Questionnaire aux entreprises

Documents pareils
La sécurité IT - Une précaution vitale pour votre entreprise

La sécurité des systèmes d information

La protection des systèmes Mac et Linux : un besoin réel?

PCI DSS un retour d experience

Présenté par : Mlle A.DIB

College Du Chinchon. Torniké Sidamonidzé 3C. M. Brulé

Sécurisation des paiements en lignes et méthodes alternatives de paiement

Solutions McAfee pour la sécurité des serveurs

Gestion du risque numérique

La sécurité informatique

Economic Cyber Crime. Exigences minimales de prévention pour les PME. Romain Roubaty, novembre 2012

La sécurité de l'information

Sécurité et Consumérisation de l IT dans l'entreprise

OPERATION AUDIT DE LA BANQUE EN LIGNE. Règles de bonnes pratiques pour les internautes et les professionnels

A PROPOS DE LANexpert

Cette charte devra être lue et signée par l ensemble des utilisateurs du matériel informatique de l EPL.

Antivirus : les Français, rois du gratuit, les Russes, rois du payant

Tom Pertsekos. Sécurité applicative Web : gare aux fraudes et aux pirates!

Sécurité des Postes Clients

ISMS. Politique de sécurité de l'information. (Information Security Management System) (Information Security Policy)

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Présentation commonit pour la réunion de l OSSIR du 10 Mars 2009 : - La société commonit - Le marché - La solution Virtual Browser - Démonstration

Feuille de données Outpost Antivirus Pro 2009 Antivirus de haute vitesse qui vous tient à la tête du jeu

Pourquoi choisir ESET Business Solutions?

USERGATE PROXY & FIREWALL. Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

les prévisions securité 2015

Sécurité informatique: introduction

Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

CATALOGUE DE FORMATION INTERNET BUREAUTIQUE INFORMATIQUE..::NET-INOV.COM::..

Compte rendu de recherche de Websense. Prévention de la perte de données et conformité PCI

2011 et 2012 Arrow ECS. Partenaire Distribution EMEA. de l année

La Gestion des Applications la plus efficace du marché

Développeur de Logiciel cybersecurity

La politique de sécurité

ANSSI PROCEDURES DE REPORTING DES INCIDENTS AVEC LE CIRT RÔLES DES PARTIES PRENANTES 15/02/2014. SEMINAIRE DE Joly Hôtel

Guide d'intégration à ConnectWise

l informatique est vitale pour mon activité je protège mon matériel et mon entreprise

Politique de sécurité de l actif informationnel

s é c u r i t é Conférence animée par Christophe Blanchot

Sophos Computer Security Scan Guide de démarrage

Forum Suisse pour le Droit de la Communication. Séminaire du 28 novembre 2008

Vers un nouveau modèle de sécurisation

Excellence. Technicité. Sagesse

PREPARATION AUX CONCOURS ENA/INET

Vers un nouveau modèle de sécurité

Guide de bonnes pratiques de sécurisation du système d information des cliniques

sécurisation des systèmes d information BE READY FOR WHAT S NEXT. Kaspersky Open Space Security

NETTOYER ET SECURISER SON PC

Information sur l accés sécurisé aux services Baer Online Monaco


Symantec MessageLabs Web Security.cloud

Guide pas à pas. McAfee Virtual Technician 6.0.0

Guide de démarrage rapide

Découvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Une protection ICT optimale. Du conseil à la gestion en passant par le développement et la mise en oeuvre

Progressons vers l internet de demain

VTX Secure Sonicwall

Conditions d'utilisation de la version gratuite

Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE

Gestion des mises à jour logicielles

dans un contexte d infogérance J-François MAHE Gie GIPS

Securité de l information :

Evolution des pratiques achats

Le BYOD, risque majeur pour la sécurité des entreprises

2012 / Excellence. Technicité. Sagesse

LA CONTINUITÉ DES AFFAIRES

les fakes logiciels et rogue AV

Quels outils bureautiques sont actuellement à la disposition des PME?

1. Notre société. Présentation de notre société. Nos activités Les solutions informatiques. - Audit et Conseil :

Mobilité, quand tout ordinateur peut devenir cheval de Troie

Cybersécurité en Suisse

Des solutions informatiques fiables taillées sur mesure pour votre PME

Audits de sécurité, supervision en continu Renaud Deraison

Qui nous sommes et ce que nous pouvons faire pour vous. Endpoint Web Encryption Mobile Network

Ceano. Un Partenariat plus simple. 1 plateforme unique pour une IT facile. 1 collaboration d équipe facilitée

«Sécurisation des données hébergées dans les SGBD»

Virtualisation et sécurité Retours d expérience

RSA ADVANCED SECURITY OPERATIONS CENTER SOLUTION

Symantec CyberV Assessment Service

Accompagner nos clients vers.cloud. Nicolas Luneau Business Development Manager Symantec.cloud

Stratégie de gestion des cyber-risques dans les entreprises : Quelles (ré)actions?

Sécurité des systèmes d exploitation

Offering de sécurité technologique Sécurité des systèmes d'information

Formations. «Règles de l Art» Certilience formation N SIRET APE 6202A - N TVA Intracommunautaire FR

Catalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4

NEXT GENERATION APPLICATION SECURITY

Les 7 règles d'or pour déployer Windows 7

Gestion de la sécurité de l information par la haute direction

Notions de sécurités en informatique

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

Guide de démarrage rapide. Microsoft Windows 7 / Vista / XP / 2000 / 2003 / 2008

Gestion des Incidents SSI

La sécurité applicative

PREAVIS DE LA MUNICIPALITE AU CONSEIL COMMUNAL

QUESTIONNAIRE ASSURANCE RESPONSABILITE CIVILE PROFESSIONNELLE ET DECENNALE DES ARCHITECTES, MAITRES D ŒUVRE, BET ET INGENIEURS CONSEILS.

Transcription:

Questionnaire aux entreprises Septembre 2011 INTRODUCTION Dans le cadre des activités de Ra&D de l Ecole d Ingénieurs et d Architectes de Fribourg, le projet d observatoire national (NetObservatory) pour la sécurité de l Internet Suisse a démarré en 2010. Son but est dans un premier temps de fournir une vue globale du niveau de sécurité de l Internet au niveau national, et dans un deuxième temps d offrir une surveillance plus complète des sites et réseaux d entreprises et organisations qui le désirent. Les premiers résultats des analyses ont été publiés en décembre 2010 au travers de notre rapport trimestriel NORA (NetObservatory Report & Analysis) qui démontrent que plus de 70% des sites web ème ème Suisse ont des vulnérabilités potentielles et lors de la publication de notre 3 rapport pour le 2 trimestre 2011, nous constatons que cela ne s améliore pas! Par exemple, seul 15% des sites web utilisant Typo3 ont des versions récentes. Ces rapports sont disponibles gratuitement sur notre site internet : http://www.netobservatory.ch Afin de mieux comprendre l impact que peut représenter une attaque informatique sur l infrastructure des entreprises, nous avons transmis un questionnaire à 800 entreprises suisse afin de déterminer l importance de la sécurité des infrastructures IT dans les PME. netobservatory, c/o EIA-FR, Bd de Pérolles 80, CP 32, CH-1705 Fribourg T. +41 (0)26 429 66 11 - F. +41 (0)26 429 66 00 - www.netobservatory.ch

1. Informations générales sur les entreprises ayant répondu au questionnaire Les entreprises ciblées par ce questionnaire étant principalement des PME, tous les secteurs d activités sont présents dans les résultats de ce sondage, avec une part faible d entreprises travaillant dans le domaine des télécommunications, des transports et de la finance. Environ 5% des entreprises questionnées ont répondues. Finance 2.1% Services de santé 4.2% Education 4.2% Manufacture 8.3% Administration 8.3% Commerce 10.4% Conseil 14.6% Autres 18.8% Techonologie de l'information 29.2% 5.0% 1 15.0% 2 25.0% 3 35.0% Figure 1 : Secteurs d'activité Plus de 80% des entreprises ayant répondu au questionnaire ont moins de 60 employés. plus&de&200& 100&et&200& 81&et&100& 61&et&80& 6.1%& 3.0%& 3.0%& 6.1%& 41&et&60& 15.2%& 21&et&40& 9.1%& 1&et&20& 57.6%& & 1& 2& 3& 4& 5& 6& 7& Figure 2 : Répartition du nombre d'employés plus%de%100%miochf% 6.1%% 10%et%100%mioCHF% 21.2%% 1%et%10%mioCHF% % 100%et%1000%kCHF% 15.2%% 10%et%100%kCHF% 6.1%% % 5.0%% 1% 15.0%% 2% 25.0%% 3% 35.0%% Figure 3 : Répartition du chiffre d'affaire netobservatory Questionnaire aux entreprises 2/8

2. Attaques subies en 2010 On constate que les virus représentent une grande partie (~28%) des problèmes informatiques rencontrés dans les PME, suivi par le vol de matériel informatique (~18%) et par les défacements 1 /attaques des sites web de l entreprise (7.7%+15.4%). Ces derniers peuvent fortement nuire à l image de l entreprise. Selon le dernier rapport de PandaLabs 2, la Suisse se trouve dans le Top 10 des pays les moins infectés, avec 29% de systèmes infectés en comparaison avec la Chine qui a un taux d infection de 61%. Pénétration des systèmes par des externes Accès non autorisé à des systèmes par des internes Attaque due à une faiblesse dans un nav. Web Intrusion dans un réseau sans fil Machines zombies / botnets dans réseau de l'entreprise Vol de données confidentielles Fraude financière Vol de mots de passe 2.6% 2.6% 2.6% Dénis de service 5.1% Abus de la connexion Internet par des internes Défacement d'un site web 7.7% 7.7% Abus de la messagerie instantanée 10.3% Autre attaque d'un site web sur Internet 15.4% Vol / Perte d'ordinateurs portables 17.9% Infection virus / malwares 28.2% 5.0% 1 15.0% 2 25.0% 3 Figure 4 : Type d attaques subies en 2010 On constate que les pertes dues à des attaques proviennent pour 1/5 de l interne de l entreprise et pour 28.4% de l externe. Pourcentage des pertes dues à des accidents 18.0% Pourcentage des pertes dues à des internes 21.2% Pourcentage des pertes dues à des actes délibérés 25.3% Pourcentage des pertes dues à des externes 28.4% 5.0% 1 15.0% 2 25.0% 3 Figure 5 : Sources des attaques 1 Un défacement est un anglicisme désignant la modification non sollicitée de la présentation d'un site web, suite au piratage de ce site. 2 Quaterly Report PandaLabs (April-June 2011), http://press.pandasecurity.com/wp-content/uploads/2011/07/pandalabs-report-q2-2011.pdf netobservatory Questionnaire aux entreprises 3/8

Combien d'attaques à grande échelle? 8 Combien d'attaques ciblées sur votre entreprise? 19 Combien d'attaques avez-vous subi? 87 0 10 20 30 40 50 60 70 80 90 100 Figure 6 : Nombre d attaques subies en 2010 Le nombre d attaques subies par les entreprises questionnées est au nombre de 87. Sur celle-ci 9.1% (soit 8) sont des attaques à grande échelle et 21.8% (soit 19) sont des attaques ciblées sur l entreprise. Si l on observe la Figure 7, on constate qu environ la moitié des entreprises questionnées n ont pas répondu au deux premières questions. Est-ce par manque de connaissance de ce qu il s est passé? Ou par discrétion? Un autre point positif est qu un tiers des entreprises questionnées n ont subit aucune attaque en 2010. Il n y a par contre pas de secteurs d activités plus touchés qu un autre. Combien d'attaques à grande échelle? 48.5% 18.2% Combien d'attaques ciblées sur votre entreprise? 45.5% 21.2% Pas de réponses Aucune Combien d'attaques avez-vous subi? 27.3% 48.5% 1 et plus 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Figure 7: Attaques subies en 2010 (détails) 3. Pertes Les pertes mentionnées ici sont faibles, mais nous estimons que celles-ci sont sous-estimées, les entreprises ne préférant pas mentionner des chiffres «réels» ou n ont simplement pas répondu à cette question (seul 60% ont répondu). plus%de%20%kchf% % 10%et%20%kCHF% 3.0%% 0%et%10%kCHF% 60.6%% % 1% 2% 3% 4% 5% 6% 7% Figure 8 : Estimation en CHF des pertes dues aux attaques netobservatory Questionnaire aux entreprises 4/8

4. Mesures de protection Il est intéressant de constater qu en moyenne 10% du budget informatique est dédié à la sécurité de l infrastructure IT, avec une fourchette qui se situe entre 2 et 30%. Cette répartition dépend aussi fortement du secteur d activité de celle-ci (industrie ou service/finance). Une étude de Gartner 3 en 2010 a démontré que les entreprises européennes consacrent en moyenne 4.3% de leur budget IT pour la sécurité. Par rapport au budget total 2.9% Par rapport à votre budget IT 10.2% 2.0% 4.0% 6.0% 8.0% 1 12.0% Figure 9 : Pourcentage du budget informatique dépensé pour la sécurité IT De ce budget informatique, on peut malheureusement constater que la prévention/sensibilisation ne concerne que 6% des entreprises questionnés et la vérification que 12% de celles-ci. Pour les aspects fonctionnels 35.7% Pour les aspects non fonctionnels 13.8% Pour la vérification 4.3% Pour la sensibilisation 2.5% Pour le traitement des événements imprévus 1.0% 5.0% 1 15.0% 2 25.0% 3 35.0% 4 Figure 10 : Proportion du budget sécurité par poste Les éléments de sécurité utilisés par les entreprises se focalisent sur les trois éléments suivants : firewall (pare-feu), anti-virus et anti-spyware. Seul un quart des entreprises ont des outils spécifiques, tel que gestionnaire de log, gestionnaire de patch ou encore PKI (Public Key Infrastructure). On remarque à nouveau que cela dépend du domaine d activité, les entreprises avec données critiques informatisées seront plus sensibles aux outils leur permettant de diminuer les attaques ou d augmenter la possibilité de plus facilement les détecter. 3 http://www.crn.de/security/artikel-83729.html netobservatory Questionnaire aux entreprises 5/8

Autre Forensics tools Endpoint security client software / NAC Biometrics Smart cards and other one-time tokens Data loss prevention / content monitoring Log management software Public Key Infrastructure systems Encryption of data at rest Intrusion detection systems Vulnerability / Patch management tools Virtualization-specific tools Specialized wireless security systems Server-based access control lists Intrusion prevention systems encryption of data intransit Static account / login passwords Web / URL filtering Application-level firewalls Virtual Private Nerwork Anti-spyware software Firewalls Anti-virus software 3.0% 3.0% 3.0% 6.1% 9.1% 12.1% 15.2% 18.2% 18.2% 21.2% 30.3% 42.4% 42.4% 57.6% 78.8% 93.9% 97.0% 2 4 6 8 10 12 Figure 11 : Eléments de sécurité utilisés Si l on regarde le nombre d éléments de sécurité en place dans les entreprises, 45% d entre-elles ont au moins cinq des éléments cités ci-dessus. 15 et 17 6.1% 12 à 14 9.1% 9 et 11 15.2% 6 et 8 3 et 5 36.4% 0 et 2 9.1% 5.0% 1 15.0% 2 25.0% 3 35.0% 4 Figure 12 : Répartition du nombre d'éléments de sécurité par entreprise netobservatory Questionnaire aux entreprises 6/8

5. Echanges d information Par échange d information, on entend le fait de transmettre à d autres organismes de renseignements ou de défense des informations sur les attaques subies, afin de trouver facilement des contre-mesures ou simplement déterminer si l attaque que l on subi est unique ou étendue. Forum de sécurité 6.1% Plateforme d'échange spécifique 9.1% Police / Justice 1.0% 2.0% 3.0% 4.0% 5.0% 6.0% 7.0% 8.0% 9.0% 1 Figure 13 : Echanges d'informations 6. Lignes directrices sur la sécurité Nous constatons que seulement 1/3 des entreprises ont des politiques de sécurité formelles et en application. A contrario, il est impressionnant de voir que 1/3 des entreprises ne soient pas conscientes de l utilité de telles procédures, et que 1/3 des entreprises questionnées n ont pas répondu à cette question (par manque de connaissance?). Il serait intéressant de déterminer si les politiques en place s appuient sur des standards du marché tel que ISO 27001 4 ou encore ITIL 5, ou bien s il s agit de standards internes aux entreprises. Pas en discussion Informelles Formelles 21.2% En application 36.4% En cours d'application 15.2% 5.0% 1 15.0% 2 25.0% 3 35.0% 4 Figure 14 : Lignes directrices sur la sécurité 4 http://www.iso27001security.com/ 5 http://www.itil.org/ netobservatory Questionnaire aux entreprises 7/8

7. Divers Contact netobservatory c/o EIA-FR Boulevard de Pérolles 80 Case postale 32 CH-1705 Fribourg Tel. ++41 (0)26 429 66 11, Fax ++41 (0)26 429 66 00 E-mail : info@netobservatory.ch www.netobservatory.ch Avertissement Le projet NetObservatory et ces participants, privés et publiques, ont produit ces résultats de la manière la plus précise et complète possible. Ils ne doivent en aucun cas être tenue responsables du contenu de ce document. Ce document est fournit «tel quel», sans aucune garantie d aucun genre. Les informations fournies peuvent contenir des erreurs, être imprécises ou partiellement ou complètement fausses. netobservatory Questionnaire aux entreprises 8/8

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back