web ème ème Suisse ont des vulnérabilités potentielles et lors de la publication de notre 3 rapport pour le 2 trimestre 2011, nous constatons que cela ne s améliore pas! Par exemple, seul 15% des sites web utilisant Typo3 ont des versions récentes. Ces rapports sont disponibles gratuitement sur notre site internet : http://www.netobservatory.ch Afin de mieux comprendre l impact que peut représenter une attaque informatique sur l infrastructure des entreprises, nous avons transmis un questionnaire à 800 entreprises suisse afin de déterminer l importance de la sécurité des infrastructures IT dans les PME. netobservatory, c/o EIA-FR, Bd de Pérolles 80, CP 32, CH-1705 Fribourg T. +41 (0)26 429 66 11 - F. +41 (0)26 429 66 00 - www.netobservatory.ch
1. Informations générales sur les entreprises ayant répondu au questionnaire Les entreprises ciblées par ce questionnaire étant principalement des PME, tous les secteurs d activités sont présents dans les résultats de ce sondage, avec une part faible d entreprises travaillant dans le domaine des télécommunications, des transports et de la finance. Environ 5% des entreprises questionnées ont répondues. Finance 2.1% Services de santé 4.2% Education 4.2% Manufacture 8.3% Administration 8.3% Commerce 10.4% Conseil 14.6% Autres 18.8% Techonologie de l'information 29.2% 5.0% 1 15.0% 2 25.0% 3 35.0% Figure 1 : Secteurs d'activité Plus de 80% des entreprises ayant répondu au questionnaire ont moins de 60 employés. plus&de&200& 100&et&200& 81&et&100& 61&et&80& 6.1%& 3.0%& 3.0%& 6.1%& 41&et&60& 15.2%& 21&et&40& 9.1%& 1&et&20& 57.6%& & 1& 2& 3& 4& 5& 6& 7& Figure 2 : Répartition du nombre d'employés plus%de%100%miochf% 6.1%% 10%et%100%mioCHF% 21.2%% 1%et%10%mioCHF% % 100%et%1000%kCHF% 15.2%% 10%et%100%kCHF% 6.1%% % 5.0%% 1% 15.0%% 2% 25.0%% 3% 35.0%% Figure 3 : Répartition du chiffre d'affaire netobservatory Questionnaire aux entreprises 2/8
2. Attaques subies en 2010 On constate que les virus représentent une grande partie (~28%) des problèmes informatiques rencontrés dans les PME, suivi par le vol de matériel informatique (~18%) et par les défacements 1 /attaques des sites web de l entreprise (7.7%+15.4%). Ces derniers peuvent fortement nuire à l image de l entreprise. Selon le dernier rapport de PandaLabs 2, la Suisse se trouve dans le Top 10 des pays les moins infectés, avec 29% de systèmes infectés en comparaison avec la Chine qui a un taux d infection de 61%. Pénétration des systèmes par des externes Accès non autorisé à des systèmes par des internes Attaque due à une faiblesse dans un nav. Web Intrusion dans un réseau sans fil Machines zombies / botnets dans réseau de l'entreprise Vol de données confidentielles Fraude financière Vol de mots de passe 2.6% 2.6% 2.6% Dénis de service 5.1% Abus de la connexion Internet par des internes Défacement d'un site web 7.7% 7.7% Abus de la messagerie instantanée 10.3% Autre attaque d'un site web sur Internet 15.4% Vol / Perte d'ordinateurs portables 17.9% Infection virus / malwares 28.2% 5.0% 1 15.0% 2 25.0% 3 Figure 4 : Type d attaques subies en 2010 On constate que les pertes dues à des attaques proviennent pour 1/5 de l interne de l entreprise et pour 28.4% de l externe. Pourcentage des pertes dues à des accidents 18.0% Pourcentage des pertes dues à des internes 21.2% Pourcentage des pertes dues à des actes délibérés 25.3% Pourcentage des pertes dues à des externes 28.4% 5.0% 1 15.0% 2 25.0% 3 Figure 5 : Sources des attaques 1 Un défacement est un anglicisme désignant la modification non sollicitée de la présentation d'un site web, suite au piratage de ce site. 2 Quaterly Report PandaLabs (April-June 2011), http://press.pandasecurity.com/wp-content/uploads/2011/07/pandalabs-report-q2-2011.pdf netobservatory Questionnaire aux entreprises 3/8
Combien d'attaques à grande échelle? 8 Combien d'attaques ciblées sur votre entreprise? 19 Combien d'attaques avez-vous subi? 87 0 10 20 30 40 50 60 70 80 90 100 Figure 6 : Nombre d attaques subies en 2010 Le nombre d attaques subies par les entreprises questionnées est au nombre de 87. Sur celle-ci 9.1% (soit 8) sont des attaques à grande échelle et 21.8% (soit 19) sont des attaques ciblées sur l entreprise. Si l on observe la Figure 7, on constate qu environ la moitié des entreprises questionnées n ont pas répondu au deux premières questions. Est-ce par manque de connaissance de ce qu il s est passé? Ou par discrétion? Un autre point positif est qu un tiers des entreprises questionnées n ont subit aucune attaque en 2010. Il n y a par contre pas de secteurs d activités plus touchés qu un autre. Combien d'attaques à grande échelle? 48.5% 18.2% Combien d'attaques ciblées sur votre entreprise? 45.5% 21.2% Pas de réponses Aucune Combien d'attaques avez-vous subi? 27.3% 48.5% 1 et plus 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Figure 7: Attaques subies en 2010 (détails) 3. Pertes Les pertes mentionnées ici sont faibles, mais nous estimons que celles-ci sont sous-estimées, les entreprises ne préférant pas mentionner des chiffres «réels» ou n ont simplement pas répondu à cette question (seul 60% ont répondu). plus%de%20%kchf% % 10%et%20%kCHF% 3.0%% 0%et%10%kCHF% 60.6%% % 1% 2% 3% 4% 5% 6% 7% Figure 8 : Estimation en CHF des pertes dues aux attaques netobservatory Questionnaire aux entreprises 4/8
4. Mesures de protection Il est intéressant de constater qu en moyenne 10% du budget informatique est dédié à la sécurité de l infrastructure IT, avec une fourchette qui se situe entre 2 et 30%. Cette répartition dépend aussi fortement du secteur d activité de celle-ci (industrie ou service/finance). Une étude de Gartner 3 en 2010 a démontré que les entreprises européennes consacrent en moyenne 4.3% de leur budget IT pour la sécurité. Par rapport au budget total 2.9% Par rapport à votre budget IT 10.2% 2.0% 4.0% 6.0% 8.0% 1 12.0% Figure 9 : Pourcentage du budget informatique dépensé pour la sécurité IT De ce budget informatique, on peut malheureusement constater que la prévention/sensibilisation ne concerne que 6% des entreprises questionnés et la vérification que 12% de celles-ci. Pour les aspects fonctionnels 35.7% Pour les aspects non fonctionnels 13.8% Pour la vérification 4.3% Pour la sensibilisation 2.5% Pour le traitement des événements imprévus 1.0% 5.0% 1 15.0% 2 25.0% 3 35.0% 4 Figure 10 : Proportion du budget sécurité par poste Les éléments de sécurité utilisés par les entreprises se focalisent sur les trois éléments suivants : firewall (pare-feu), anti-virus et anti-spyware. Seul un quart des entreprises ont des outils spécifiques, tel que gestionnaire de log, gestionnaire de patch ou encore PKI (Public Key Infrastructure). On remarque à nouveau que cela dépend du domaine d activité, les entreprises avec données critiques informatisées seront plus sensibles aux outils leur permettant de diminuer les attaques ou d augmenter la possibilité de plus facilement les détecter. 3 http://www.crn.de/security/artikel-83729.html netobservatory Questionnaire aux entreprises 5/8
Autre Forensics tools Endpoint security client software / NAC Biometrics Smart cards and other one-time tokens Data loss prevention / content monitoring Log management software Public Key Infrastructure systems Encryption of data at rest Intrusion detection systems Vulnerability / Patch management tools Virtualization-specific tools Specialized wireless security systems Server-based access control lists Intrusion prevention systems encryption of data intransit Static account / login passwords Web / URL filtering Application-level firewalls Virtual Private Nerwork Anti-spyware software Firewalls Anti-virus software 3.0% 3.0% 3.0% 6.1% 9.1% 12.1% 15.2% 18.2% 18.2% 21.2% 30.3% 42.4% 42.4% 57.6% 78.8% 93.9% 97.0% 2 4 6 8 10 12 Figure 11 : Eléments de sécurité utilisés Si l on regarde le nombre d éléments de sécurité en place dans les entreprises, 45% d entre-elles ont au moins cinq des éléments cités ci-dessus. 15 et 17 6.1% 12 à 14 9.1% 9 et 11 15.2% 6 et 8 3 et 5 36.4% 0 et 2 9.1% 5.0% 1 15.0% 2 25.0% 3 35.0% 4 Figure 12 : Répartition du nombre d'éléments de sécurité par entreprise netobservatory Questionnaire aux entreprises 6/8
5. Echanges d information Par échange d information, on entend le fait de transmettre à d autres organismes de renseignements ou de défense des informations sur les attaques subies, afin de trouver facilement des contre-mesures ou simplement déterminer si l attaque que l on subi est unique ou étendue. Forum de sécurité 6.1% Plateforme d'échange spécifique 9.1% Police / Justice 1.0% 2.0% 3.0% 4.0% 5.0% 6.0% 7.0% 8.0% 9.0% 1 Figure 13 : Echanges d'informations 6. Lignes directrices sur la sécurité Nous constatons que seulement 1/3 des entreprises ont des politiques de sécurité formelles et en application. A contrario, il est impressionnant de voir que 1/3 des entreprises ne soient pas conscientes de l utilité de telles procédures, et que 1/3 des entreprises questionnées n ont pas répondu à cette question (par manque de connaissance?). Il serait intéressant de déterminer si les politiques en place s appuient sur des standards du marché tel que ISO 27001 4 ou encore ITIL 5, ou bien s il s agit de standards internes aux entreprises. Pas en discussion Informelles Formelles 21.2% En application 36.4% En cours d'application 15.2% 5.0% 1 15.0% 2 25.0% 3 35.0% 4 Figure 14 : Lignes directrices sur la sécurité 4 http://www.iso27001security.com/ 5 http://www.itil.org/ netobservatory Questionnaire aux entreprises 7/8
7. Divers Contact netobservatory c/o EIA-FR Boulevard de Pérolles 80 Case postale 32 CH-1705 Fribourg Tel. ++41 (0)26 429 66 11, Fax ++41 (0)26 429 66 00 E-mail : info@netobservatory.ch www.netobservatory.ch Avertissement Le projet NetObservatory et ces participants, privés et publiques, ont produit ces résultats de la manière la plus précise et complète possible. Ils ne doivent en aucun cas être tenue responsables du contenu de ce document. Ce document est fournit «tel quel», sans aucune garantie d aucun genre. Les informations fournies peuvent contenir des erreurs, être imprécises ou partiellement ou complètement fausses. netobservatory Questionnaire aux entreprises 8/8