cyberécrité quelle riposte - ey...en plus ouverts et élargis, rendant très concret le concept...
TRANSCRIPT
Cybersécurité : quelle riposte ? Synthèse de la 20e enquête EY sur la cybersécurité
2017-2018
Marc Ayadi Associé EY, Responsable des offres Cyber
1 “2017 Cost of Data Breach Study”, The Ponemon Institute, June 2017
Depuis déjà deux décennies, EY explore le champ des cyber-risques et identifie les moyens de défense contre les attaques, dans un monde de plus en plus complexe rythmé par les ruptures technologiques et les changements d’usage. Aujourd’hui, jamais les frontières d’une entreprise n’ont été aussi perméables à la sphère privée.
Avec la prolifération des appareils mobiles (smartphones, tablettes, objets connectés) et l’expérimentation de nouveaux modes de travail (télétravail, co-working), les données de l’entreprise sont désormais accessibles, partout et tout le temps.
Quant à la transformation numérique en cours, elle a deux conséquences. D’une part, elle entraîne une hyper-connectivité des entreprises avec l’ensemble des acteurs de leur chaîne de valeur que sont les tiers, les clients et les fournisseurs. D’autre part, elle diffuse l’information dans des cercles de plus en plus ouverts et élargis, rendant très concret le concept d’entreprise étendue.
Dans ce contexte, les failles de sécurité se multiplient, la difficulté à cartographier et identifier les risques est de plus en plus grande, et l’envergure des réseaux constitués donne aux attaques une portée qu’il devient difficile d’ignorer.
En 2017, paralysant sans distinction hôpitaux publics et ports commerciaux, les ransomware WannaCry et Petya ont démontré l’ampleur des dégâts potentiels. En 2017, le coût d’une cyberattaque a été évalué en moyenne à 3,62 millions de dollars1. Selon le World Economic Forum, il devrait dépasser la barre des 6 milliards de dollars d’ici 2021 dans son ensemble.
Edito
Dans ce contexte, la réglementation progresse. Un nouveau texte européen de référence en matière de protection des données personnelles (RGPD n°2016/679) entrera en vigueur en mai 2018. Il donnera aux régulateurs le pouvoir d’infliger des sanctions financières pouvant aller jusqu’à 4% du chiffre d’affaires mondial annuel, en cas de violation délibérée ou de négligence.
Seule certitude, les organisations qui ne dédieront pas assez de ressources à leur cybersécurité risquent de ne pas pouvoir faire face aux attaques auxquelles elles seront sujettes et ainsi être taxées de négligence. Et s’il va de soi que l’enveloppe financière attribuée doit être à la hauteur des enjeux, la prise de conscience des dirigeants doit l’être encore plus. La cybersécurité ne peut continuer à rester l’affaire exclusive de l’IT. Maillon indispensable de la confiance avec les régulateurs, clients et médias, elle doit être au cœur de la stratégie de l’entreprise et activement soutenue par ses dirigeants.
Que nous enseignent les résultats de la 20e enquête mondiale sur la sécurité de l’information (GISS) ? L’impératif d’une réponse collaborative et cohérente face aux nouvelles menaces est désormais prégnant. Urgent. C’est le premier enseignement. Nous y reviendrons en détail.
Cette année, près de 1 200 organisations ont participé à notre enquête. C’est un immense sujet de satisfaction car la taille de cet échantillon permet une étude robuste et des résultats solides. Mieux, les réponses des DSI, des RSSI, nous permettent d’identifier les points forts et les points faibles des stratégies actuelles ainsi que les tendances de place. Le rapport GISS s’appuie également sur notre expérience aux côtés de nos clients dans le monde entier.
Si votre organisation se sent menacée, soyez rassuré. Vous n’êtes pas seul ! En effet, comme l’indique notre enquête, la plupart des organisations se sentent plus menacées aujourd’hui qu’il y a un an. Ce n’est guère étonnant. En adoptant, vague après vague, de nouvelles technologies, elles créent des opportunités et des risques dans l’ensemble de leur chaîne de valeur. Or dans un paysage complexe et évolutif, l’arbre cache parfois la forêt : la menace est souvent bien camouflée, imperceptible.
Heureusement, la résistance fait mieux que s’organiser. Certes, il ne sera pas toujours possible de repousser toutes les menaces. Mais, ensemble, nous apprenons. Notre compréhension des attaques progresse à grands pas, donnant aux entreprises les clés pour se protéger, détecter un problème et fournir une réponse rapide et efficace. Même si l’inventivité des pirates semble infinie, une bonne gouvernance de la cybersécurité et son intégration dès les premières phases d’un projet donnent aux organisations une chance de résister aux malveillances numériques.
En travaillant ensemble, nous pouvons être en (cyber) sécurité. Dans cet esprit, nous aimerions remercier nos clients d’avoir pris le temps de répondre au sondage : continuons à partager nos connaissances afin de bâtir un monde plus sûr, pour tous.
Synthèse1. L’employé dupé, le cheval de Troie des pirates informatiques
Quelles ont été les menaces les plus sérieuses sur la période 2013-2017 ?
Quels sont les principaux obstacles qui entravent le développement de votre programme de cybersécurité ?
Autres
Fragmentation de la conformité et de la régulation
Mauvaise qualité des outils de gestion relatifsà la sécurité du système d’information
Problèmes de gouvernance ou de management
Absence de relais ou de soutien du management
anque de ressources qualifiées
Budget restreint 59%
58%
29%
26%
26%
19%
7%
Vulnérabilités Menaces des vulnérabilités qui ont le plus augmenté l’exposition aux risques
des organisations des menaces qui ont le plus augmenté l’exposition aux risques
des organisations
59% déclarent que leur budget a augmenté ces 12 derniers mois.
87% des répondants souhaiteraient que le budget attribué à la cybersécurité soit augmenté de ou plus
12% prévoient que leur budget augmente de cette année.
4% des répondants considèrent qu’ils ont correctement évalué l’impact de leur stratégie actuelle sur la sécurité de l’information et que leur cartographie des risques tient compte des cybermenaces et des vulnérabilités critiques.
Seuls
2. Malgré une hausse du budget, les moyens ne sont toujours pas à la hauteur des menaces
0
35
70
Malware
Phishing
berattaques con ues pour voler des informations financières
Cyberattaques conçues pour voler des données ou des adresses IP
Attaques internes
2831
27
33
25
4144
41 42
30
2013 2014 2015 2016 2017
41
39
44 51
64
64
4651
33
45
3239
51
43
34
année0
40
70
Employés négligents ou mal informés
berattaques con ues pour voler des informations financières
Accès non autorisé
2013 2014 2015 2016 2017
34 34 32
44
37
51
53
52
57
34
4448
55
46
60
année
Synthèse de la 20è enquête EY sur la cybersécurité 2017-182
3
75% des répondants considèrent que la maturité de leur s stème d’identification des vulnérabilités est très faible à modérée.
35% des répondants estiment que leur politique de protection des données est inexistante ou essentiellement réactive.
38% ne possèdent pas de programme d’accès et d’identification des vulnérabilités
48% des répondants n’ont pas de centre de gestion des incidents (Security Operations Center ou SOC).
57% des répondants n’ont pas de programme de cybersécurité formel.
12% des répondants pensent qu’ils détecteraient une cyberattaque sophistiquée.
Défense contre des attaques traditionnelles
Défense contre des attaques avancées
Synthèse de la 20è enquête EY sur la cybersécurité 2017-18 3
Seuls
3. Point d’alerte : la maturité des programmes de cybersécurité est encore bien trop faible
24% affirment que le responsable de la cybersécurité siège au comité de direction.
89% déclarent que leur programme de c bersécurité ne suffit pas à répondre aux besoins de l’organisation.
63% des départements dédiés à la cybersécurité sont rattachés à la direction de l’IT.
17% des comités de direction disposent des informations nécessaires pour évaluer les risques auxquels l’organisation est confrontée, et ont mis en place des mesures correctives.
Défense contre des futures attaques
Situation d’urgence
43% des répondants n’ont pas de stratégie de communication adaptée en cas d’attaque significative
56% pensent qu’en cas de faille compromettant des données, une annonce publique sera faite le mois suivant l’attaque.
Quelles attaques en 2018 ?
#1 Rançongiciel (Ransomware) – logiciel malveillant capable de bloquer l’accès à un ordinateur jusqu’à ce que la victime paie une somme d’argent en échange d’une clef de débridage n augmentation de entre 2015 et 20161, cette pratique est récemment montée en puissance avec les cyberattaques Wannacry et Pet a qui figurent parmi les plus grands piratages de l’histoire d’internet.
#2 Crypto-détournement (Cryptojacking) – pratique qui consiste à détourner des crypto-deniers en utilisant la capacité de calcul de tiers à leur insu. Avec l’augmentation de la valeur des crypto-monnaies, cette activité devrait s’intensifier en 2.
#3 Attaques basées sur des scripts Powershell – attaques utilisant l’interpréteur de lignes de commande de Windows PowerShell, installé par défaut sur la plupart des ordinateurs. Ces scripts laissent peu de traces exploitables et peuvent être utilisés pour voler des données, désinstaller des programmes de sécurité ou rechercher des mots de passe sur un réseau. Particulièrement difficile à détecter elles pourraient être davantage employées dans l’année à venir.
1 ttp lefigaro fr secteur ig tec AR Fles-demandes-de-rancons-informatiques-en-tres-nette-hausse-en-2017.php
2 https://www.generation-nt.com/tribune-malwarebytes-previsions-2018-cybersecurite-actualite tml
Synthèse de la 20è enquête EY sur la cybersécurité 2017-18
Seuls
Seuls
50% rendent régulièrement compte de leurs actions au conseil d’administration.
Synthèse de la 20e enquête EY sur la cybersécurité 2017-18 55
Caractéristiques
Types d’agresseurs
Exemples
Stratégies de réponse
Ces attaques exploitent les vulnérabilités connues. Elles ne requièrent qu’une expertise limitée et sont conçues à partir d’outils librement accessibles sur internet
Employés mécontents, concurrents, hacktivistes, et autres groupes de criminalité organisée
• Exploitation d’une vulnérabilité non corrigée grâce à un kit de piratage disponible sur internet
• Campagne d’hameçonnage visant à introduire un malware dans le système
• Déni de services distribués intégrant une demande aléatoire de base
• Définir une gouvernance et une organisation dédiées et soutenues par le management
• Cartographier et classer les risques pesant sur les actifs vitaux de l’organisation et sur son écosystème
• Identifier en amont les attaques et agresseurs potentiels, et mettre en place les plans d’action appropriés
• Définir l’appétence au risque de l’organisation et mettre en place des mécanismes de reporting
Les attaques avancées ciblent des failles qui n’ont le plus souvent pas été identifiées par l’organisation (vulnérabilités 0-day). Elles exigent des outils et des méthodologies sophistiquées
Criminalité organisée, espionnage industriel, cyberterroristes, Etats
• Tentative d’hameçonnage utilisant un malware dédié
• Exploitation d’une faille de sécurité 0-day via un code d’exploitation sur-mesure
• Espionnage exercé par un salarié
• Attaque du système d’information des fournisseurs dans le but d’atteindre l’organisation
• Être capable de détecter une attaque. Mettre en place un système de surveillance capable de détecter une attaque à différents échelons de l’organisation. Lorsqu’une activité suspecte est détectée, un email d’alerte doit être envoyé à un centre de gestion (SOC) ouvert
jours par an qui surveille les réseaux, les systèmes d’exploitation, les applications et les utilisateurs finaux
• Etre prêt à réagir. Former une équipe dédiée à la gestion des cyberincidents, dont le programme devra être revu au minimum une fois par an
Ces attaques surgissent lorsque de nouvelles technologies introduisent de nouvelles vulnérabilités dans les systèmes. Elles nécessitent une recherche et des compétences pointues
Criminalité organisée, espionnage industriel, cyberterroristes, Etats
• Ciblage des appareils périphériques pour accéder aux données et contrôler les systèmes
• Recoupement des informations privées et publiques pour accéder frauduleusement à un réseau
• Utilisation de techniques avancées pour contourner les mécanismes de détection et de défense
• Inviter la cybersécurité dans la conception des nouveaux produits, services, partenariats
• Développer des outils intelligents capables d’interpréter des signaux faibles d’identifier et de contrer les nouvelles attaques
Quelle est la nature de l’attaque ?
Attaques traditionnelles Attaques avancées Futures attaques
4. Organiser la riposte commence par identifier et comprendre la nature de la menace
Stratégies de réponse
• Développer un programme de formation afin que les employés, fournisseurs, tierce-parties puissent identifier et agir de fa on adéquate en cas de cyberattaque
• Mettre en place les protections élémentaires. Sécuriser les configurations appliquer régulièrement les correctifs nécessaires, pare-feu, anti-malware, contrôle d’accès à distance, chiffrement, mettre en place un plan de gestion de la vulnérabilité (VM), un système d’accès et d’identification sécurisé (IAM), et un contrôle systématique des données qui appartiennent à l’organisation
• Construire un plan de restauration de tous les processus, données et systèmes critiques pour la survie de l’entreprise
• Mettre en place des protections automatiques additionnelles. Systèmes de prévention et de détection d’intrusion, pare-feu web, systèmes de prévention de perte de données
• Réaliser des tests régulièrement. Simuler une cyberattaque pour tester la résilience des protections mises en place
• Créer une dynamique de progression incrémentale. Réévaluer les risques régulièrement, s’assurer de sa conformité avec les dernières régulations et identifier les domaines qui nécessitent encore des progrès
Quelle est la nature de l’attaque ?
Attaques traditionnelles Attaques avancées Futures attaques
Synthèse de la 20è enquête EY sur la cybersécurité 2017-186
Synthèse de la 20e enquête EY sur la cybersécurité 2017-18 77
1. Talents Faire de la cybersécurité la responsabilité de tous • Mettre en place la stratégie dite des trois
lignes de défense (3LoD) : managers opérationnels, experts des risques et de la conformité doivent collaborer pour renforcer la protection de l’organisation
• Renforcer la première ligne de défense que représente l’être humain : le collaborateur, le fournisseur, le client, les partenaires etc.
• Créer une culture de la cybersécurité et de la gestion des risques autour de cet écosystème
• Former régulièrement les collaborateurs afin qu’ils puissent adapter leur comportement en cas d’attaque et tester leur aptitude à adopter des comportements vertueux et de vigilance
2. Stratégie et innovation
Une seule obsession : intégrer la cyber-sécurité dans l’ensemble des canaux d’innovation de l’organisation• Dans la transformation digitale
de l’organisation• A travers l’automatisation des mécanismes
de défense (Robotic Process Automation ou RPA) vers une défense active plus efficace
• Utiliser le cas échéant les ressources offertes par la blockchain pour sécuriser les transactions lorsque cela fait sens
• Définir la stratégie de défense des nouveaux produits et services dès leur conception notamment lorsque cela touche aux objets connectés
Identifier les risques et les hiérarchiser• Définir son degré d’appétence aux risques• Les objectiver en définissant des métriques
et en surveiller l’évolution• Etendre l’analyse des risques à l’ensemble
de l’éco-système au-delà de l’organisation (tiers, fournisseurs, etc.)
• Se conformer à la législation et identifier les leviers potentiels pour assurer une amélioration continue de sa cybersécurité
3. Cartographie des risques
L’intelligence artificielle comme ligne de défense Développer et améliorer les algorithmes dans les domaines suivants :• Détection de menaces• Analyse des signaux faibles : différenciation
entre une simple irrégularité et un véritable signal hostile
• Automatisation des actions correctives (système immunitaire)
• Interruption automatique des appareils corrompus
4. Intelligence et agilité
Etre capable de restaurer les données critiques de l’entreprise• Mettre en place un plan opérationnel, testé
régulièrement, couvrant les fonctions support et les métiers, de restauration des données et des systèmes critiques
• Concevoir une architecture de défense intelli-gente capable de s’adapter à la croissance de l’organisation sans autre action additionnelle que celle de multiplier les capacités de stockage et de calcul (scalable).
5. Résilience et réplication à l’échelle
5. De l’analyse à l’action : 5 piliers requis pour une protection efficace
Synthèse de la 20e enquête EY sur la cybersécurité 2017-188
La 20e édition de l’enquête mondiale sur la cybersécurité menée par EY s’appuie sur la participation de près de 1200 professionnels et experts de la cybersécurité à travers le monde et issus de 20 secteurs d’activité. Les réponses à cette vaste consultation ont été recueillies entre juin et septembre 2017.
Méthodologie
EMEIA
Japon
Amériques
Asie Pacifique
Zone géographique
Nombre de salariés
Secteurs d’activité
Automobile et ransports
anques et marc és de capitaux
Produits industriels diversifiés
iens de consommation et distribution
ec nologies
Autre
nergie et utilities
mmobilier
Services professionnels
Assurances
Pétrole et ga
édias et divertissements
Sciences de la vie
Secteur public
élécommunications
ines et métaux
Aérospatiale et défense
estion d’actifs
Santé
Produits c imiques
GE: Plus de 5000
ETI : de 500 à 5000
PME : moins de 500
ETI : de 500 à 5000
GE : Plus de 5000
PME : moins de 500
* Une question pertinente. Une réponse adaptée. Un monde qui avance.
© 2
016
Erns
t & Y
oung
Adv
isor
y – T
ous
droi
ts ré
serv
és –
Stud
io E
Y Fr
ance
: 16
06SG
889.
La cybercriminalité se combat-elle avec plus de technologie ou plus de cerveaux ?EY vous accompagne pour définir et mettre en œuvre la stratégie de sécurité qui répond à vos enjeux.
ey.com/advisory #BetterQuestions
EY | Audit | Conseil | Fiscalité & Droit | Transactions
EY est un des leaders mondiaux de l’audit, du conseil, de la fiscalité et du droit, des transactions. Partout dans le monde, notre expertise et la qualité de nos services contribuent à créer les conditions de la confiance dans l’économie et les marchés financiers. Nous faisons grandir les talents afin qu’ensemble, ils accompagnent les organisations vers une croissance pérenne. C’est ainsi que nous jouons un rôle actif dans la construction d’un monde plus juste et plus équilibré pour nos équipes, nos clients et la société dans son ensemble.
EY désigne l’organisation mondiale et peut faire référence à l’un ou plusieurs des membres d’Ernst & Young Global Limited, dont chacun est une entité juridique distincte. Ernst & Young Global Limited, société britannique à responsabilité limitée par garantie, ne fournit pas de prestations aux clients. Retrouvez plus d’informations sur notre organisation sur www.ey.com.
© 2018 Ernst & Young Advisory.
Tous droits réservés.Studio EY France - 1712SG860SCORE France n° 2018-001
Document imprimé conformément à l’engagement d’EY de réduire son empreinte sur l’environnement.
Cette publication a valeur d’information générale et ne saurait se substituer à un conseil professionnel en matière comptable, fiscale ou autre. Pour toute question spécifique, vous devez vous adresser à vos conseillers.
ey.com/fr
ContactMarc AyadiAssocié, Ernst & Young Advisory
Tél. : +33 1 46 93 73 92Email : [email protected]