close

Se connecter

Se connecter avec OpenID

CESIN - Baromètre de la cyber-sécurité des entreprises

IntégréTéléchargement
Club des Experts de la Sécurité de
l’Information et du Numérique
Baromètre de la cyber-sécurité
des entreprises
Janvier 2016
À : Alain Bouillé
De : Emmanuel Kahn, Agathe Martini
OpinionWay, 15 place de la République, 75003 Paris
Sommaire
1.
2.
3.
4.
Contexte et objectifs de l’étude
Méthodologie de l’étude
Messages clés
Résultats
1.
2.
3.
4.
5.
Place de la cyber-sécurité dans les entreprises
Réalité des cyber-attaques auxquelles sont exposées les entreprises
Risques liés aux nouveaux usages du numérique
Moyens mis en place pour lutter contre les cyber-risques
Perspectives sur le futur de la cyber-sécurité
5. Profil des répondants
CONTEXTE ET OBJECTIFS
Contexte et objectifs
•
Le Club des Experts de la Sécurité de l’Information et du Numérique (CESIN) offre un
lieu d’échanges aux experts de la sécurité et du numérique au sein de grandes
entreprises.
•
Le CESIN a souhaité lancer auprès de ses membres une grande enquête qui a vocation
à être renouvelée chaque année.
•
L’objectif de cette enquête et de connaître
•
la perception de la cyber-sécurité et de ses enjeux au sein des entreprises
membres du CESIN
•
la réalité concrète de la sécurité informatique des grandes entreprises.
15/01/2015
4
MÉTHODOLOGIE
Méthodologie
Méthodologie
Mode d’interrogation
Étude quantitative réalisée auprès de
125 membres du CESIN, à partir du
fichier membre du CESIN
(235 contacts)
L’échantillon a été
interrogé par Internet
sous système CAWI
(Computer Assisted
Web Interview)
Dates de terrain
Certification
Du 8 au 22 décembre
2015
OpinionWay a réalisé
cette enquête en
appliquant les
procédures et règles
de la norme ISO 20252
Toute publication totale ou partielle doit impérativement utiliser la mention complète suivante :
« Sondage OpinionWay pour le CESIN »
et aucune reprise de l’enquête ne pourra être dissociée de cet intitulé.
15/01/2015
6
MESSAGES CLÉS
Messages clés (1/2)
Les enseignements à retenir
1.
Le digital et la SSI sont des enjeux importants et stratégiques dans la plupart des entreprises. À la croisée de ces
enjeux, la gestion des cyber-risques est souvent confiée à la DSI ou à la direction risques lorsqu’elle existe.
2.
Toutes les entreprises sont jugées exposées aux cyber-risques et font effectivement l’objet d’attaques.
3.
En matière d’attaques, les entreprises se sentent particulièrement exposées au vol ou à la fuite d’information ou de
données et aux attaques virales. Mais dans les faits, l’attaque la plus fréquente est la demande de rançon. Concernant
les autres risques, la dépendance humaine et les vulnérabilités résiduelles sont les plus préoccupantes et celles qui
affectent le plus souvent les entreprises en matière de sécurité.
4.
Les nouveaux usages du numérique au travail posent de nouveaux défis en matière de cyber-sécurité. Le Cloud en
particulier, en plus de nécessiter des outils spécifiques, inquiète pour des raisons de confidentialité des données. Le
BYOD et les objets connectés sont aussi des nouveaux enjeux de la cyber-sécurité.
15/01/2015
8
Messages clés (2/2)
Les enseignements à retenir
5.
Les entreprises ont généralement mis en place de nombreuses solutions techniques pour assurer leur cyber-sécurité,
en structurant leurs dispositif le plus souvent selon une typologie de sensibilité des données. Elles optent aussi
quasiment toutes pour une limitation des usages des salariés – incluant parfois du filtrage web – qui ne se révèle
efficace qu’à la marge. D’autant que les salariés sont jugés trop peu sensibilisés aux cyber-risques, et peu enclins à
respecter scrupuleusement les recommandations.
6.
Pour autant, les moyens alloués à la cyber-sécurité semblent peu satisfaisants actuellement, en particulier les moyens
humains. Nombre d’entreprises envisagent d’ailleurs d’augmenter les ressources techniques, financières ou humaines
dédiées à la cyber-sécurité, et elles sont également nombreuses à envisager de souscrire une cyber-assurance.
7.
Les entreprises estiment que les outils disponibles actuellement sur le marché sont déjà peu adaptés à la situation en
matière d’usages du numérique comme en matière d’attaques. Même en prenant la cyber-sécurité au sérieux,
l’inquiétude demeure quant à la capacité concrète à faire face à l’augmentation pressentie des attaques sur le court et
moyen terme.
8.
Les enjeux prioritaires à leurs yeux seront humains plus que techniques : donner toute son importance à la cybersécurité dans l’entreprise (en y allouant suffisamment de ressources et en lui donnant sa juste place dans la
gouvernance), et à travailler autour des usages (sensibiliser les usagers et s’adapter à leurs pratiques).
15/01/2015
9
RÉSULTATS
1.
PLACE DE LA CYBER-SÉCURITÉ DANS LES ENTREPRISES
Le digital et la SSI,
des enjeux pris au sérieux dans l’entreprise
Q1. Dans votre entreprise, diriez-vous que le digital est un enjeu stratégique ?
125
entreprises
considèrent que le digital
% est un enjeu stratégique
dans leur entreprise
93
67%
Oui, tout à fait
26%
Oui, plutôt
Non, plutôt pas
Non, pas du tout
Q2. La sécurité des systèmes d’information et des données est-elle considérée par
la direction de votre entreprise comme…
88%
considérée que la SSI
est importante pour la
direction de l’entreprise
38%
50%
5%2%
7%
10% 2%
12%
15/01/2015
12
La gestion des cyber-risques est souvent confiée à la
DSI, voire à la direction des risques quand elle existe
Q3. Dans votre entreprise, quelle est l’entité en charge du pilotage de la protection
contre les cyber-risques ?
125
entreprises
La DSI
La direction des risques
La direction de la sûreté
La direction générale
Autre
15/01/2015
73%
14%
50 000 ordinateurs ou plus : 27%
12%
5%
4%
13
Secteur Industrie : 91%
2.
RÉALITÉ DES CYBER-ATTAQUES
AUXQUELLES SONT EXPOSÉES LES ENTREPRISES
Toutes les entreprises sont jugées exposées aux cyberrisques, même si les plus grandes sont considérées
mieux protégées
Q27. Selon vous, les entreprises les plus exposées aux cyber-risques sont…
(plusieurs réponses possibles)
125
entreprises
58%
61%
42%
Les TPE ou PME
15/01/2015
Les ETI
40%
Les grandes entreprises Les entreprises du CAC 40
15
Dans les faits, un grand nombre d’entreprises a fait
l’objet de cyber-attaques au cours de l’année
Q5. Combien de cyber-attaques ont été constatées dans votre entreprise au cours
des 12 derniers mois ?
125
entreprises
81%
ont constaté
au moins une cyber-attaque
Nombre moyen
d’attaques : 13
31%
19%
0
17%
18%
Entre 1 et 3 Entre 4 et 9 Entre 10 et
14
15/01/2015
* Attention, base faible
15%
15 ou plus
16
Nombre d’ordinateurs
Base
Nb moyen
Moins de 999 ordinateurs
22*
2,2
Entre 1 000 et 9 999 ordinateurs
51*
7,3
Entre 10 000 et 49 999 ordinateurs
26*
14,3
50 000 ordinateurs ou plus
26*
32,1
Les attaques qui préoccupent le plus grand nombre
d’entreprises sont le vol d’infos ou de données et les
attaques virales
Q4. Quel est le niveau d’exposition de votre entreprise aux cyber-risques suivants ?
Fort
Vol de données personnelles
42%
Attaque virale générale
41%
Défiguration de site web
Cyber-espionnage économique
ou industriel
22%
15/01/2015
14%
52%
14%
47%
39%
26%
Demande de rançon
(ransomware)
20%
45%
28%
23%
10%
38%
30%
Attaque par déni de service
entreprises
42%
34%
Attaque ciblée
125
Faible
48%
Vol ou fuite d'informations
Fraude externe
Modéré
35%
33%
39%
43%
55%
17
23%
34%
23%
Dans les faits, les cyber attaques constatées sont surtout
le ransomware, les attaques virales,
de déni de service et les attaques ciblées.
Q6. Quel(s) type(s) de cyber-attaque votre entreprise a-t-elle constaté(s) au cours
des 12 derniers mois ?
102
entreprises
Demande de rançon
(ransomware)
61%
Attaque virale générale
44%
Attaque par déni de service
38%
Attaque ciblée
35%
Vol ou fuite d'informations
28%
Fraude externe
27%
Défiguration de site web
23%
18%
Vol de données personnelles
Cyber-espionnage
économique ou industriel
Autre type de cyber-attaque
15/01/2015
8%
6%
18
Nombre moyen de
types : 3
ayant constaté au
moins une cyberattaque au cours
des 12 derniers
mois
Un sentiment d’exposition pas toujours directement lié
aux attaques constatées
15/01/2015
19
Les risques qui préoccupent le plus grand nombre
d’entreprises sont la dépendance humaine et les
vulnérabilités résiduelles permanentes
Q4bis. Quel est le niveau d’exposition de votre entreprise aux autres risques
suivants ?
Fort
Modéré
Faible
125
entreprises
Dépendance humaine
34%
Vulnérabilités résiduelles
permanentes
32%
Non suppression des données
22%
Malveillance d'un employé
21%
Fraude interne
21%
Corruption de base de données
interne
Solutions industrielles ne pouvant
être sécurisées
17%
12%
Non restitution des données
12%
16%
47%
31%
61%
18%
46%
33%
54%
29%
28%
54%
54%
52%
9%
46%
Corruption de base
7%
de données externe
47%
Piégeage d'application interne 6%
50%
15/01/2015
12%
52%
18%
Piégeage d'application externe
Disparition éditeur
54%
20
34%
36%
45%
46%
44%
Les risques auxquels font réellement face le plus
d’entreprises sont les vulnérabilités résiduelles et la
dépendance humaine
Q6bis. Parmi les éléments suivants liés à la cyber-sécurité, quels sont ceux auxquels
votre entreprise a été concrètement confrontée au cours des 12 derniers mois ?
Vulnérabilités résiduelles
permanentes
50%
Dépendance humaine
34%
Fraude interne
22%
Malveillance d'un employé
22%
Solutions industrielles ne
pouvant être sécurisées
22%
Non suppression des données
18%
Piégeage d'application externe
9%
8%
Non restitution des données
Corruption de base de données
interne
Disparition éditeur
7%
5%
Corruption de base de données
externe
4%
Piégeage d'application interne
3%
15/01/2015
125
entreprises
21
Une perception d’exposition aux risques
en phase avec la réalité
15/01/2015
22
3.
RISQUES LIÉS AUX NOUVEAUX USAGES DU NUMÉRIQUE
Un recours généralisé au Cloud,
en particulier à des Clouds publics ou hybrides
Q20. Certaines données de votre entreprise sont-elles stockées dans un Cloud ?
stockent des données
dans un Cloud
85%
125
15%
Secteur Industrie : 97%
22%
Clouds
privés
37%
Clouds
publics
15/01/2015
26%
Clouds
hybrides
24
entreprises
ne stockent aucune donnée
dans un Cloud
Un recours au Cloud qui entraîne des conséquences en
termes d’outils de sécurisation
Q23. D’après vous, la sécurisation des données stockées dans le Cloud requiert-elle
des outils ou dispositifs spécifiques ?
125
entreprises
93%
pensent que le Cloud
requiert des outils ou dispositifs spécifiques
7%
15/01/2015
25
100%
La sécurisation des données en Cloud fait débat
Q21. Pensez-vous que les données de votre entreprise sont / seraient… ?
125
entreprises
57%
des entreprises
40%
pensent le Cloud
43%
est autant ou plus sécurisé
17%
Mieux sécurisées dans le Cloud qu'en mode local
Tout aussi sécurisées dans le Cloud qu'en mode local
Mieux sécurisées en mode local que dans le Cloud
15/01/2015
26
Les principaux risques perçus comme associés au Cloud
sont l’hébergement hors droit français, la confidentialité
vis-à-vis de l’éditeur et la réutilisation des données
Q22. Selon vous, les facteurs suivants représentent-ils un risque faible, modéré ou
fort en ce qui concerne l’utilisation du Cloud ?
Fort
Stockage des données dans des datacenters à
l'étranger, hors du droit français
39%
44%
41%
Non-maîtrise des paramètres de sécurité /
chiffrement faible de la part de l'hébergeur
38%
Non effacement des données
38%
Contrôle des accès et audit
35%
Non restitution des données
34%
Non-maîtrise de l'utilisation qui en est faite par
les salariés de votre entreprise
34%
15/01/2015
Faible
48%
Confidentialité des données vis-à-vis de
l'hébergeur
Traitement Big Data à notre insu
Modéré
27
43%
38%
41%
13%
13%
21%
21%
45%
17%
49%
16%
47%
42%
125
entreprises
19%
24%
Certains risques sont peu associées au Cloud, comme le
piégeage d’application, la corruption de BDD,
l’indisponibilité des données
Q22. Selon vous, les facteurs suivants représentent-ils un risque faible, modéré ou
fort en ce qui concerne l’utilisation du Cloud ?
Fort
Modéré
Faible
Alimentation du SOC (interne ou externe) en
données provenant du Cloud
18%
Attaque par rebond depuis l'hébergeur
18%
41%
41%
Disparition de l'hébergeur
18%
42%
40%
Indisponibilité des données
18%
Piégeage d'application hébergée
11%
Propagation systémique des attaques et erreurs
humaines
11%
Corruption de base de données
15/01/2015
46%
46%
46%
36%
36%
43%
59%
9%
45%
28
30%
46%
125
entreprises
BYOD et objets connectés, des nouveaux usages qui
présentent des risques
Q24. À vos yeux, les nouveaux usages suivants du numérique au travail
représentent-ils un risque pour la cyber-sécurité des entreprises ?
125
entreprises
Oui, tout à fait
Oui, plutôt
Non, plutôt pas
Non, pas du tout
Oui
L'utilisation de devices
personnels au travail (BYOD)
46%
39%
14% 1%
85%
Les objets connectés
45%
40%
13% 2%
85%
3%
72%
2%
56%
L'utilisation de multiples devices
(smartphone, tablette…)
L'usage personnel de devices
fournis par l'entreprise
Le télétravail, l'accès au réseau
en mobilité
15/01/2015
24%
48%
18%
12%
25%
38%
33%
42%
50%
29
5%
45%
Des entreprises qui estiment leur protection peu
adaptée aux nouveaux usages du numérique au travail
Q25. Pensez-vous que les solutions de protection actuelles de votre entreprise sont
adaptées à l’évolution des nouveaux usages du numérique au travail ?
125
entreprises
58
2%
Oui, tout à fait
15/01/2015
considèrent que les solutions de protection
% actuelles ne sont PAS adaptées à l’évolution
des nouveaux usages du numérique au travail
40%
51%
Oui, plutôt
30
Non, plutôt pas
7%
Non, pas du tout
4.
MOYENS MIS EN PLACE POUR LUTTER
CONTRE LES CYBER-RISQUES
Des solutions de sécurité plus ou moins répandues
selon les types
Q8. Parmi les solutions de protection suivantes, quelles sont celles qui ont été mises
en place dans votre entreprise ?
Antivirus
99%
WAF
Pare-feu
99%
Supervision de sécurité
(SIEM/SOC)
VPN
95%
AntiSPAM
89%
51%
46%
Double authentification
40%
Chiffrement de surface
39%
Proxy URL
79%
Chiffrement + signature
de messages
32%
Accès internet centralisé
78%
Bastion d'autorisations
31%
66%
SSO
Vulnerability Management
Log management
Authentification forte
Sonde de sécurité
15/01/2015
Chiffrement de base de
données
68%
MDM
29%
Sandboxing
61%
Anti-APT
58%
56%
53%
14%
Honey pot
7%
Sonde souveraine
6%
Cloud Access Security
Broker (CASB)
32
27%
1%
125
entreprises
Des niveaux de sécurité qui diffèrent souvent selon
une typologie de sensibilité des données
Q10. Avez-vous mis en place différents niveaux de sécurité selon le degré de
sensibilité des données de votre entreprise ?
125
entreprises
71%
ont mis en place des niveaux de
sécurité différent selon la sensibilité
des données
29%
15/01/2015
33
100%
La sécurisation passe le plus souvent par
une limitation des usages, globalement acceptée,
mais qui n’a d’impact qu’à la marge
Q16. Votre entreprise a-t-elle mis en place des limitations sur les usages des salariés
(du type limitation d’usage de sites d’échanges de données, filtrage web, restrictions
sur l’utilisation de périphériques…) ?
125
entreprises
e n t r e p r i s e s ayant mis en
116
place des contraintes
Q17. Ces contraintes sont-elles acceptées par les salariés ?
46%
Oui, tout à fait
45%
91%
20%
Non, plutôt pas
67%
Non, pas du tout
13%
9%
ont mis en place des limitations
sur les usages des salariés
Q18. Et, globalement, la mise en place de ces limitations a-telle eu un impact concret sur la cyber-sécurité de votre
entreprise ?
Oui, ces limitations ont été mises en place
42%
Oui, mais seulement certaines limitations ont été mises en place
Non, aucune limitation n'a été mise en place
15/01/2015
Oui, plutôt
Oui, de façon significative
34
49%
Oui, à la marge
9%
Non
Le filtrage web, une contrainte des usages rarement
jugée très efficace pour la sécurité
Q19. Et concernant le filtrage web (c’est-à-dire l’accès refusé à certains sites pour
les salariés) en particulier, cette mesure vous semble-t-elle efficace dans la
protection des entreprises contre les cyber-attaques ?
Le filtrage web est efficace pour
71%
7%
des entreprises
64%
26%
29%
Très efficace
15/01/2015
Plutôt efficace
35
Plutôt pas efficace
Pas du tout efficace
3%
125
entreprises
Beaucoup de salariés ne sont pas encore sensibilisés ou
ne respectent pas les recommandations
Q15. En ce qui concerne la cyber-sécurité, pensez-vous que les salariés de votre
entreprise… ?
125
entreprises
Oui
Sont sensibilisés aux
cyber-risques
6%
Respectent les
recommandations
2%
Prennent des précautions audelà des recommandations
données
53%
50%
7%
45%
2% 13%
Oui, tout à fait
15/01/2015
34%
59%
Oui, plutôt
36
3%
26%
Non, plutôt pas
Non, pas du tout
59%
52%
15%
Des moyens techniques, financiers et humains jugés
globalement insuffisants pour faire face aux cyberrisques
Oui, tout à fait
Oui, plutôt
Non, plutôt pas
Non, pas du tout
Q12. Les moyens techniques alloués par votre entreprise à la protection contre les
cyber-risques vous semblent-ils suffisants ?
2%
40%
46%
12%
Oui
42%
Q13. Et les budgets d’investissements alloués par votre entreprise à la protection
contre les cyber-risques vous semblent-ils suffisants ?
5%
31%
52%
12%
36%
Q11. Les moyens humains alloués par votre entreprise à la protection contre les
cyber-risques vous semblent-ils suffisants ?
4%
15/01/2015
27%
51%
37
18%
31%
Des prévisions non négligeables d’augmentation des
ressources à allouer à la protection contre le cyberrisque
Q14. Au cours des 12 prochains mois, votre entreprise envisage-t-elle de… ?
125
entreprises
47%
47%
6%
Augmenter les budgets et ressources dédiés à la cyber-sécurité
Maintenir les budgets et ressources dédiés à la cyber-sécurité
Réduire les budgets et ressources dédiés à la cyber-sécurité
15/01/2015
38
Nombre d’entreprises envisagent de se doter dune
cyber-assurance
Q9. Votre entreprise a-t-elle souscrit une cyber-assurance ?
125
entreprises
40%
19%
Oui
15/01/2015
13%
des entreprises envisagent de souscrire
une cyber-assurance
27%
Non, mais c’est envisagé
d’ici un an
39
41%
Non, mais c’est envisagé
à plus long terme
Non, et ce n’est pas envisagé
5.
PERSPECTIVES SUR LE FUTUR DE LA CYBER-SÉCURITÉ
Des entreprises qui s’attendent à une augmentation
des attaques cette année
Q7. Selon vous, dans les 12 mois à venir, le nombre d’attaques constatées dans
votre entreprise va-t-il… ?
125
entreprises
76%
23%
1%
≈
15/01/2015
41
Les solutions proposées par le marché
convainquent globalement peu les entreprises
Q29. Pensez-vous que les solutions de protection disponibles sur le marché sont
tout à fait, plutôt, plutôt pas ou pas du tout adaptées… ?
125
entreprises
Tout à fait adaptées
Plutôt adaptées
Plutôt pas adaptées
Pas du tout adaptées
Adaptées
Aux types et à la fréquence
1%
actuelle des cyber-attaques
Aux nouveaux usages du
numérique au travail
15/01/2015
58%
42%
37%
56%
42
4%
59%
2%
42%
Une confiance dans la volonté de leur entreprise à
prendre le cyber-risque au sérieux à l’avenir, mais
moins dans sa capacité à y faire face concrètement
Q26. Pour l’avenir, diriez-vous que vous êtes très confiant, assez confiant, assez
inquiet ou très inquiet en ce qui concerne… ?
125
entreprises
Très confiant
La prise en compte des enjeux de
la cyber-sécurité au sein de votre
entreprise
7%
La capacité de votre entreprise à
faire face aux cyber-risques
2%
15/01/2015
Assez confiant
Assez inquiet
Très inquiet
58%
45%
32%
44%
43
Confiant
3%
9%
65%
47%
Des enjeux d’avenir plus humains que techniques :
- L’importance donnée à la cyber sécurité (par les ressources allouées et la gouvernance)
- Le travail autour des usages (pour former les usagers et s’adapter aux pratiques nouvelles)
Q28. Parmi les enjeux suivants, quels sont selon vous les trois enjeux de demain
pour l’avenir de la cyber-sécurité des entreprises ?
125
entreprises
Au total
En 1er
Placer la gouvernance de la cyber-sécurité au bon niveau
Mieux former et sensibiliser les usagers aux questions de cyber-sécurité
Adapter les solutions aux nouveaux usages du numérique
Allouer davantage de budget ,de ressources à la cyber-sécurité
39%
11%
Spécifier la cyber-sécurité des objets connectés
6%
2%
44
25%
17%
14%
11%
Faire évoluer les réglementations françaises et internationales
15/01/2015
49%
9%
5%
Améliorer la performance des solutions techniques
69%
21%
Déployer des modèles de sécurité collaborative
Impliquer davantage les différents acteurs (État, fournisseurs, etc.)
69%
44%
2%
7%
Les DSI font face à des usagers peu habitués à des
outils sécurisés dans la sphère personnelle
Q30. Enfin, diriez-vous que, par rapport aux équipements utilisés dans le cadre
professionnel, les ordinateurs privés de vos salariés sont…
125
entreprises
Les ordinateurs privés sont moins bien
sécurisés que les équipements professionnels
pour
92%
des entreprises
67%
25%
2%
5%
1%
3%
Beaucoup moins sécurisés
15/01/2015
Un peu moins sécurisés
Tout aussi sécurisés
45
Un peu mieux sécurisés
Beaucoup mieux sécurisés
PROFIL DES RÉPONDANTS
Profil des répondants
Fonction du répondant
Nombre d’ordinateurs de l’entreprise
84% de RSSI / CISO / CSO
5% d’experts
5% de DSI
6% autres fonctions
Moins de 250
6%
12%
Entre 250 et 999
22%
Entre 1 000 et 4 999
Secteur d’activité de l’entreprise
61%
Service
26%
Industrie / BTP
Commerce
Autre
Entre 250 et 999
Entre 1 000 et 4 999
Entre 5 000 et 9 999
Entre 10 000 et 49 999
50 000 ou plus
15/01/2015
Entre 10 000 et 49 999
21%
50 000 ou plus
21%
9%
125 membres
du CESIN
4%
Nombre de salariés de l’entreprise
Moins de 250
18%
Entre 5 000 et 9 999
Nombre de smartphones & tablettes de l’entreprise
20%
Moins de 250
24%
Entre 250 et 999
7%
27%
Entre 1 000 et 4 999
10%
11%
Entre 5 000 et 9 999
20%
15%
Entre 10 000 et 49 999
16%
50 000 ou plus
21%
26%
47
3%
Auteur
Document
Catégorie
Uncategorized
Affichages
4
Taille du fichier
2 213 KB
Étiquettes
1/--Pages
signaler