Cybersécurité : quelle riposte ? Synthèse de la 20e enquête EY sur la cybersécurité

2017-2018

Marc Ayadi Associé EY, Responsable des offres Cyber

1 “2017 Cost of Data Breach Study”, The Ponemon Institute, June 2017

Depuis déjà deux décennies, EY explore le champ des cyber-risques et identifie les moyens de défense contre les attaques, dans un monde de plus en plus complexe rythmé par les ruptures technologiques et les changements d’usage. Aujourd’hui, jamais les frontières d’une entreprise n’ont été aussi perméables à la sphère privée.

Avec la prolifération des appareils mobiles (smartphones, tablettes, objets connectés) et l’expérimentation de nouveaux modes de travail (télétravail, co-working), les données de l’entreprise sont désormais accessibles, partout et tout le temps.

Quant à la transformation numérique en cours, elle a deux conséquences. D’une part, elle entraîne une hyper-connectivité des entreprises avec l’ensemble des acteurs de leur chaîne de valeur que sont les tiers, les clients et les fournisseurs. D’autre part, elle diffuse l’information dans des cercles de plus en plus ouverts et élargis, rendant très concret le concept d’entreprise étendue.

Dans ce contexte, les failles de sécurité se multiplient, la difficulté à cartographier et identifier les risques est de plus en plus grande, et l’envergure des réseaux constitués donne aux attaques une portée qu’il devient difficile d’ignorer.

En 2017, paralysant sans distinction hôpitaux publics et ports commerciaux, les ransomware WannaCry et Petya ont démontré l’ampleur des dégâts potentiels. En 2017, le coût d’une cyberattaque a été évalué en moyenne à 3,62 millions de dollars1. Selon le World Economic Forum, il devrait dépasser la barre des 6 milliards de dollars d’ici 2021 dans son ensemble.

Edito

Dans ce contexte, la réglementation progresse. Un nouveau texte européen de référence en matière de protection des données personnelles (RGPD n°2016/679) entrera en vigueur en mai 2018. Il donnera aux régulateurs le pouvoir d’infliger des sanctions financières pouvant aller jusqu’à 4% du chiffre d’affaires mondial annuel, en cas de violation délibérée ou de négligence.

Seule certitude, les organisations qui ne dédieront pas assez de ressources à leur cybersécurité risquent de ne pas pouvoir faire face aux attaques auxquelles elles seront sujettes et ainsi être taxées de négligence. Et s’il va de soi que l’enveloppe financière attribuée doit être à la hauteur des enjeux, la prise de conscience des dirigeants doit l’être encore plus. La cybersécurité ne peut continuer à rester l’affaire exclusive de l’IT. Maillon indispensable de la confiance avec les régulateurs, clients et médias, elle doit être au cœur de la stratégie de l’entreprise et activement soutenue par ses dirigeants.

Que nous enseignent les résultats de la 20e enquête mondiale sur la sécurité de l’information (GISS) ? L’impératif d’une réponse collaborative et cohérente face aux nouvelles menaces est désormais prégnant. Urgent. C’est le premier enseignement. Nous y reviendrons en détail.

Cette année, près de 1 200 organisations ont participé à notre enquête. C’est un immense sujet de satisfaction car la taille de cet échantillon permet une étude robuste et des résultats solides. Mieux, les réponses des DSI, des RSSI, nous permettent d’identifier les points forts et les points faibles des stratégies actuelles ainsi que les tendances de place. Le rapport GISS s’appuie également sur notre expérience aux côtés de nos clients dans le monde entier.

Si votre organisation se sent menacée, soyez rassuré. Vous n’êtes pas seul ! En effet, comme l’indique notre enquête, la plupart des organisations se sentent plus menacées aujourd’hui qu’il y a un an. Ce n’est guère étonnant. En adoptant, vague après vague, de nouvelles technologies, elles créent des opportunités et des risques dans l’ensemble de leur chaîne de valeur. Or dans un paysage complexe et évolutif, l’arbre cache parfois la forêt : la menace est souvent bien camouflée, imperceptible.

Heureusement, la résistance fait mieux que s’organiser. Certes, il ne sera pas toujours possible de repousser toutes les menaces. Mais, ensemble, nous apprenons. Notre compréhension des attaques progresse à grands pas, donnant aux entreprises les clés pour se protéger, détecter un problème et fournir une réponse rapide et efficace. Même si l’inventivité des pirates semble infinie, une bonne gouvernance de la cybersécurité et son intégration dès les premières phases d’un projet donnent aux organisations une chance de résister aux malveillances numériques.

En travaillant ensemble, nous pouvons être en (cyber) sécurité. Dans cet esprit, nous aimerions remercier nos clients d’avoir pris le temps de répondre au sondage : continuons à partager nos connaissances afin de bâtir un monde plus sûr, pour tous.

Synthèse1. L’employé dupé, le cheval de Troie des pirates informatiques

Quelles ont été les menaces les plus sérieuses sur la période 2013-2017 ?

Quels sont les principaux obstacles qui entravent le développement de votre programme de cybersécurité ?

Autres

Fragmentation de la conformité et de la régulation

Mauvaise qualité des outils de gestion relatifsà la sécurité du système d’information

Problèmes de gouvernance ou de management

Absence de relais ou de soutien du management

anque de ressources qualifiées

Budget restreint 59%

58%

29%

26%

26%

19%

7%

Vulnérabilités Menaces des vulnérabilités qui ont le plus augmenté l’exposition aux risques

des organisations des menaces qui ont le plus augmenté l’exposition aux risques

des organisations

59% déclarent que leur budget a augmenté ces 12 derniers mois.

87% des répondants souhaiteraient que le budget attribué à la cybersécurité soit augmenté de ou plus

12% prévoient que leur budget augmente de cette année.

4% des répondants considèrent qu’ils ont correctement évalué l’impact de leur stratégie actuelle sur la sécurité de l’information et que leur cartographie des risques tient compte des cybermenaces et des vulnérabilités critiques.

Seuls

2. Malgré une hausse du budget, les moyens ne sont toujours pas à la hauteur des menaces

0

35

70

Malware

Phishing

berattaques con ues pour voler des informations financières

Cyberattaques conçues pour voler des données ou des adresses IP

Attaques internes

2831

27

33

25

4144

41 42

30

2013 2014 2015 2016 2017

41

39

44 51

64

64

4651

33

45

3239

51

43

34

année0

40

70

Employés négligents ou mal informés

berattaques con ues pour voler des informations financières

Accès non autorisé

2013 2014 2015 2016 2017

34 34 32

44

37

51

53

52

57

34

4448

55

46

60

année

Synthèse de la 20è enquête EY sur la cybersécurité 2017-182

3

75% des répondants considèrent que la maturité de leur s stème d’identification des vulnérabilités est très faible à modérée.

35% des répondants estiment que leur politique de protection des données est inexistante ou essentiellement réactive.

38% ne possèdent pas de programme d’accès et d’identification des vulnérabilités

48% des répondants n’ont pas de centre de gestion des incidents (Security Operations Center ou SOC).

57% des répondants n’ont pas de programme de cybersécurité formel.

12% des répondants pensent qu’ils détecteraient une cyberattaque sophistiquée.

Défense contre des attaques traditionnelles

Défense contre des attaques avancées

Synthèse de la 20è enquête EY sur la cybersécurité 2017-18 3

Seuls

3. Point d’alerte : la maturité des programmes de cybersécurité est encore bien trop faible

24% affirment que le responsable de la cybersécurité siège au comité de direction.

89% déclarent que leur programme de c bersécurité ne suffit pas à répondre aux besoins de l’organisation.

63% des départements dédiés à la cybersécurité sont rattachés à la direction de l’IT.

17% des comités de direction disposent des informations nécessaires pour évaluer les risques auxquels l’organisation est confrontée, et ont mis en place des mesures correctives.

Défense contre des futures attaques

Situation d’urgence

43% des répondants n’ont pas de stratégie de communication adaptée en cas d’attaque significative

56% pensent qu’en cas de faille compromettant des données, une annonce publique sera faite le mois suivant l’attaque.

Quelles attaques en 2018 ?

#1 Rançongiciel (Ransomware) – logiciel malveillant capable de bloquer l’accès à un ordinateur jusqu’à ce que la victime paie une somme d’argent en échange d’une clef de débridage n augmentation de entre 2015 et 20161, cette pratique est récemment montée en puissance avec les cyberattaques Wannacry et Pet a qui figurent parmi les plus grands piratages de l’histoire d’internet.

#2 Crypto-détournement (Cryptojacking) – pratique qui consiste à détourner des crypto-deniers en utilisant la capacité de calcul de tiers à leur insu. Avec l’augmentation de la valeur des crypto-monnaies, cette activité devrait s’intensifier en 2.

#3 Attaques basées sur des scripts Powershell – attaques utilisant l’interpréteur de lignes de commande de Windows PowerShell, installé par défaut sur la plupart des ordinateurs. Ces scripts laissent peu de traces exploitables et peuvent être utilisés pour voler des données, désinstaller des programmes de sécurité ou rechercher des mots de passe sur un réseau. Particulièrement difficile à détecter elles pourraient être davantage employées dans l’année à venir.

1 ttp lefigaro fr secteur ig tec AR Fles-demandes-de-rancons-informatiques-en-tres-nette-hausse-en-2017.php

2 https://www.generation-nt.com/tribune-malwarebytes-previsions-2018-cybersecurite-actualite tml

Synthèse de la 20è enquête EY sur la cybersécurité 2017-18

Seuls

Seuls

50% rendent régulièrement compte de leurs actions au conseil d’administration.

Synthèse de la 20e enquête EY sur la cybersécurité 2017-18 55

Caractéristiques

Types d’agresseurs

Exemples

Stratégies de réponse

Ces attaques exploitent les vulnérabilités connues. Elles ne requièrent qu’une expertise limitée et sont conçues à partir d’outils librement accessibles sur internet

Employés mécontents, concurrents, hacktivistes, et autres groupes de criminalité organisée

• Exploitation d’une vulnérabilité non corrigée grâce à un kit de piratage disponible sur internet

• Campagne d’hameçonnage visant à introduire un malware dans le système

• Déni de services distribués intégrant une demande aléatoire de base

• Définir une gouvernance et une organisation dédiées et soutenues par le management

• Cartographier et classer les risques pesant sur les actifs vitaux de l’organisation et sur son écosystème

• Identifier en amont les attaques et agresseurs potentiels, et mettre en place les plans d’action appropriés

• Définir l’appétence au risque de l’organisation et mettre en place des mécanismes de reporting

Les attaques avancées ciblent des failles qui n’ont le plus souvent pas été identifiées par l’organisation (vulnérabilités 0-day). Elles exigent des outils et des méthodologies sophistiquées

Criminalité organisée, espionnage industriel, cyberterroristes, Etats

• Tentative d’hameçonnage utilisant un malware dédié

• Exploitation d’une faille de sécurité 0-day via un code d’exploitation sur-mesure

• Espionnage exercé par un salarié

• Attaque du système d’information des fournisseurs dans le but d’atteindre l’organisation

• Être capable de détecter une attaque. Mettre en place un système de surveillance capable de détecter une attaque à différents échelons de l’organisation. Lorsqu’une activité suspecte est détectée, un email d’alerte doit être envoyé à un centre de gestion (SOC) ouvert

jours par an qui surveille les réseaux, les systèmes d’exploitation, les applications et les utilisateurs finaux

• Etre prêt à réagir. Former une équipe dédiée à la gestion des cyberincidents, dont le programme devra être revu au minimum une fois par an

Ces attaques surgissent lorsque de nouvelles technologies introduisent de nouvelles vulnérabilités dans les systèmes. Elles nécessitent une recherche et des compétences pointues

Criminalité organisée, espionnage industriel, cyberterroristes, Etats

• Ciblage des appareils périphériques pour accéder aux données et contrôler les systèmes

• Recoupement des informations privées et publiques pour accéder frauduleusement à un réseau

• Utilisation de techniques avancées pour contourner les mécanismes de détection et de défense

• Inviter la cybersécurité dans la conception des nouveaux produits, services, partenariats

• Développer des outils intelligents capables d’interpréter des signaux faibles d’identifier et de contrer les nouvelles attaques

Quelle est la nature de l’attaque ?

Attaques traditionnelles Attaques avancées Futures attaques

4. Organiser la riposte commence par identifier et comprendre la nature de la menace

Stratégies de réponse

• Développer un programme de formation afin que les employés, fournisseurs, tierce-parties puissent identifier et agir de fa on adéquate en cas de cyberattaque

• Mettre en place les protections élémentaires. Sécuriser les configurations appliquer régulièrement les correctifs nécessaires, pare-feu, anti-malware, contrôle d’accès à distance, chiffrement, mettre en place un plan de gestion de la vulnérabilité (VM), un système d’accès et d’identification sécurisé (IAM), et un contrôle systématique des données qui appartiennent à l’organisation

• Construire un plan de restauration de tous les processus, données et systèmes critiques pour la survie de l’entreprise

• Mettre en place des protections automatiques additionnelles. Systèmes de prévention et de détection d’intrusion, pare-feu web, systèmes de prévention de perte de données

• Réaliser des tests régulièrement. Simuler une cyberattaque pour tester la résilience des protections mises en place

• Créer une dynamique de progression incrémentale. Réévaluer les risques régulièrement, s’assurer de sa conformité avec les dernières régulations et identifier les domaines qui nécessitent encore des progrès

Quelle est la nature de l’attaque ?

Attaques traditionnelles Attaques avancées Futures attaques

Synthèse de la 20è enquête EY sur la cybersécurité 2017-186

Synthèse de la 20e enquête EY sur la cybersécurité 2017-18 77

1. Talents Faire de la cybersécurité la responsabilité de tous • Mettre en place la stratégie dite des trois

lignes de défense (3LoD) : managers opérationnels, experts des risques et de la conformité doivent collaborer pour renforcer la protection de l’organisation

• Renforcer la première ligne de défense que représente l’être humain : le collaborateur, le fournisseur, le client, les partenaires etc.

• Créer une culture de la cybersécurité et de la gestion des risques autour de cet écosystème

• Former régulièrement les collaborateurs afin qu’ils puissent adapter leur comportement en cas d’attaque et tester leur aptitude à adopter des comportements vertueux et de vigilance

2. Stratégie et innovation

Une seule obsession : intégrer la cyber-sécurité dans l’ensemble des canaux d’innovation de l’organisation• Dans la transformation digitale

de l’organisation• A travers l’automatisation des mécanismes

de défense (Robotic Process Automation ou RPA) vers une défense active plus efficace

• Utiliser le cas échéant les ressources offertes par la blockchain pour sécuriser les transactions lorsque cela fait sens

• Définir la stratégie de défense des nouveaux produits et services dès leur conception notamment lorsque cela touche aux objets connectés

Identifier les risques et les hiérarchiser• Définir son degré d’appétence aux risques• Les objectiver en définissant des métriques

et en surveiller l’évolution• Etendre l’analyse des risques à l’ensemble

de l’éco-système au-delà de l’organisation (tiers, fournisseurs, etc.)

• Se conformer à la législation et identifier les leviers potentiels pour assurer une amélioration continue de sa cybersécurité

3. Cartographie des risques

L’intelligence artificielle comme ligne de défense Développer et améliorer les algorithmes dans les domaines suivants :• Détection de menaces• Analyse des signaux faibles : différenciation

entre une simple irrégularité et un véritable signal hostile

• Automatisation des actions correctives (système immunitaire)

• Interruption automatique des appareils corrompus

4. Intelligence et agilité

Etre capable de restaurer les données critiques de l’entreprise• Mettre en place un plan opérationnel, testé

régulièrement, couvrant les fonctions support et les métiers, de restauration des données et des systèmes critiques

• Concevoir une architecture de défense intelli-gente capable de s’adapter à la croissance de l’organisation sans autre action additionnelle que celle de multiplier les capacités de stockage et de calcul (scalable).

5. Résilience et réplication à l’échelle

5. De l’analyse à l’action : 5 piliers requis pour une protection efficace

Synthèse de la 20e enquête EY sur la cybersécurité 2017-188

La 20e édition de l’enquête mondiale sur la cybersécurité menée par EY s’appuie sur la participation de près de 1200 professionnels et experts de la cybersécurité à travers le monde et issus de 20 secteurs d’activité. Les réponses à cette vaste consultation ont été recueillies entre juin et septembre 2017.

Méthodologie

EMEIA

Japon

Amériques

Asie Pacifique

Zone géographique

Nombre de salariés

Secteurs d’activité

Automobile et ransports

anques et marc és de capitaux

Produits industriels diversifiés

iens de consommation et distribution

ec nologies

Autre

nergie et utilities

mmobilier

Services professionnels

Assurances

Pétrole et ga

édias et divertissements

Sciences de la vie

Secteur public

élécommunications

ines et métaux

Aérospatiale et défense

estion d’actifs

Santé

Produits c imiques

GE: Plus de 5000

ETI : de 500 à 5000

PME : moins de 500

ETI : de 500 à 5000

GE : Plus de 5000

PME : moins de 500

* Une question pertinente. Une réponse adaptée. Un monde qui avance.

© 2

016

Erns

t & Y

oung

Adv

isor

y – T

ous

droi

ts ré

serv

és –

Stud

io E

Y Fr

ance

: 16

06SG

889.

La cybercriminalité se combat-elle avec plus de technologie ou plus de cerveaux ?EY vous accompagne pour définir et mettre en œuvre la stratégie de sécurité qui répond à vos enjeux.

ey.com/advisory #BetterQuestions

EY | Audit | Conseil | Fiscalité & Droit | Transactions

EY est un des leaders mondiaux de l’audit, du conseil, de la fiscalité et du droit, des transactions. Partout dans le monde, notre expertise et la qualité de nos services contribuent à créer les conditions de la confiance dans l’économie et les marchés financiers. Nous faisons grandir les talents afin qu’ensemble, ils accompagnent les organisations vers une croissance pérenne. C’est ainsi que nous jouons un rôle actif dans la construction d’un monde plus juste et plus équilibré pour nos équipes, nos clients et la société dans son ensemble.

EY désigne l’organisation mondiale et peut faire référence à l’un ou plusieurs des membres d’Ernst & Young Global Limited, dont chacun est une entité juridique distincte. Ernst & Young Global Limited, société britannique à responsabilité limitée par garantie, ne fournit pas de prestations aux clients. Retrouvez plus d’informations sur notre organisation sur www.ey.com.

© 2018 Ernst & Young Advisory.

Tous droits réservés.Studio EY France - 1712SG860SCORE France n° 2018-001

Document imprimé conformément à l’engagement d’EY de réduire son empreinte sur l’environnement.

Cette publication a valeur d’information générale et ne saurait se substituer à un conseil professionnel en matière comptable, fiscale ou autre. Pour toute question spécifique, vous devez vous adresser à vos conseillers.

ey.com/fr

ContactMarc AyadiAssocié, Ernst & Young Advisory

Tél. : +33 1 46 93 73 92Email : marc.ayadi@fr.ey.com