CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par OpinionWay - janvier 2016

Club des Experts de la Sécurité de l’Information et du Numérique

Baromètre de la cyber-sécurité des entreprises

Janvier 2016

À : Alain BouilléDe : Emmanuel Kahn, Agathe MartiniOpinionWay, 15 place de la République, 75003 Paris

Sommaire

1. Contexte et objectifs de l’étude

2. Méthodologie de l’étude

3. Messages clés

4. Résultats1. Place de la cyber-sécurité dans les entreprises

2. Réalité des cyber-attaques auxquelles sont exposées les entreprises

3. Risques liés aux nouveaux usages du numérique

4. Moyens mis en place pour lutter contre les cyber-risques

5. Perspectives sur le futur de la cyber-sécurité

5. Profil des répondants

CONTEXTE ET OBJECTIFS

Contexte et objectifs

• Le Club des Experts de la Sécurité de l’Information et du Numérique (CESIN) offre unlieu d’échanges aux experts de la sécurité et du numérique au sein de grandesentreprises.

• Le CESIN a souhaité lancer auprès de ses membres une grande enquête qui a vocationà être renouvelée chaque année.

• L’objectif de cette enquête et de connaître

• la perception de la cyber-sécurité et de ses enjeux au sein des entreprisesmembres du CESIN

• la réalité concrète de la sécurité informatique des grandes entreprises.

415/01/2015

MÉTHODOLOGIE

Méthodologie

Toute publication totale ou partielle doit impérativement utiliser la mention complète suivante :

« Sondage OpinionWay pour le CESIN »

et aucune reprise de l’enquête ne pourra être dissociée de cet intitulé.

615/01/2015

Étude quantitative réalisée auprès de 125 membres du CESIN, à partir du

fichier membre du CESIN(235 contacts)

Méthodologie

L’échantillon a été interrogé par Internet sous système CAWI(Computer Assisted

Web Interview)

Mode d’interrogation

Du 8 au 22 décembre 2015

Dates de terrain

OpinionWay a réalisé cette enquête en

appliquant les procédures et règles

de la norme ISO 20252

Certification

MESSAGES CLÉS

Messages clés (1/2)Les enseignements à retenir

815/01/2015

1. Le digital et la SSI sont des enjeux importants et stratégiques dans la plupart des entreprises. À la croisée de ces

enjeux, la gestion des cyber-risques est souvent confiée à la DSI ou à la direction risques lorsqu’elle existe.

2. Toutes les entreprises sont jugées exposées aux cyber-risques et font effectivement l’objet d’attaques.

3. En matière d’attaques, les entreprises se sentent particulièrement exposées au vol ou à la fuite d’information ou de

données et aux attaques virales. Mais dans les faits, l’attaque la plus fréquente est la demande de rançon. Concernant

les autres risques, la dépendance humaine et les vulnérabilités résiduelles sont les plus préoccupantes et celles qui

affectent le plus souvent les entreprises en matière de sécurité.

4. Les nouveaux usages du numérique au travail posent de nouveaux défis en matière de cyber-sécurité. Le Cloud en

particulier, en plus de nécessiter des outils spécifiques, inquiète pour des raisons de confidentialité des données. Le

BYOD et les objets connectés sont aussi des nouveaux enjeux de la cyber-sécurité.

Messages clés (2/2)Les enseignements à retenir

915/01/2015

5. Les entreprises ont généralement mis en place de nombreuses solutions techniques pour assurer leur cyber-sécurité,

en structurant leurs dispositif le plus souvent selon une typologie de sensibilité des données. Elles optent aussi

quasiment toutes pour une limitation des usages des salariés – incluant parfois du filtrage web – qui ne se révèle

efficace qu’à la marge. D’autant que les salariés sont jugés trop peu sensibilisés aux cyber-risques, et peu enclins à

respecter scrupuleusement les recommandations.

6. Pour autant, les moyens alloués à la cyber-sécurité semblent peu satisfaisants actuellement, en particulier les moyens

humains. Nombre d’entreprises envisagent d’ailleurs d’augmenter les ressources techniques, financières ou humaines

dédiées à la cyber-sécurité, et elles sont également nombreuses à envisager de souscrire une cyber-assurance.

7. Les entreprises estiment que les outils disponibles actuellement sur le marché sont déjà peu adaptés à la situation en

matière d’usages du numérique comme en matière d’attaques. Même en prenant la cyber-sécurité au sérieux,

l’inquiétude demeure quant à la capacité concrète à faire face à l’augmentation pressentie des attaques sur le court et

moyen terme.

8. Les enjeux prioritaires à leurs yeux seront humains plus que techniques : donner toute son importance à la cyber-

sécurité dans l’entreprise (en y allouant suffisamment de ressources et en lui donnant sa juste place dans la

gouvernance), et à travailler autour des usages (sensibiliser les usagers et s’adapter à leurs pratiques).

RÉSULTATS

1. PLACE DE LA CYBER-SÉCURITÉ DANS LES ENTREPRISES

Le digital et la SSI, des enjeux pris au sérieux dans l’entreprise

1215/01/2015

67% 26% 5%2%

Oui, plutôtOui, tout à fait Non, pas du toutNon, plutôt pas

7%

considèrent que le digitalest un enjeu stratégiquedans leur entreprise

93%

Q1. Dans votre entreprise, diriez-vous que le digital est un enjeu stratégique ?

e n t r e p r i s e s125

38% 50% 10% 2%

12%

considérée que la SSIest importante pour la

direction de l’entreprise 88%

Q2. La sécurité des systèmes d’information et des données est-elle considérée par la direction de votre entreprise comme…

La gestion des cyber-risques est souvent confiée à la DSI, voire à la direction des risques quand elle existe

1315/01/2015

Q3. Dans votre entreprise, quelle est l’entité en charge du pilotage de la protection contre les cyber-risques ?

73%

14%

12%

5%

4%

La DSI

La direction des risques

La direction de la sûreté

La direction générale

Autre


Secteur Industrie : 91%

50 000 ordinateurs ou plus : 27%

2. RÉALITÉ DES CYBER-ATTAQUESAUXQUELLES SONT EXPOSÉES LES ENTREPRISES

1515/01/2015

58% 61%

42% 40%

Les TPE ou PME Les ETI Les grandes entreprises Les entreprises du CAC 40


Q27. Selon vous, les entreprises les plus exposées aux cyber-risques sont…(plusieurs réponses possibles)

Toutes les entreprises sont jugées exposées aux cyber-risques, même si les plus grandes sont considérées

mieux protégées

1615/01/2015

Q5. Combien de cyber-attaques ont été constatées dans votre entreprise au cours des 12 derniers mois ?

19%

31%

17% 18%

15%

0 Entre 1 et 3 Entre 4 et 9 Entre 10 et14

15 ou plus

Nombre moyen

d’attaques : 13


Nombre d’ordinateurs Base Nb moyen

Moins de 999 ordinateurs 22* 2,2

Entre 1 000 et 9 999 ordinateurs 51* 7,3

Entre 10 000 et 49 999 ordinateurs 26* 14,3

50 000 ordinateurs ou plus 26* 32,1

* Attention, base faible

Dans les faits, un grand nombre d’entreprises a fait l’objet de cyber-attaques au cours de l’année

ont constatéau moins une cyber-attaque81%

Les attaques qui préoccupent le plus grand nombre d’entreprises sont le vol d’infos ou de données et les

attaques virales

1715/01/2015

Q4. Quel est le niveau d’exposition de votre entreprise aux cyber-risques suivants ?

Vol ou fuite d'informations

Vol de données personnelles

Attaque virale générale

Attaque ciblée

Fraude externe

Défiguration de site web

Cyber-espionnage économique ou industriel

Attaque par déni de service

Demande de rançon (ransomware)

48%

42%

41%

34%

30%

28%

26%

23%

22%

42%

38%

45%

52%

47%

39%

35%

43%

55%

10%

20%

14%

14%

23%

33%

39%

34%

23%

Fort Modéré Faible e n t r e p r i s e s125

Demande de rançon (ransomware)

Attaque virale générale

Attaque par déni de service

Attaque ciblée

Vol ou fuite d'informations

Fraude externe

Défiguration de site web

Vol de données personnelles

Cyber-espionnage économique ou industriel

Autre type de cyber-attaque

61%

44%

38%

35%

28%

27%

23%

18%

8%

6%

1815/01/2015

Q6. Quel(s) type(s) de cyber-attaque votre entreprise a-t-elle constaté(s) au cours des 12 derniers mois ?

e n t r e p r i s e s ayant constaté au moins une cyber-attaque au cours des 12 derniers mois

102

Nombre moyen de

types : 3

Dans les faits, les cyber attaques constatées sont surtout le ransomware, les attaques virales,

de déni de service et les attaques ciblées.

1915/01/2015

Un sentiment d’exposition pas toujours directement liéaux attaques constatées

Les risques qui préoccupent le plus grand nombre d’entreprises sont la dépendance humaine et les

vulnérabilités résiduelles permanentes

2015/01/2015

Q4bis. Quel est le niveau d’exposition de votre entreprise aux autres risques suivants ?

Dépendance humaine

Vulnérabilités résiduelles permanentes

Non suppression des données

Malveillance d'un employé

Fraude interne

Corruption de base de données interne

Solutions industrielles ne pouvant être sécurisées

Piégeage d'application externe

Non restitution des données

Disparition éditeur

Corruption de basede données externe

Piégeage d'application interne

34%

32%

22%

21%

21%

18%

17%

12%

12%

9%

7%

6%

54%

52%

47%

61%

46%

54%

29%

54%

52%

46%

47%

50%

12%

16%

31%

18%

33%

28%

54%

34%

36%

45%

46%

44%

Fort Modéré Faiblee n t r e p r i s e s

125

Vulnérabilités résiduelles permanentes

Dépendance humaine

Fraude interne

Malveillance d'un employé

Solutions industrielles ne pouvant être sécurisées

Non suppression des données

Piégeage d'application externe


Corruption de base de données interne

Disparition éditeur

Corruption de base de données externe

Piégeage d'application interne

50%

34%

22%

22%

22%

18%

9%

8%

7%

5%

4%

3%

2115/01/2015

Q6bis. Parmi les éléments suivants liés à la cyber-sécurité, quels sont ceux auxquels votre entreprise a été concrètement confrontée au cours des 12 derniers mois ?


Les risques auxquels font réellement face le plus d’entreprises sont les vulnérabilités résiduelles et la

dépendance humaine

2215/01/2015

Une perception d’exposition aux risquesen phase avec la réalité

3. RISQUES LIÉS AUX NOUVEAUX USAGES DU NUMÉRIQUE

2415/01/2015

Q20. Certaines données de votre entreprise sont-elles stockées dans un Cloud ?

15% ne stockent aucune donnéedans un Cloud

85%stockent des donnéesdans un Cloud

37%Cloudspublics

26%Clouds

hybrides

22%Cloudsprivés


Un recours généralisé au Cloud, en particulier à des Clouds publics ou hybrides

Secteur Industrie : 97%

2515/01/2015

Q23. D’après vous, la sécurisation des données stockées dans le Cloud requiert-elle des outils ou dispositifs spécifiques ?

93%pensent que le Cloudrequiert des outils ou dispositifs spécifiques


7%

100%

Un recours au Cloud qui entraîne des conséquences en termes d’outils de sécurisation

2615/01/2015

Q21. Pensez-vous que les données de votre entreprise sont / seraient… ?

17%

40%

43%

Mieux sécurisées dans le Cloud qu'en mode local

Tout aussi sécurisées dans le Cloud qu'en mode local

Mieux sécurisées en mode local que dans le Cloud

pensent le Cloud

57%

est autant ou plus sécurisé

des entreprises


La sécurisation des données en Cloud fait débat

2715/01/2015

Q22. Selon vous, les facteurs suivants représentent-ils un risque faible, modéré ou fort en ce qui concerne l’utilisation du Cloud ?


Stockage des données dans des datacenters à l'étranger, hors du droit français

Confidentialité des données vis-à-vis de l'hébergeur

Traitement Big Data à notre insu

Non-maîtrise des paramètres de sécurité / chiffrement faible de la part de l'hébergeur

Non effacement des données

Contrôle des accès et audit


Non-maîtrise de l'utilisation qui en est faite par les salariés de votre entreprise

48%

44%

41%

38%

38%

35%

34%

34%

39%

43%

38%

41%

45%

49%

47%

42%

13%

13%

21%

21%

17%

16%

19%

24%

Fort Modéré Faible

Les principaux risques perçus comme associés au Cloud sont l’hébergement hors droit français, la confidentialité

vis-à-vis de l’éditeur et la réutilisation des données

Alimentation du SOC (interne ou externe) en données provenant du Cloud

Attaque par rebond depuis l'hébergeur

Disparition de l'hébergeur

Indisponibilité des données

Piégeage d'application hébergée

Propagation systémique des attaques et erreurs humaines

Corruption de base de données

2815/01/2015

Q22. Selon vous, les facteurs suivants représentent-ils un risque faible, modéré ou fort en ce qui concerne l’utilisation du Cloud ?


18%

18%

18%

18%

11%

11%

9%

46%

41%

42%

46%

46%

59%

45%

36%

41%

40%

36%

43%

30%

46%

Fort Modéré Faible

Certains risques sont peu associées au Cloud, comme le piégeage d’application, la corruption de BDD,

l’indisponibilité des données

L'utilisation de devicespersonnels au travail (BYOD)

Les objets connectés

L'utilisation de multiples devices(smartphone, tablette…)

L'usage personnel de devicesfournis par l'entreprise

Le télétravail, l'accès au réseau en mobilité

2915/01/2015

Q24. À vos yeux, les nouveaux usages suivants du numérique au travail représentent-ils un risque pour la cyber-sécurité des entreprises ?

46%

45%

24%

18%

12%

39%

40%

48%

38%

33%

14%

13%

25%

42%

50%

1%

2%

3%

2%

5%


Oui


BYOD et objets connectés, des nouveaux usages qui présentent des risques

85%

85%

72%

56%

45%

2% 40% 51% 7%

3015/01/2015

Q25. Pensez-vous que les solutions de protection actuelles de votre entreprise sont adaptées à l’évolution des nouveaux usages du numérique au travail ?

58%

considèrent que les solutions de protection actuelles ne sont PAS adaptées à l’évolution des nouveaux usages du numérique au travail



Des entreprises qui estiment leur protection peu adaptée aux nouveaux usages du numérique au travail

4. MOYENS MIS EN PLACE POUR LUTTERCONTRE LES CYBER-RISQUES

Antivirus

Pare-feu

VPN

AntiSPAM

Proxy URL

Accès internet centralisé

MDM

SSO

Vulnerability Management

Log management

Authentification forte

Sonde de sécurité

3215/01/2015

Q8. Parmi les solutions de protection suivantes, quelles sont celles qui ont été mises en place dans votre entreprise ?


Des solutions de sécurité plus ou moins répandues selon les types

WAF

Supervision de sécurité (SIEM/SOC)

Double authentification

Chiffrement de surface

Chiffrement + signature de messages

Bastion d'autorisations

Chiffrement de base de données

Sandboxing

Anti-APT

Honey pot

Sonde souveraine

Cloud Access Security Broker (CASB)

51%

46%

40%

39%

32%

31%

29%

27%

14%

7%

6%

1%

99%

99%

95%

89%

79%

78%

68%

66%

61%

58%

56%

53%

29%

100%

3315/01/2015

Q10. Avez-vous mis en place différents niveaux de sécurité selon le degré de sensibilité des données de votre entreprise ?

71%

ont mis en place des niveaux de sécurité différent selon la sensibilité

des données


Des niveaux de sécurité qui diffèrent souvent selon une typologie de sensibilité des données

3415/01/2015

Q16. Votre entreprise a-t-elle mis en place des limitations sur les usages des salariés (du type limitation d’usage de sites d’échanges de données, filtrage web, restrictions sur l’utilisation de périphériques…) ?

45%

46%

9%

Oui, ces limitations ont été mises en place

Oui, mais seulement certaines limitations ont été mises en place

Non, aucune limitation n'a été mise en place

ont mis en place des limitations sur les usages des salariés

91%


La sécurisation passe le plus souvent par une limitation des usages, globalement acceptée,

mais qui n’a d’impact qu’à la marge

Q17. Ces contraintes sont-elles acceptées par les salariés ?

20% 67% 13%


116

e n t r e p r i s e s ayant mis en place des contraintes

Q18. Et, globalement, la mise en place de ces limitations a-t-elle eu un impact concret sur la cyber-sécurité de votre entreprise ?

42% 49% 9%

Oui, à la margeOui, de façon significative Non

3515/01/2015

Q19. Et concernant le filtrage web (c’est-à-dire l’accès refusé à certains sites pour les salariés) en particulier, cette mesure vous semble-t-elle efficace dans la protection des entreprises contre les cyber-attaques ?

7% 64% 26% 3%

29%

Le filtrage web est efficace pour 71% des entreprises

Plutôt efficaceTrès efficace Pas du tout efficacePlutôt pas efficace


Le filtrage web, une contrainte des usages rarement jugée très efficace pour la sécurité

Sont sensibilisés auxcyber-risques 59%

Respectent lesrecommandations 52%

Prennent des précautions au-delà des recommandations

données15%

6%

2%

2%

53%

50%

13%

34%

45%

59%

7%

3%

26%

3615/01/2015

Q15. En ce qui concerne la cyber-sécurité, pensez-vous que les salariés de votre entreprise… ?

Oui



Beaucoup de salariés ne sont pas encore sensibilisés ou ne respectent pas les recommandations

3715/01/2015

Des moyens techniques, financiers et humains jugés globalement insuffisants pour faire face aux cyber-

risques

4% 27% 51% 18%

Q11. Les moyens humains alloués par votre entreprise à la protection contre les cyber-risques vous semblent-ils suffisants ?


Q12. Les moyens techniques alloués par votre entreprise à la protection contre les cyber-risques vous semblent-ils suffisants ?

2% 40% 46% 12%

Q13. Et les budgets d’investissements alloués par votre entreprise à la protection contre les cyber-risques vous semblent-ils suffisants ?

5% 31% 52% 12%

Oui

31%

42%

36%

3815/01/2015

Q14. Au cours des 12 prochains mois, votre entreprise envisage-t-elle de… ?


47%47%

6%

Augmenter les budgets et ressources dédiés à la cyber-sécurité

Maintenir les budgets et ressources dédiés à la cyber-sécurité

Réduire les budgets et ressources dédiés à la cyber-sécurité

Des prévisions non négligeables d’augmentation des ressources à allouer à la protection contre le cyber-

risque

19% 13% 27% 41%

3915/01/2015

Q9. Votre entreprise a-t-elle souscrit une cyber-assurance ?

40%des entreprises envisagent de souscrireune cyber-assurance

Non, mais c’est envisagéd’ici un an

Oui Non, et ce n’est pas envisagéNon, mais c’est envisagéà plus long terme


Nombre d’entreprises envisagent de se doter dune cyber-assurance

5. PERSPECTIVES SUR LE FUTUR DE LA CYBER-SÉCURITÉ

4115/01/2015

Q7. Selon vous, dans les 12 mois à venir, le nombre d’attaques constatées dans votre entreprise va-t-il… ?

76%

23%

1%

≈


Des entreprises qui s’attendent à une augmentation des attaques cette année

Aux types et à la fréquence actuelle des cyber-attaques 59%

Aux nouveaux usages du numérique au travail 42%

4215/01/2015

Q29. Pensez-vous que les solutions de protection disponibles sur le marché sont tout à fait, plutôt, plutôt pas ou pas du tout adaptées… ?

1% 58%

42%

37%

56%

4%

2%

Plutôt adaptéesTout à fait adaptées Pas du tout adaptéesPlutôt pas adaptées

Adaptées


Les solutions proposées par le marchéconvainquent globalement peu les entreprises

La prise en compte des enjeux de la cyber-sécurité au sein de votre

entreprise65%

La capacité de votre entreprise à faire face aux cyber-risques 47%

7%

2%

58%

45%

32%

44%

3%

9%

4315/01/2015

Q26. Pour l’avenir, diriez-vous que vous êtes très confiant, assez confiant, assez inquiet ou très inquiet en ce qui concerne… ?

Assez confiantTrès confiant Très inquietAssez inquiet

Confiant


Une confiance dans la volonté de leur entreprise à prendre le cyber-risque au sérieux à l’avenir, mais

moins dans sa capacité à y faire face concrètement

69%

69%

49%

39%

25%

17%

14%

11%

7%

44%

21%

9%

11%

5%

6%

2%

2%

Au total En 1er

Placer la gouvernance de la cyber-sécurité au bon niveau

Mieux former et sensibiliser les usagers aux questions de cyber-sécurité

Adapter les solutions aux nouveaux usages du numérique

Allouer davantage de budget ,de ressources à la cyber-sécurité

Déployer des modèles de sécurité collaborative

Spécifier la cyber-sécurité des objets connectés

Impliquer davantage les différents acteurs (État, fournisseurs, etc.)

Faire évoluer les réglementations françaises et internationales

Améliorer la performance des solutions techniques

4415/01/2015

Q28. Parmi les enjeux suivants, quels sont selon vous les trois enjeux de demain pour l’avenir de la cyber-sécurité des entreprises ?


Des enjeux d’avenir plus humains que techniques :- L’importance donnée à la cyber sécurité (par les ressources allouées et la gouvernance)

- Le travail autour des usages (pour former les usagers et s’adapter aux pratiques nouvelles)

67% 25% 5%2%

1%

4515/01/2015

Q30. Enfin, diriez-vous que, par rapport aux équipements utilisés dans le cadre professionnel, les ordinateurs privés de vos salariés sont…

Un peu moins sécurisésBeaucoup moins sécurisés Beaucoup mieux sécurisésUn peu mieux sécurisés

3%

Les ordinateurs privés sont moins bien sécurisés que les équipements professionnels

pour

92% des entreprises


Tout aussi sécurisés

Les DSI font face à des usagers peu habitués à des outils sécurisés dans la sphère personnelle

PROFIL DES RÉPONDANTS

61%

26%

9%

4%

Service

Industrie / BTP

Commerce

Autre

7%

10%

20%

16%

21%

26%

Moins de 250

Entre 250 et 999

Entre 1 000 et 4 999

Entre 5 000 et 9 999

Entre 10 000 et 49 999

50 000 ou plus

4715/01/2015

125 membres du CESIN

84% de RSSI / CISO / CSO5% d’experts5% de DSI6% autres fonctions

Profil des répondants

Secteur d’activité de l’entreprise

Nombre de salariés de l’entreprise

Fonction du répondant

6%

12%

22%

18%

21%

21%

Moins de 250

Entre 250 et 999

Entre 1 000 et 4 999

Entre 5 000 et 9 999

Entre 10 000 et 49 999

50 000 ou plus

Nombre d’ordinateurs de l’entreprise

Nombre de smartphones & tablettes de l’entreprise

20%

24%

27%

11%

15%

3%

Moins de 250

Entre 250 et 999

Entre 1 000 et 4 999

Entre 5 000 et 9 999

Entre 10 000 et 49 999

50 000 ou plus

CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par OpinionWay - janvier 2016

Business

Transcript of CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par OpinionWay - janvier 2016