Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Les incidents de sécurité détectés ont augmenté de 25% par rapport à l’année dernière dans le monde

novembre 2013 par PwC

La 15ème édition de l’étude PwC sur la sécurité de l’information et la protection des données révèle que les entreprises ont enregistré une hausse de 25% du nombre d’incidents de sécurité dans le monde. Si les entreprises ont augmenté leur budget de sécurité de 51% par rapport à l’année dernière, il reste trop limité et leur stratégie peu adaptée. Elles s’appuient encore trop souvent sur des outils et des postures obsolètes qui ne leur permettent pas de se défendre contre les menaces internes et externes, toujours plus innovantes.

Un coût des incidents de sécurité décuplé pour les mauvais élèves

Les incidents de sécurité détectés ont augmenté de 25% par rapport à l’année dernière. Une hausse qui s’explique par deux faits : une augmentation des attaques toujours plus sophistiquées, mais aussi une amélioration de la capacité des organisations à détecter les intrusions dans leur système d’information.

Une prise en compte de la sécurité dans les entreprises qui se traduit par une augmentation du budget moyen de sécurité de 51% par rapport à 2012, pour atteindre 4,3 millions de dollars cette année. Une croissance qui doit néanmoins être relativisée : les dépenses liées à la sécurité ne représentent que 3,8% de l’ensemble des dépenses IT en 2013, ce qui reste un investissement trop faible.

Une nécessité d’autant plus forte que l’étude souligne une hausse du coût des incidents. Ainsi, le nombre de répondants ayant déclaré une perte de plus de 10 millions de dollars a augmenté de 51% depuis 2011. D’autre part, si le coût moyen d’un incident de sécurité est établi à 531$, il évolue selon le niveau de sécurité de l’entreprise. Ainsi les organisations ayant été identifiées comme leaders dans l’étude enregistrent un coût moyen de 421$, quand les entreprises les moins préparées reportent un coût moyen de 635$ par incident.

« Ces chiffres montrent combien il est urgent pour les entreprises de prendre conscience de l’impact d’une stratégie de sécurité non adaptée. Les entreprises les moins bien préparées devront, à court et moyen terme, faire face à des risques toujours plus élevés et des coûts associés exorbitants, qui affecteront à terme leur compétitivité », déclare Philippe Trouchaud, Associé PwC spécialiste de la sécurité de l’information.

Les salariés, une menace sous-estimée par les entreprises

La première source d’incident demeure externe. Ainsi, 32 % des dirigeants attribuent les incidents de sécurité aux hackers, soit une augmentation de 27 % par rapport à l’année dernière. En revanche, si les attaques menées par des Etats étrangers sont très médiatisées, elles ne représentent que 4% des incidents détectés.

Cependant, les dirigeants interrogés nous disent que la menace est souvent plus proche de l’entreprise : ainsi, 31% des incidents de sécurité sont attribués à des employés, 27% à des anciens collaborateurs (27%) et 16% à des prestataires de l’entreprise.

Une menace interne souvent sous-estimée par les entreprises, qui ne la considèrent pas comme un réel risque.

« Cette situation s’explique notamment par le fait que de nombreux collaborateurs et prestataires ont accès au réseau interne de l’entreprise et bénéficient d’un niveau de confiance très élevé, voire trop élevé. Il est temps que les entreprises prennent en compte ce risque interne dans la sécurisation de leurs informations », précise Philippe Trouchaud.

Ces incidents ciblent en priorité les données des collaborateurs (35%) et des clients (31%), qui sont les plus simples à récupérer. Des fuites qui suggèrent que les efforts de protection de ces données ne sont pas assez efficaces ou ne se concentrent pas sur les bons risques.

L’Europe en retard face aux autres régions du monde

Depuis quelques années, l’Asie-Pacifique a investi massivement en matière de sécurité. Le budget de la région a ainsi progressé de 85% l’année dernière, et la Chine se révèle particulièrement bien équipée. L’Amérique du sud investit également beaucoup et s’avère la région dans laquelle le top management communique le plus sur l’importance de cet enjeu.

A l’opposé, l’Europe connaît un retard important sur de très nombreux volets. Le budget européen a ainsi décliné de 3% l’année dernière, alors que les pertes financières dues aux incidents de sécurité ont cru de 28%.

L’Europe est plus particulièrement en retard sur les aspects suivants : la mise en place de plans de continuité d’activité, la formation des collaborateurs et la politique de sécurité liée à l’usage du mobile.

Les entreprises utilisent les armes d’hier pour combattre les menaces d’aujourd’hui

- Des mutations technologiques rapides qui ne sont pas prises en compte

L’usage grandissant des smartphones et tablettes, le recours croissant au Cloud et les frontières de plus en plus floues entre la sphère professionnelle et personnelle ont démultiplié les points d’entrée et fragilisé les organisations. Pourtant, seules 42% des entreprises ont une stratégie de sécurité mobile et 18% d’entre elles ont déployé une stratégie adaptée à l’utilisation du Cloud.

Au-delà de ces mutations, on observe une diversification des attaques, notamment via le social engineering (usurpation d’identité, arnaque au président…) qui se base sur la déstabilisation ou la manipulation des collaborateurs, ainsi que sur la récupération d’informations disponibles sur Internet (réseaux sociaux notamment). Ainsi, les attaques deviennent de plus en plus ciblées, avec un objectif précis (gain financier, support à des causes) et prennent un caractère permanent.

Pourtant, une majorité d’entreprises adoptent encore des stratégies de sécurité basées essentiellement sur des défenses périmétriques et passives (pare-feu, antivirus). Ainsi 52% des répondants n’ont pas déployé de techniques de détection des comportements anormaux pour identifier les risques. De plus, certaines technologies établies qui sont essentielles à la protection des informations sensibles sont sous-utilisées : 42% n’utilisent pas d’outils de prévention de perte de données. Aujourd’hui, il est nécessaire de mettre au point des outils qui permettent d’adopter une posture plus proactive.

- Recommandations PwC : une nouvelle approche de la sécurité basée sur l’identification des vulnérabilités et la riposte active

Pour faire face à ces mutations, PwC recommande aux entreprises d’adopter d’une nouvelle approche en complétant leur stratégie de protection défensive (interdire, bloquer, freiner) par une stratégie d’identification et de riposte proactive : il faut désormais analyser les menaces liées aux nouveaux usages et utiliser de nouveaux outils, qu’ils relèvent de solutions techniques ou de comportements.

Les entreprises doivent donc s’équiper d’outils modernes, technologiques et innovants afin de :

- récolter et analyser toutes les informations de leurs infrastructures,

- identifier la typologie des données critiques pour leur activité et ainsi pouvoir repérer et bloquer les données jugées sensibles avant qu’elles ne sortent de l’entreprise,

- assurer un suivi régulier des informations clé de l’entreprise afin de pouvoir déceler les comportements anormaux et les modèles qui se reproduisent afin d’anticiper les attaques.

Au-delà, il est clé de créer une véritable culture interne de la sécurité qui soit adaptée aux usages, portée par le top management et déployée auprès de l’ensemble des collaborateurs.

Méthodologie de l’étude « Global State of Information Security 2012 »

Le « Global State of Information Security 2012 » est une étude mondiale de PwC, du CIO Magazine et du CSO Magazine. C’est la 15ème année consécutive que PwC réalise cette enquête par PwC, et la 9ème année avec “CIO magazine” et “CSO magazine”. Plus de 9 600 réponses de PDG, Directeurs Financiers, DSI, RSSI et responsables IT et sécurité, répartis dans 115 pays. 36% des répondants sont d’Amérique du Nord, 26% d’Europe, 21% d’Asie-Pacifique, 16% d’Amérique du Sud, et 2% du Moyen-Orient et de l’Afrique.




Voir les articles précédents

    

Voir les articles suivants