Petit Déjeuner Promotion Economique Sécurité de l information 25 novembre 2011 Etat des lieux dans les PME
Question Quel est votre degré de confiance dans la securité de l information de votre entreprise? 1. Très confiant 2. Assez Confiant 3. Pas très confiant 4. Pas confiant du tout 5. Je ne sais pas
Que passe-t-il?
Chronologie Mars Novembre 2011 (florilège) 3 Mars L entreprise de sécurité RSA est piratée. L algorithme SecurID est compromis 13 Mars Faille de sécurité dans le navigateur BlackBerry confirmée par RIM 23 Mars Un hacker iranien compromet 2 autorités d enregistreme nt du fournisseur de certificats SSL Comodo 6 Avril Piratage de messagerie téléphonique de plus de 7 000 personnes par NewsCorp rendu public 6 Avril 8 Juin Sony Playstation Network piraté - 77M de données clients volées 7 Avril Des chercheurs prouvent que ios 4 enregistre les déplacements 21 Avril La défaillance du Cloud Amazon rend inaccessibl e des sites web 29 Mai Lulzsec pirate le site d un service public de diffusion Fausses nouvelles et données volées 10 Mai Augmentation de 400% des Malware Android depuis l'été 2010 31 Mai Google: des centaines de comptes Gmail piratés, y compris certains hauts responsables du gouvernement américain 3Juin Serveurs Acer en Europe piratés - 40K données personnelles volées 5 Juin RIM met en garde contre 4 Juillet des failles de Hack d un sécurité compte BlackBerry Twitter de Fox News 23Juin Lulzsec pirate Electronic Arts et la librairie en ligne de l'otan 8Juin Faille de sécurité impliquant les cartes de crédit de CITIBank 200 000 clients concernés 25 Juillet Anonymous vole les coordonnées bancaires de 100K autrichiens. Anonymous hacke la police italienne de lutte contre la cybercriminalité 3 Août Operation Shaddy Rat - 72 organisations publiques et privées victimes de cyber espionnage, dont les UN et le CIO 7 Août 70 bureaux de police aux US et police Italienne sont hackés 26 Août Rapport McAfee Q2; 1200 malwares mobiles dont environ 60% destinés à Android 31 Août Des pirates pourraient avoir volé plus de 200 certificats SSL 12 Septembre Une erreur de DNS rend indisponible plusieurs sites de Microsoft Cloud Services 9 Septembre Vol d adresses email de PDG français utilisées pour des transferts bancaires. 6 Novembre Anonymous attaque les sites web du gouvernement israélien et de services de sécurité 13 Septembre Faille de sécurité d un distributeurs automatique résulte dans le vol de carte de crédit de plus de 40 000 personnes. 10 Novembre 1.5M euros d amende pour EDF pour avoir hacké Greenpeace 8 Novembre Des chercheurs montrent que des Hackers pourraient ouvrir les portes des prisons aux USA. 3 Novembre Le site de Charlie Hebdo est piraté 10 Octobre Panne chez BlackBerry sur tous les réseaux du Royaume-Uni et dans d'autres pays les coupant de courriel.
Y a-t-il une épidémie de Hacking?
Threat Horizon Radar 2013 Notre expérience récente Information Security Forum www.securityforum.org
Comment les PME réagissentelles?
La plupart des sondés sont confiants dans l efficacité de la sécurité de l information dans leur organisation PME Europe Global Très confiant 29% 29% 33% Assez confiant 42% 33% 39% Total 71% 62% 72% Question 35: How confident are you that your organization s information security activities are effective? 8
Cependant ce niveau de confiance est au plus bas depuis 2006, avec une chute de confiance de 22 points en Europe 2006 2007 2008 2009 2010 2011 Evolution PME 85% 71% -11 pts Europe 84% 62% - 22 pts Global 84% 84% 83% 82% 74% 72% - 12 pts Question 35: How confident are you that your organization s information security activities are effective? (Respondents who answered Very confident or Somewhat confident combined)
La moitié des PME ont eu un ou plusieurs incidents, mais le coût reporté est moindre que la moyenne. PME Europe Global Avez-vous souffert d un incident ces 12 derniers mois (réponse: oui) 49% 62% 60% Coût estimé des incidents Moins de $10 000 42% 24% 22% $10 -$50 000 29% 18% 23% Plus de $50 000 24% 45% 47% Question 19: Number of security incidents in the past 12 months. Question 20: What types of security incidents (breach or downtime) occurred? Question 22: Estimated likely source of incident. (Totals do not add up to 100%.) 10
Ceci en dépit d un manque criant de moyens Stratégie Ont une stratégie de sécurité de l information PME Global Idem pour le Cloud Idem pour les équipments mobiles Idem pour le Social Media 18% 28% 25% 26% 37% 32% Ressources Humaines Ont un responsable de la sécurité du SI 32% 45% Ont un plan de sensibilisation des employés 32% 43% -11 pts Processus Ne réalisent jamais d évaluation des risques 25% 16% 9 pts Ont un inventaire des données clients et RH 27% 33% -5 pts Conduisent des due dilligence de leur fournisseurs manipulant des données personnelles 54% 63% Technologie Cryptent les échange les données 33% 43% Utilisent des outils de patch management 53% 67% Différence -9 pts -7 pts -9 pts -7 pts -13 pts 19% 29% -10 pts -10 pts -14 pts 11
Les obstacles à une meilleure sécurité? Le manque de moyens, le ton donné par la direction et le manque de stratégie Manque de leadership du CEO, Président, Board, ou équivalent Manque de leadership du CIO ou equivalent Manque de leadership du RSSI, ou équivalent Manque d une stratégie de sécurité de l information efficace Manque d une vision pratique ou de compréhension Dépenses d investissement insuffisantes Dépenses opérationnelles insuffisantes Absence ou manque d expertise en interne Complexité ou manque d intégration des systèmes PME 22% 13% 12% 23% 20% 29% 23% 22% 14% Global 23% 18% 17% 26% 27% 27% 21% 21% 19% Question 27n11: What are the greatest obstacles to improving the overall strategic effectiveness of your organization s information security function? (Total does not add up to 100%.) 12
En Conclusion 13
Et alors? L apport potentiel de la technologie pour les PME peut faire un grande différence (mobilité, flexibilité) Cependant elles doivent faire face aux mêmes contraintes que les autres, avec des moyens beaucoup plus réduits La sécurité de l information est souvent vue comme un problème technique, ce qui rend difficile la communication avec le management Utilisez l information fournie pour définir vos orientations en matière de sécurité. Au minimum, focalisez-vous sur les questions de: Leadership et communication Priorisation des actions et des dépenses Et par-dessus tout, challengez vos fournisseurs! 14