Global State of Information Security Survey 2013. Antoine Berthaut Director Business Technology

Global State of Information Security Survey 2013 24 mai 2013 Etat des Lieux dans le monde, en Europe et en Suisse Antoine Berthaut Director Business Technology

Que se passe-t-il? Mai 2013 2

Florilège d incidents de Mars 2011 à Mai 2013 14 Janvier Une campagne massive ciblant les gouvernements non détectée pendant 5 ans 24 Janvier Des portes dérobées découvertes dans les produits de Sécurité de la société Barracuda Networks 1 Février Amazon.com est indisponible pendant 1 heure 15 Février Un Hack pour ios 6.x permet d accéder aux données personnelles et passer des appels gratuitement 31 Janvier Des hackers Chinois infiltrent le réseau du NewYork Times pendant 4 mois. 2 Février Des Hackers divulguent des vulnérabilités de sites du Pentagone et de la Défense Américaine 4 Février Anonymous poste les accès de plus de 4000 dirigeants aux USA Février 7 Février La Federal Reserve confirme la fuite de données suite à une attaque 6 Mars Le producteur mondial de platine «anglo-american» piraté par Anonymous Mars 2 Mars Evernote a été piraté et les utilisateurs doivent réinitialiser leur mots de passe 22 Février Microsoft secure Azure Storage indisponible 12h 13 Février Des Hackers détournent le système d alerte d une station TV et annonce une attaque de Zombies 20 Mars Cyber-attaque massive sur les banques sud-coréennes et les diffuseurs TV 27 Mars Un botnet Russe vskimmer cible le monde des paiements 28 Mars DDoS massif lancé contre la société Spamhaus en charge de maintenir les blacklists sur Internet 4 Avril Le service Bitcoin de porte-monnaie Instawallet ferme à la suite d un hack Avril 7 Avril Anonymous lance une attaque massive sur Israel, #OpIsrael 29 Avril Une vulnérabilité dans Adobe Reader permet de savoir quand et où un PDF est ouvert 24 Avril Une faille critique dans Viber permet l accès complet au smarphone 10 Mai Le plus grand vol de l histoire: des hackers volent 45 millions de dollars 27 Avril Une nouvelle porte dérobée découverte dans Apache Mai 2013 3

Y a-t-il une épidémie de Hacking? Mai 2013 4

Threat Horizon 2013 Notre expérience récente Information Security Forum www.securityforum.org Mai 2013 5

Comment les organisations réagissent-elles? Mai 2013 6

La plus grande enquête mondiale de ce type Une étude menée par PwC depuis 15 ans. Plus de 9 300 réponses. GISS 79 participants en Suisse. Plus de 40 questions. 25% des répondants d entreprises dont le revenu est supérieur à $1 milliard. 128 pays. Mai 2013 7

Mutli-secteur auprès des organisations et des responsables informatiques Répondant par région d emploi Amérique du Nord 40% MoyenOrient et Afrique du Sud 2% Asie 18% Amérique du Sud 14% Europe 26% Répondant par taille d organisation Petit (< $100M US) 33% Nonprofit/Gov/ Edu 7% Ne sait pas 15% Répondant par titre CISO, CSO, CIO, CTO 14% IT & Security (Other) 31% CEO, CFO, COO 21% IT & Security (Mgmt) 21% Compliance, Risk, Privacy 13% Répondant par titre - Suisse CISO, CSO, CIO, CTO 37% Moyen ($100M $1B US) 20% CEO, CFO, COO 5% IT & Security (Other) 8% Grand (> $1B US) 25% Compliance, Risk, Privacy 13% IT & Security (Mgmt) 37% Mai 2013 8 Les chiffres indiqués peuvent ne pas réconcilier avec les données brutes en raison des arrondis.

La plupart des sondés pensent qu'ils ont inculqué des comportements efficaces en matière de sécurité de l'information dans la culture de l organisation 19% 47% 26% 38% 29% 0% 20% Très confiant 17% 15% 8% 39% 40% Assez confiant 13% 14% 6% 60% 80% Pas très confiant Suisse 66% confiant Europe 64% confiant Monde 68% confiant 100% 120% Pas du tout confiant Question 35: «Êtes-vous confiant que votre organisation a inculqué des comportements efficaces de sécurité de l'information dans la culture de l organisation?» Mai 2013 9 Tous les facteurs ne sont pas représentés. Les totaux ne s additionne à 100%.

La plupart des sondés sont confiants dans l efficacité de la sécurité de l information dans leur organisation Monde Europe Suisse Très confiant 32.2% 30.7% 31.9% Assez confiant 38.6% 35% 51.1% Total 70.8% 65.7% 83% Question 41: «Êtes-vous confiant que les activités de sécurité de l'information de votre organisation sont efficaces?» Mai 2013 10

2011 83% 2010 66% 2009 71% 2008 72% 82% 2006 60% 74% 83% 80% 84% Ce niveau de confiance est au plus bas depuis 2006, avec une chute de confiance de 13 points au niveau mondial 40% 20% 0% 2012 Monde Europe Suisse Question 41: «Êtes-vous confiant que les activités de sécurité de l'information de votre organisation sont efficaces?» Mai 2013 11

La confidentialité des données est une priorité pour les répondants suisses par rapport à d'autres pays 66% 70% 20% 39% 44% 44% 29% 30% 34% 46% 40% 51% 50% 59% 60% 10% 0% People Process Technology Monde Europe Suisse Question 11: «Quelles mesures de protection de la confidentialité des données votre organisation a-t-elle mises en place?» Mai 2013 12

Les répondants suisses font une utilisation plus restrictive de l'externalisation des processus de sécurité 40% 23% 27% 24% 20% 26% 25% 11% 10% 29% 20% 27% 30% 0% Strategy and Standards Assessment and Compliance Operations Monde Europe Suisse Question 14: «Quelles processus de mesures de sécurité de l'information votre organisation a externalisé actuellement?» Mai 2013 13

Les incidents de sécurité signalés montrent des signes de stabilisation 60% Aucun incident 1 à 50 incidents 50 incidents ou plus 20% 5% 10% 11% 17% 6% 30% 27% 34% 31% 28% 35% 40% 44% 48% 44% 44% 49% 50% 10% 0% Monde Europe Suisse Question 17: «Nombre d'incidents de sécurité au cours des 12 derniers mois.» Mai 2013 14

Plus de la moitié des organisations ont eu au moins un incident Avez-vous souffert d un incident ces 12 derniers mois (réponse: oui) Monde Europe Suisse 54.7% 60.4% 55.1% 22.4% 20.6% 45.7% 22.9% 18.8% 43.3% 25% 25% 50% Coût estimé des incidents Moins de $10 000 $10 -$50 000 Plus de $50 000 Question 17: «Nombre d'incidents de sécurité au cours des 12 derniers mois» Question 21A: «Perte financière estimée résultant d incidents de sécurité» Mai 2013 15

La Suisse, bonne élève malgré des manques importants Stratégie Ont une stratégie de sécurité de l information Idem pour le Cloud Idem pour les équipements mobiles Idem pour le Social Media Ressources Humaines Ont un responsable de la sécurité du SI Ont un plan de sensibilisation des employés Monde Suisse Différence 73% 81.1% +8.1 pts 29.5% 43.9% 37.6% 20.8% 60.4% 30.2% -8.7 pts +16.5 pts -7.4 pts 42.2% 64.4% +22.2 pts 49.5% 54.7% +5.2 pts 42% 78.7% 34.5% 25.6% 29.5% 32.8% 43.7% 52.7% 82.5% 90.5% Processus Réalisent des évaluation des risques en lien avec les données personnelles Ont un inventaire des données clients et RH Conduisent des due dilligence de leur fournisseurs manipulant des données personnelles Technologie Chiffre les échange les données Utilisent des outils de patch management +36.7 pts -5 pts +7.2 pts +38.8 pts +37.8 pts Mai 2013 16

Des budgets à nouveau sous pression 37% 2011 44% 2010 45% 2008 51% 2007 38% 30% 44% 40% 44% 50% 52% 60% 20% 10% 0% 2009 2012 Monde EU CH Question 8: «En comparaison avec l'année dernière, les dépenses de sécurité au cours des 12 prochains mois vont:» (Les répondants qui ont répondu «Augmenter jusqu'à 10%», «Augmentation de 11-30%», ou «Augmenter de plus de 30%") Mai 2013 17

37% 33% 27% 29% 38% 34% 28% 28% 30% 33% 30% 29% 20% 32% 35% 32% 30% 30% 39% 40% 41% 40% 34% 31% 50% 49% 50% 46% Les budgets de sécurité sont dictés par l'économie, non pas par les besoins de sécurité 10% 0% Conditions Economiques 2009 Plan de Continuité / Reprise après sinistre 2010 2011 Réputation de l'entreprise 2012 Des changements Conformité avec les et des politiques internes transformation du métier Conformité réglementaire Question 37: «Quels facteurs ou enjeux métiers dictent les dépenses de sécurité de l'information de votre entreprise?» Mai 2013 18

Stratégie de sécurité Média Sociaux 60.0% 50.0% 20.0% 10.0% 0.0% 37.6% 33.2% 30.2% 30.0% 29.5% 26.6% 20.8% 40.0% Monde Europe Stratégie de sécurité Mobiles Stratégie de sécurité BYOD 44.9% 38.8% 60.4% 70.0% Stratégie de sécurité Cloud 43.9% 39.1% 60.4% Les stratégies de sécurité peinent à suivre les évolutions technologiques Suisse Question 14: «Quel processus de mesures de sécurité de l'information votre organisation a-t-elle actuellement en place?» Mai 2013 19

Les obstacles à une meilleure sécurité? Le manque de moyens et le ton donné par la direction Manque de leadership du CEO, Président, Board, ou équivalent Manque de leadership du CIO ou equivalent Manque de leadership du RSSI, ou équivalent Manque d une stratégie de sécurité de l information efficace Manque d une vision pratique ou de compréhension Dépenses d investissement insuffisantes Dépenses opérationnelles insuffisantes Absence ou manque d expertise en interne Complexité ou manque d intégration des systèmes Monde Suisse 23% 18% 17% 26% 27% 27% 21% 21% 19% 34.9% 2.3% 2.3% 18.6% 30.2% 41.9% 32.6% 14% 25.6% Question 29: «Quels sont les principaux obstacles à l'amélioration de l'efficacité stratégique globale de la fonction de sécurité de l'information de votre organisation?» Mai 2013 20

En Conclusion Mai 2013 21

Et alors? Il y a un décalage entre les évènements observés et le niveau de confiance en la sécurité de l information. La sécurité de l information est souvent vue comme un problème technique, ce qui rend difficile la communication avec le management. Utilisez l information fournie pour définir vos orientations en matière de sécurité. Au minimum, focalisez-vous sur les questions de: Leadership et communication Risques émergents/émergés (social media, cloud, mobilité) Priorisation des actions et des dépenses Mai 2013 22

Merci de votre attention! Avenue Giuseppe-Motta 50 1211 Genève +41 79 820 6842 a.berthaut@ch.pwc.com Antoine Berthaut Director Business & Technology Consulting This publication has been prepared for general guidance on matters of interest only, and does not constitute professional advice. You should not act upon the information contained in this publication without obtaining specific professional advice. No representation or warranty (express or implied) is given as to the accuracy or completeness of the information contained in this publication, and, to the extent permitted by law, PricewaterhouseCoopers AG, its members, employees and agents do not accept or assume any liability, responsibility or duty of care for any consequences of you or anyone else acting, or refraining to act, in reliance on the information contained in this publication or for any decision based on it. 2013 PwC. All rights reserved. In this document, PwC refers to PricewaterhouseCoopers AG which is a member firm of PricewaterhouseCoopers International Limited, each member firm of which is a separate legal entity.