Cap sur la cyberrésilience : anticiper, résister, réagir

Cap sur la cyberrésilience : anticiper, résister, réagir e 19 édition de l’étude EY sur la sécurité de l’information (2016)

Sommaire Editorial .................................................. 3 Quelle dynamique ? ................................. 4 Anticiper ................................................. 8 Résister ................................................ 12 Réagir ................................................... 17 Les 7 points clefs d’une organisation cyberrésiliente ...................................... 23 Méthodologie ......................................... 24 Pour aller plus loin ................................ 26 e 2 | 19 édition de l’étude EY sur la sécurité de l’information (2016)

Editorial Avec l’intensification des attaques malveillantes, la cybersécurité soulève des questions de plus en plus pressantes pour les DSI, directeurs métier et autres membres du Comex : « sommes-nous certains d’être bien protégés ? Consacrons-nous suffisamment d’attention et de moyens à la sécurité ? Notre équipe dispose-t-elle des compétences nécessaires ? Utilise-t-elle les meilleurs outils de détection des cyberattaques ? » Au-delà de toutes ces inquiétudes, leur plus grande crainte est de devoir faire face à des cyberattaques en dépit de tous les efforts mis en œuvre pour les prévenir. Qu’ils se rassurent : nous sommes tous confrontés au même « ennemi commun » et avons tous besoin d’aide. Plus nous partagerons nos expériences, nos succès et nos échecs, plus nous collaborerons pour trouver ensemble des réponses communes, mieux nous serons protégés collectivement. S’il existe une chose dont nous pouvons être certains, c’est que la cybersécurité relève de la responsabilité de tous les acteurs de l’organisation. A ce titre, chacun doit jouer le rôle qui lui a été assigné : au conseil d’administration de soutenir les efforts déployés, aux salariés d’être prudents, en évitant d’ouvrir des emails d’hameçonnage ou de perdre leur ordinateur portable. Mais cela suffit-il pour être absolument serein ? Probablement pas, même s’il est sans doute difficile de l’admettre. Car le diable se cache dans les détails. Et il suffit de considérer l’ampleur du programme de cybersécurité nécessaire à la protection d’une organisation et de son écosystème pour se rendre compte de la complexité et du nombre de détails à prendre en compte. Cette 19e édition de notre étude annuelle sur la cybersécurité s’appuie sur une enquête menée auprès de 1 735 professionnels, formant un panel composé de DSI, de DAF, de PDG et de responsables de programmes de sécurité. Grâce à leurs réponses, nous sommes en mesure d’identifier le degré de maturité et les atouts des dispositifs de cybersécurité existants, mais aussi les améliorations dont ils pourraient bénéficier pour être optimum. • Aiguisez vos sens. Êtes-vous en mesure d’identifier les cybercriminels avant qu’ils n’attaquent ? Votre système de protection vous informe-t-il lorsque l’un d’entre eux commence à affaiblir ou attaquer votre organisation ? Pouvez-vous repérer un attaquant qui se dissimule dans votre réseau ? • Renforcez vos défenses. Et si la prochaine attaque était beaucoup plus sophistiquée que celles que vous aviez connues jusqu’à présent ? Vos défenses pourraient-elles en supporter d’un genre nouveau, beaucoup plus puissantes ? • Réagissez plus efficacement. En cas de cyberattaque, quelle stratégie choisirez-vous d’adopter en premier ? Réparer le plus vite possible les dégâts occasionnés ? Collecter les preuves pour entamer une procédure judiciaire ? Si dans l’ensemble, le bilan est positif – beaucoup a été accompli en peu de temps ! –, nous devons cependant conserver un temps d’avance sur l’ennemi qui rivalise d’ingéniosité pour s’attaquer à nos systèmes et anticiper les attaques. Pour s’inscrire dans les tendances du marché, les trois sections de ce rapport Sense (Anticiper), Resist (Résister), React (Réagir) peuvent vous servir de guides pour évaluer et améliorer la cybersécurité de votre organisation. N’oubliez pas qu’il est essentiel de continuer à rester étroitement connectés, afin de partager les bonnes pratiques et de s’enrichir mutuellement pour faire face à un ennemi commun qui cible toutes les organisations. Marc Ayadi Associé EY, responsable des offres Cyber [email protected] e 19 édition de l’étude EY sur la sécurité de l’information (2016) | 3

Quelle dynamique ? Cyberrésilience ou cyberagilité ? e 4 | 19 édition de l’étude EY sur la sécurité de l’information (2016)

Les menaces se multiplient et ne cessent d’évoluer. Les La digitalisation et l’arrivée massive des objets connectés, organisations sont confrontées à de nouveaux défis dans un l’évolution des réglementations et les crises financières à répétition, environnement en constante mutation. Pour y faire face, elles ont les attaques terroristes et l’explosion de la cybercriminalité dû apprendre à se défendre et à riposter, à passer de mesures ont contraint les entreprises à faire évoluer leurs systèmes de préliminaires et de réponses ad hoc à des processus beaucoup plus protection. Voici un bref aperçu de cette évolution : formalisés, robustes et sophistiqués. 1970 1980 1990 2000 2010 • Faire face aux • Recours à un • Apparition de la • Progrès en • Chocs globaux dangers naturels nombre restreint gestion des risques information et (terrorisme, • Mise en place de de technologies dans l’ensemble de cybersécurité changement mesures concrètes émergentes l’organisation • Passage au 100% en climatique, crises (évacuation, • Récupération • Généralisation ligne politiques) premiers soins) simple après une de la conformité • Externalisation avec • Résilience • Recours à une défaillance des réglementaire des tiers (exemple : économique assistance externe systèmes • Plan de continuité le cloud) • Objets connectés • Développement des d’activité • Connexion de • Infrastructures protections contre dispositifs critiques les virus • Management des • Cyberespionnage identités et des et cyberattaques accès menées par des Etats tiers Unités centrales Client / serveur Internet E-commerce Digital La cyberrésilience est une composante de la résilience économique : elle mesure la résilience d’une organisation confrontée à une cybermenace au cours de trois phases clefs d’action : l’anticipation, la résistance et la réaction. Anticiper Résister Réagir Anticiper, c’est être capable de prévoir et de Résister, c’est mettre en place un bouclier Si l’anticipation a échoué (l’organisation détecter les cybermenaces. Pour cela, les efficace de protection. Il doit être conçu n’a pas vu arriver la menace) et qu’il organisations ont recours à une stratégie en fonction du niveau de risque que existe une brèche dans les dispositifs de de veille (cyber threat intelligence) et à l’organisation est disposée à prendre et résistance (les mesures de contrôle n’ont une démarche de défense active1 comprendre trois lignes de défense : pas été suffisamment efficaces), il est alors qui leur permet de prévoir les menaces ou attaques 1. Mesures de contrôle dans les nécessaire de disposer d’une capacité de qui les ont prises pour cibles. L’objectif est opérations quotidiennes réponse adaptée et de savoir gérer la crise. d’être capable de les détecter avant qu’elles 2. Déploiement de fonctions de suivi telles Les organisations doivent être capables de ne se produisent et parviennent à pénétrer que le contrôle interne, la veille et conserver les preuves en vue d’éventuelles dans les systèmes de l’organisation. l’analyse réalisées par le département suites judiciaires, mais également juridique, le management des risques, d’analyser les raisons de la faille pour être la cybersécurité, etc. en mesure de répondre aux demandes des 3. Recours au département d’audit parties prenantes : clients, législateurs, interne investisseurs, forces de l’ordre, grand public ou toute autre personne susceptible de faire une réclamation. Dans les cas où les responsables sont identifiés, l’organisation pourra alors engager des poursuites. 1. Mettre en place une stratégie de défense Enfin, il faut être prêt à assurer un retour à détectant et éliminant toute anomalie en la normale le plus rapidement possible, mais renforçant les capacités de réponses afin également apprendre de l’incident et donc d’atteindre une plus grande efficacité contre les adapter ses systèmes afin d’améliorer sa attaques. cyberrésilience. e 19 édition de l’étude EY sur la sécurité de l’information (2016) | 5

Menaces Anticiper c u l i o e B r Appétence au risque Résister Trois lignes de défense Actifs critiques Propriété Bénéfices Réputation intellectuelle Réagir Recouvrer Adapter et réorganiser La dynamique est lancée, Toutefois, des lacunes existent, notamment lorsque l’organisation mais des efforts restent à faire… doit faire face à une brèche avérée. Les organisations oublient trop souvent la phrase désormais célèbre : « la question n’est pas de Les entreprises ont-elles fait progresser leur cyberrésilience ces savoir « si » vous allez subir une cyberattaque mais « quand » vous dernières années ? A de nombreux égards, on peut considérer la subirez (il y a même de fortes chances pour que cela se soit déjà que le mouvement est en marche : les organisations changent et produit) ». vont dans la bonne direction. Au cours des dernières années et sous la pression d’une régulation plus forte, elles ont investi dans le renforcement de leur bouclier de protection et mis l’accent sur l’anticipation. Anticiper Résister Réagir (Voir les menaces arriver) (Le bouclier de l’organisation) (Se remettre de l’attaque) Dans quels domaines les organisations placent-elles Moyen Fort Faible leurs priorités ? Dans quels domaines Moyen Fort Faible investissent-elles ? Engagement du comité Faible Fort Faible exécutif et des C-Suites Qualité du reporting à la direction ou au comité Faible Moyen Faible exécutif e 6 | 19 édition de l’étude EY sur la sécurité de l’information (2016)

Cyberrésilience ou cyberagilité ? Si vous avez récemment pris l’avion, vous avez pu être impressionnés par la rapidité avec laquelle les compagnies aériennes ont adopté des mesures de sécurité sur le chargement des smartphones, en particulier pour vérifier que leurs batteries ne sont pas remplacées par des explosifs. Dans le domaine de la cybersécurité, la volonté est identique, les organisations aimeraient pouvoir répondre aux changements le plus rapidement possible et répondre aux questions suivantes : « comment améliorer l’agilité de nos systèmes de cybersécurité ? Comment être plus réactif face aux événements récents ? ». Toutes les organisations cherchent à anticiper la prochaine menace et à mettre en place le meilleur système pour y parvenir. La veille (cyber threat intelligence), la gestion des cybermenaces (cyber threat management), et la mise en place d’outils innovants sont devenues de véritables priorités avec pour seul objectif d’accroître la cyberagilité, c’est-à-dire la faculté de s’adapter à toute nouvelle menace. Mais si chercher à être plus agile et investir en ce sens est important, la question de la résilience l’est tout autant : « êtes-vous cyberrésilients ? ». En d’autres termes, votre système de cybersécurité est-il suffisamment robuste pour contrer tous les risques auxquels votre organisation doit fait face ? Or la cyberrésilience n’est pas seulement une question de technologie. Si l’organisation s’arrête aux seules mesures de riposte, elle ne pourra bâtir les fondations stables que requiert un système de cybersécurité pour arriver à maturité. Années après années, notre enquête met en lumière les défis soulevés par la cybersécurité. Au cours des deux dernières années, 87% des membres de comités exécutifs et des C-Suites ont ainsi déclaré avoir des doutes sur le niveau de protection offert par le dispositif de cybersécurité de leur organisation. Preuve qu’il reste du chemin à parcourir. Vouloir plus d’agilité est indispensable, mais la cyberagilité ne constitue pas nécessairement le seul élément de réponse à la question cruciale de toute direction générale : « suis-je cyberrésilient ? ». 87% des membres de comités exécutifs et des C-Suites ont des doutes sur le niveau de protection du dispositif de cybersécurité de leur organisation. e 19 édition de l’étude EY sur la sécurité de l’information (2016) | 7

Anticiper e 8 | 19 édition de l’étude EY sur la sécurité de l’information (2016)

Les organisations prennent confiance dans leur capacité à anticiper les cybermenaces, mais des progrès restent à faire… 44% Au cours des dernières années, les organisations ont significativement amélioré leur sens de l’anticipation. Si elles sont nombreuses à avoir mis en place une stratégie de veille afin d’anticiper les menaces, certaines ont également eu recours à des centres des opérations de sécurité (Security Operations Center, SOC) et s’efforcent d’identifier et de gérer les des répondants n’ont pas de SOC vulnérabilités. Elles mettent en place ce que l’on appelle une « défense active ». Grâce à ces efforts, les organisations ont pris confiance en leur capacité à prévoir et à détecter des attaques sophistiquées : 50% d’entre elles déclarent être en mesure de le faire, le niveau de confiance le plus haut depuis 2013. Cependant, malgré ces avancées, notre étude démontre que trop peu d’organisations accordent le niveau d’attention requis aux principes élémentaires de cybersécurité. Ainsi chaque jour, elles placent leurs clients, leurs salariés et même leur propre avenir face à des 64% risques considérables : • 44% des répondants n’ont pas de SOC ; • 64% n’ont pas de stratégie de veille des cybermenaces, ou seulement de manière n’ont pas de stratégie de veille informelle ; des cybermenaces, ou seulement • 55% n’ont pas de programme d’identification des vulnérabilités, ou seulement de manière de manière informelle. informelle. Un incident s’est produit, mais il n’y a aucun dégât 62% des répondants déclarent qu’ils n’augmenteraient pas leurs dépenses de cybersécurité 62% suite à un incident sans dégâts apparents. Pourtant dans la plupart des cas, un dommage a bien été subi et il y a un préjudice, même si ce dernier n’est pas visible immédiatement. Les cybercriminels conduisent en effet souvent des attaques tests pour endormir la vigilance de leur victime ou créer des diversions pour les orienter dans la mauvaise voie. Chaque attaque cause des dégâts, et s’ils n’apparaissent pas immédiatement, c’est souvent n’augmenteraient pas leurs dépenses parce qu’ils n’ont pas encore été décelés. de cybersécurité suite à un incident sans dégâts apparents. Sécuriser son écosystème Dans un environnement 100% digital où tout est connecté, les attaques qui se produisent chez les clients, les fournisseurs ou les entités gouvernementales (l’écosystème) peuvent avoir un impact sur votre organisation. Or ces risques sont très souvent négligés : • 68% des répondants n’augmenteraient pas leur budget de cybersécurité si l’un de leurs fournisseurs était attaqué – pourtant le fournisseur constitue, pour l’attaquant, un accès direct à l’organisation ; • 58% n’augmenteraient pas leur budget si l’un de leurs concurrents majeurs était attaqué – pourtant les cybercriminels attaquent fréquemment des organisations similaires en matière d’infrastructures et de processus. Ils réutilisent les connaissances acquises lors d’attaques réussies. La faculté d’anticiper les menaces est bien plus efficace lorsque l’ensemble des incidents affectant l’écosystème est pris en compte. e 19 édition de l’étude EY sur la sécurité de l’information (2016) | 9

Assurer la protection des objets connectés 73% L’émergence des objets connectés et l’explosion du nombre de ces dispositifs accentuent les besoins d’anticipation des organisations et font émerger de nouveaux challenges : • Le challenge du nombre de dispositifs Face à l’arrivée massive des objets connectés, les organisations ont vu croître très se déclarent préoccupés par la faible rapidement le nombre de dispositifs connectés à leurs réseaux. 73% se déclarent connaissance des usagers et par leurs préoccupées par la faible connaissance qu’ont les usagers de leurs failles de sécurité comportements sur les dispositifs potentielles et par conséquent du risque de certains de leurs comportements. mobiles. Les organisations sont également encore trop nombreuses à s’interroger sur leur capacité à avoir une vision et une connaissance globale de leurs actifs (46%) ou encore sur leur faculté à maintenir tous ces nouveaux dispositifs sans bugs (43%). En outre, 43% se questionnent sur leur aptitude à corriger rapidement une vulnérabilité et 35% sur leur propension à gérer la croissance des points d’accès à leurs systèmes. • Le challenge des données 49% Les organisations doutent de leur capacité à traquer les trafics suspects au-delà de leurs réseaux (49%), à identifier qui a véritablement eu accès à leurs données (44%) ou encore 2 à repérer les attaques « zero day » cachées ou inconnues (40%). • Le challenge de l’écosystème s’interrogent sur leur capacité À mesure que les connexions entre organisations et les volumes de données échangés à traquer les trafics suspects au-delà augmentent, l’écosystème s’agrandit. Il deviendra de plus en plus compliqué d’identifier de leurs réseaux. l’origine de la menace au sein d’une nébuleuse où les systèmes de cybersécurité sont fragmentés. C’est pourquoi, de nombreuses organisations s’attendent à ce qu’il soit de plus en plus difficile de superviser l’ensemble de leur écosystème (34%). Dans quels domaines considérez-vous que les objets connectés constituent des défis de sécurité ? (Plusieurs choix possibles) Identiﬁer les traﬁcs suspects au-delà des réseaux 49% S'assurer que les contrôles de sécurité mis en œuvre 46% répondent aux exigences actuelles Connaître l’ensemble de ses actifs 46% Traquer l’accès aux données dans son organisation 44% Garantir la sécurité, le fonctionnement et la mise à jour 43% du plus grand nombre de systèmes et d’objets connectés Repérer les attaques « zero day » cachées ou inconnues 40% Gérer la croissance des points d’accès à son organisation 35% Déﬁnir et superviser l’ensemble de son écosystème 34% Ne sait pas 10% Autre (précisez) 4% Collaborer pour mieux protéger Les instances gouvernementales prennent de plus en plus conscience de l’importance de la cybersécurité des entreprises et des organisations publiques : les réglementations sectorielles se multiplient et l’intérêt du législateur s’accentue. De nouvelles législations devraient donc prochainement voir le jour dans ce domaine. 2. Vulnérabilité n’ayant fait l’objet d’aucune publication ou n’ayant aucun correctif connu. e 10 | 19 édition de l’étude EY sur la sécurité de l’information (2016)

Dans plusieurs parties du monde, des standards de sécurité ont été développés pour les infrastructures et organismes critiques, les organisations sont encouragées à collaborer et à partager l’information, et il leur est même demandé de déclarer les cyberattaques dont elles 49% sont victimes pour combattre plus efficacement la cybercriminalité. Il faut donc s’attendre à un renforcement des obligations en la matière, d’autant plus que le contexte devrait pousser le législateur, les parties prenantes, partenaires ou même clients des SOC collaborent et partagent à exiger plus de transparence. Les organisations doivent donc se tenir prêtes et saisir dès à leurs données avec d’autres acteurs présent les opportunités de collaborer : du même secteur. • 49% des SOC collaborent et partagent leurs données avec d’autres acteurs du même secteur ; • 38% des SOC collaborent et partagent leurs données avec d’autres SOC publics. Quels risques majeurs associez-vous à l’utilisation croissante des technologies mobiles (ordinateurs portables, tablettes, smartphones) ? (Plusieurs réponses possibles) La faible connaissance des usagers et leurs comportements 73% La perte d’un dispositif connecté n’entraîne pas seulement une perte d’informations mais de plus en plus souvent 50% une perte d’identité Le piratage des dispositifs 32% Les responsables des réseaux ne parviennent pas à gérer 31% assez vite les vulnérabilités Les dispositifs n’utilisent pas les mêmes versions logicielles 27% Les cybercriminels organisés qui vendent du matériel 19% contenant des chevaux de Troie déjà installés Les problèmes d'interopérabilité du matériel informatique 16% Autre (précisez) 3% Aujourd’hui les cybercriminels sont impitoyables, leurs comportements et méthodes, souvent impossibles à prévoir. Les cybercriminels – comme dans d’autres secteurs du crime organisé – adoptent des comportements qu’il est difficile de comprendre, sinon d’anticiper. Leurs actions se réfèrent à une éthique et des valeurs qui leur sont propres, et leurs motivations restent souvent obscures. Fraudes et vols mis à part, le grand public craint de plus en plus que des voitures soient piratées dans le but de provoquer des accidents, et plusieurs infrastructures critiques ont déjà été victimes de chantages donnant lieu à des cyberrançons. La créativité des réseaux criminels est telle que les méthodes d’attaque ne cessent d’être renouvelées pour atteindre leur but plus efficacement, qu’il s’agisse de leur profit personnel ou de servir une cause. C’est pourquoi le triptyque « Anticiper, Résister, Réagir » est fondamental pour protéger l’écosystème d’une organisation, particulièrement dans un contexte de forte croissance des objets connectés. Sans une cybersécurité efficace, de nombreuses organisations et gouvernements risquent en effet de mettre en péril non seulement leurs données et leur propriété intellectuelle, mais également les personnes, et de provoquer de nombreux dommages collatéraux. e 19 édition de l’étude EY sur la sécurité de l’information (2016) | 11

Résister Réévaluer ses risques e 12 | 19 édition de l’étude EY sur la sécurité de l’information (2016)

Dans l’ensemble, les organisations ont amélioré leur capacité à résister aux attaques, si bien qu’aujourd’hui elles en repoussent chaque jour plusieurs milliers. Cependant les cyberattaques ne cessent de se sophistiquer, et si les protections et mesures de contrôle 86% se révèlent aujourd’hui efficaces contre de simples dénis de service ou virus, elles ne sont souvent pas suffisantes pour lutter contre des attaques sophistiquées réitérées. • L’année dernière, 88% des répondants déclaraient que leur programme de cybersécurité ne répondait pas pleinement aux besoins de leur organisation. Avec 86% cette année, des répondants déclarent cette perception reste largement partagée, signe que les mesures prises par les que leur programme de cybersécurité organisations ne sont toujours pas suffisantes pour faire face à l’aggravation de la ne répond pas pleinement aux besoins situation. de leur organisation. Réévaluer ses risques Comme en 2013 et 2014, près de la moitié des répondants (48%) déclarent que l’obsolescence de leur système de protection est une importante source de vulnérabilité. Pour mémoire, l’année 2015 s’était distinguée par un regain significatif de confiance, puisque seuls 34% d’entre eux partageaient cette opinion. Cette confiance a donc été de courte durée face à l’accroissement des risques liés aux comportements de salariés non sensibilisés aux enjeux de cybersécurité et à l’apparition de nouvelles techniques ciblant spécifiquement les erreurs humaines. Cette année, on constate donc une réévaluation de l’exposition aux risques des organisations. Alors qu’elles affichaient un véritable optimisme en 2015, il semblerait qu’après une phase de rodage de leurs systèmes, elles aient finalement véritablement pris conscience de la nature de la menace. Au cours de ces 12 derniers mois, quelles menaces/vulnérabilités ont augmenté votre exposition au risque ? Le tableau présente les pourcentages des réponses notées 1 (la plus élevée) et 2 (élevée), de 2013 à 2016. 2013 2014 2015 2016 Vulnérabilités Salariés non sensibilisés 53% 57% 44% 55% Systèmes obsolètes 51% 52% 34% 48% Accès sans autorisation 34% 34% 32% 54% Menaces Logiciels malveillants 41% 34% 43% 52% Phishing 39% 39% 44% 51% Cyberattaques conçues pour voler des informations financières 46% 51% 33% 45% Cyberattaques conçues pour voler des données ou de la propriété 41% 44% 30% 42% intellectuelle Attaques en interne 28% 31% 27% 33% e 19 édition de l’étude EY sur la sécurité de l’information (2016) | 13

Quelles priorités pour mieux résister aux nouvelles 57% attaques ? Activer ses défenses des répondants ont eu récemment Si la nature des attaques change, les missions essentielles de cybersécurité restent les un incident important mêmes : résister, se défendre, atténuer et neutraliser les attaques. Les services et outils de cybersécurité. de protection ont su conserver un temps d’avance sur les menaces, et les organisations peuvent aujourd’hui s’appuyer sur de nombreuses solutions efficaces. Néanmoins, notre enquête révèle que 57% des intervenants ont récemment connu un incident de cybersécurité, signe que les protections ne sont pas infaillibles. Travailler à renforcer ses défenses constitue donc une réelle source d’amélioration pour les organisations qui ne disposent pas encore d’un fort degré de maturité en la matière. Pourcentage de répondants qui jugent matures les processus de gestion de sécurité suivants : • Sécurité des applications : 29% • Supervision de la sécurité : 38% • Gestion des incidents : 38% • Gestion des identités et des accès : 38% • Sécurité du réseau : 52% Sortir des sentiers battus Pour résister aux attaques, il est nécessaire d’adopter une ligne de défense multiple. Si les protections traditionnelles comme le chiffrement ou les pare-feux sont généralement perçus comme des obstacles difficilement franchissables, d’autres approches complémentaires existent également pour minimiser l’impact d’une attaque et résister aux assauts : • Passer d’un système fail-safe à un système safe-to-fail Jusqu’à présent et à raison, les organisations ont choisi de construire des systèmes d’opérations à sûreté intégrée (fail-safe), capables de résister à des cyberattaques éclair. Mais aujourd’hui, face à l’émergence de nouvelles menaces aussi imprévisibles qu’inédites, ce type d’approche se révèle souvent insuffisant. Le prochain objectif est donc de concevoir un système safe-to-fail. La cybersécurité du futur doit en effet être plus intelligente et plus efficace, en adoptant notamment une approche de résilience douce (Soft-resilient approach). En d’autres termes, lorsque le système détecte une menace, des mécanismes doivent se mettre en place pour absorber l’attaque, en réduire la vélocité et l’impact, et tolérer une défaillance partielle du système pour limiter les dommages causés à l’ensemble. • Accepter de céder des fragments d’information pour une meilleure protection Il est aujourd’hui possible de sacrifier des portions congrues d’informations ou d’opérations pour protéger l’ensemble du réseau. Si ce procédé est configuré dans les limites de l’appétence au risque définie par l’organisation, il peut être pertinent d’en faire une réponse automatique en cas de menace avérée. Ainsi, lorsque le centre des opérations de sécurité (SOC) identifie une menace élevée, son propriétaire est alerté et le système est suspendu pour empêcher la propagation de la menace. e 14 | 19 édition de l’étude EY sur la sécurité de l’information (2016)

Les budgets augmentent chaque année : mais est-ce suffisant ? Les budgets alloués à la cybersécurité ont augmenté régulièrement entre 2013 et 2016 : 53% 53% des répondants affirment ainsi que leur budget s’est accru au cours des 12 derniers mois, contre 43% en 2013. De même, 55% des répondants déclarent que leurs budgets augmenteront dans les 12 prochains mois, contre 50% en 2013. Parallèlement, les montants dépensés suivent une courbe similaire : les organisations qui dépensent entre affirment que leur budget 10 et 50 millions de dollars sont plus nombreuses qu’en 2013, et si 76% des intervenants a augmenté au cours consacraient moins de 2 millions de dollars au total (en incluant les personnes, les des 12 derniers mois. processus et les technologies), ils ne sont plus que 64% aujourd’hui. Malgré ces progrès, les organisations sont nombreuses à estimer qu’elles ont besoin de davantage de financement : 61% des répondants évoquent les contraintes budgétaires comme un obstacle majeur et 69% demandent une augmentation de 50% de leur budget. Mais l’argent ne fait pas tout. S’il peut aider à pallier une pénurie de compétences, il ne permet pas nécessairement d’obtenir le soutien du comité exécutif. Quels principaux obstacles rencontrez-vous dans la gestion de la sécurité de votre système d’information ? (Plusieurs choix possibles) 69% Contraintes budgétaires 61% Manque de personnel compétent 56% estiment qu’une augmentation de 50% de leur budget est nécessaire Manque de sensibilisation ou de soutien des cadres 32% pour garantir la protection du système Manque d'outils de qualité pour gérer la sécurité d’information de leur entreprise. de l'information 30% Problèmes de management et de gouvernance 28% Fragmentation de la conformité/réglementation 19% Autre (précisez) 6% e 19 édition de l’étude EY sur la sécurité de l’information (2016) | 15

Le rôle du leadership 89% Le soutien de la direction est essentiel pour une cyberrésilience efficace. Contrairement aux phases d’anticipation et de résistance qui relèvent de la responsabilité du responsable de la sécurité des systèmes d’information ou du directeur des systèmes d’information, la phase de réaction exige une participation active des dirigeants. Depuis 2013, l’enquête a révélé des entreprises n’évaluent que 31% à 32% des répondants admettent se heurter à un manque de sensibilisation et de pas l’impact financier de chaque soutien des dirigeants susceptible de remettre en question l’efficacité de la cybersécurité infraction significative. de l’organisation. Ce constat, qui reste le même d’année en année, révèle que les mesures prises pour sortir de l’impasse n’ont pas été suffisantes ou qu’elles n’ont pas été suivies d’effets. La nécessité de transmettre l’information au plus haut niveau Notre enquête montre que 75% des responsables de la sécurité de l’information ne siègent pas au conseil d’administration. Cette faible représentation souligne la nécessité de formaliser l’information pour la transmettre, faute de pouvoir la présenter de vive voix. Notre enquête a révèlé que : • Seuls 25% des rapports fournissent une vue d’ensemble des menaces auxquelles 49% l’organisation doit faire face ; • Seuls 35% des rapports indiquent précisément les vulnérabilités du système d’information et proposent des mesures pour les corriger ; • 89% des organisations n’évaluent pas le préjudice financier de chacune des failles n’ont aucune idée du préjudice significatives de sécurité subies. Ainsi, parmi celles qui ont connu un incident au cours de financier susceptible d’être provoqué l’année, près de la moitié (49%) n’a aucune idée des dommages financiers susceptibles par une faille majeure de sécurité. d’être provoqués par cet incident. Compte tenu de ces marges d’amélioration, il n’est donc pas surprenant que 52% des répondants estiment que leurs dirigeants n’ont pas une connaissance, ni une compréhension complète des risques auxquels leur organisation fait face, ni des mesures mises en place pour les contrer. En d’autres termes, notre enquête suggère que près de la moitié des comités exécutifs marchent à l’aveugle sans connaître les grandes cybermenaces qui pèsent sur leur organisation. e 16 | 19 édition de l’étude EY sur la sécurité de l’information (2016)

Réagir e 19 édition de l’étude EY sur la sécurité de l’information (2016) | 17

Gestion de crise : réagir grâce à un programme centralisé à l’échelle de la firme Etant donné la forte probabilité d’être la cible d’une cyberattaque, il est indispensable que les organisations développent un solide dispositif de réponse à une violation cyber (CBRP : Cyber Breach Response Plan) s’inscrivant dans leur stratégie globale de gestion des risques. Déployé à l’échelle de l’organisation, le CBRP permet de donner un cadre de référence commun et de faire collaborer l’ensemble des parties prenantes en cas d’intrusion dans les systèmes de l’organisation. Son pilotage implique la maîtrise de la technologie, la mise en œuvre d’actions opérationnelles et stratégiques au quotidien, ainsi que de solides compétences dans les domaines juridique et réglementaire. Sa portée va également bien au-delà des programmes de gestion traditionnels, en permettant de s’assurer que le plan de continuité d’activité de l’organisation est correctement appliqué, qu’un plan de communication spécifique a bien été déployé auprès des parties prenantes internes, et que toutes les alertes et questions de sécurité sont traitées de façon centralisée, qu’elles proviennent de sources internes ou externes (collaborateurs ou clients). En d’autres termes, le CBRP adresse des directives à toutes les lignes de services impliquées dans la gestion de crise. Il sélectionne les informations cruciales à transmettre au comité exécutif, les dispense à propos, et assure avec précision et rapidité une réaction adaptée à la durée de l’attaque qui peut atteindre plusieurs jours, plusieurs semaines et parfois même plusieurs mois. Un programme CBRP efficace doit impliquer les directions fonctionnelles et métier clefs en cas d’attaque à fort impact. Elément pivot de l’investigation, il permet d’aider les enquêteurs à travailler en collaboration étroite avec les directions SI et de sécurité de l’information pour trouver l’origine de l’attaque, vérifier les réseaux et systèmes, et estimer l’ampleur des actifs compromis ou volés. Le CBRP supervise en effet non seulement le processus d’identification, de collecte et de protection des preuves, l’investigation numérique et l’évaluation de l’impact, mais peut aussi diriger et orienter les recherches sur la base de faits réels. Un tel programme garantit que les informations circulent avec fluidité entre les parties prenantes internes et permet de guider les organisations dans la gestion de la complexité inhérente au travail en commun avec une grande diversité d’interlocuteurs : conseillers juridiques externes, législateurs, forces de l’ordre, etc. Robuste et polyvalent, le CBRP est donc capable de délivrer une réponse à moindre coût, en impliquant l’ensemble des parties prenantes pour réduire l’impact de l’attaque. e 18 | 19 édition de l’étude EY sur la sécurité de l’information (2016)

Gestion de crise : quelles priorités ? Le plan de continuité d’activité est au cœur de la protection des organisations depuis de nombreuses années. Volet essentiel de tout dispositif de cybersécurité, il figure 57% systématiquement parmi les deux premières priorités des répondants depuis 2013, signe que les organisations ont compris l’importance de renforcer leurs capacités de réaction aux cyberattaques. Cette année encore, 57% d’entre elles l’ont classé en top priorité, au même titre que la prévention des fuites et des pertes de données. Les systèmes de gestion des informations et des événements de sécurité (SIEM) combinés font de la continuité d’activité aux centres des opérations de sécurité (SOC) sont classés 6e une priorité majeure, au même titre : 48% des répondants que la prévention des fuites affirment vouloir dépenser plus dans ces deux domaines dans les 12 prochains mois. et des pertes de données. Quel degré de priorité accordez-vous à chacun des domaines suivants (fort, moyen, faible) dans les 12 prochains mois ? 1. Continuité d’activité / reprise après un sinistre 57% 33% 10% 2. Prévention des fuites / perte de données 57% 34% 10% 3. Sensibilisation des salariés et formation 55% 38% 7% 4. Dispositifs de sécurité (antivirus, patching, chiffrement) 52% 39% 9% 5. Gestion des identités et des accès 50% 40% 10% 6. Gestion des incidents de sécurité et SOC 48% 38% 14% 7. Réponse aux incidents 48% 42% 11% 8. Tests de sécurité (attaques et intrusions) 46% 44% 10% 9. Gestion des accès privilégiés 43% 41% 15% 10. Gestion des menaces et des vulnérabilités 42% 45% 13% 11. Cloud computing 39% 35% 27% 12. Intégration de la sécurité IT et de l’opérationnel 33% 49% 18% 13. Appareils mobiles 29% 49% 22% 14. Protection de la vie privée 29% 46% 25% 15. Gestion des risques liés aux tiers 27% 48% 25% 16. Transformation de la sécurité de l’information 26% 41% 33% 17. Refonte de l’architecture sécurité 25% 46% 29% 18. Risques et menaces internes 24% 50% 26% 19. Fraude 23% 41% 36% 20. Activités d’externalisation de la sécurité, 21% 42% 37% incluant les risques liés aux fournisseurs 21. Propriété intellectuelle 16% 37% 47% 22. Criminalistique 15% 39% 46% 23. Médias sociaux 14% 43% 44% 24. Objets connectés (IoT) 13% 33% 54% 25. RPA (Contrôle robotisé des procédures) 8% 23% 69% 26. Technologies émergentes (maching learning) 8% 25% 67% 27. Bitcoin 6% 18% 76% Légende : Fort Moyen Faible e 19 édition de l’étude EY sur la sécurité de l’information (2016) | 19

Dans quels domaines les organisations investissent-elles ? Perception des priorités et choix d’investissement ne vont pas toujours de pair. Identifié e comme une top priorité, le plan de continuité d’activité arrive ainsi en 9 position des priorités budgétaires, suggérant que les organisations estiment avoir suffisamment investi dans ce domaine ces dernières années et souhaitent aujourd’hui explorer d’autres modes de protection. Votre entreprise a-t-elle cette année l’intention de dépenser plus, moins, ou relativement le même montant que l’année précédente dans les domaines suivants ? 1. Sensibilisation des salariés et formation 49% 8% 43% Actuellement, les organisations ne semblent pas prêtes à investir dans 2. Gestion des incidents de sécurité et SOC 46% 9% 45% de nouvelles compétences visant à 3. Cloud computing 45% 9% 46% adapter et/ou réorganiser leur système 4. Tests de sécurité (attaques et intrusions) 44% 8% 48% d’approche défensif : 5. Gestion des identités et des accès 43% 8% 49% • Adapter : s’appuyer sur l’observation de son environnement et des sources 6. Prévention des fuites / perte de données 42% 7% 51% de menaces potentielles pour adapter 7. Dispositifs de sécurité (antivirus, patching, 41% 8% 51% ses processus, ses mécanismes chiffrement) de protection et renforcer ainsi sa 8. Gestion des menaces et des vulnérabilités 40% 8% 52% cyberrésilience. 9. Continuité d’activité / reprise après un sinistre 39% 7% 54% • Réorganiser : repenser et transformer 10. Réponse aux incidents 39% 8% 53% ses processus afin d’améliorer à la fois la 11. Gestion des accès privilégiés 35% 9% 56% résilience et l’efficacité opérationnelle de l’organisation pour la rendre plus solide 12. Intégration de la sécurité IT et de l’opérationnel 34% 10% 56% et plus durable. 13. Appareils mobiles 32% 10% 58% Bien que l’obsolescence des procédures de 14. Refonte de l’architecture sécurité 32% 13% 55% contrôle et de l’architecture des programmes 15. Transformation de la sécurité de l’information 29% 12% 59% de cybersécurité soit considérée comme la seconde plus importante source de 16. Protection de la vie privée 25% 10% 65% vulnérabilité, près de 75% des répondants 17. Gestion des risques liés aux tiers 25% 11% 64% considèrent que la transformation de leur système de sécurité et la refonte de leur 18. Risques et menaces internes 22% 10% 68% architecture sont des priorités moyennes ou 19. Activités d’externalisation de la sécurité, incluant 21% 12% 66% faibles. les risques liés aux fournisseurs 20. Fraude 20% 10% 70% 21. Criminalistique 17% 12% 71% 22. Objets connectés (IoT) 14% 13% 72% 23. Médias sociaux 12% 13% 74% 24. Propriété intellectuelle 12% 12% 76% 25. RPA (Contrôle robotisé des procédures) 10% 15% 75% 26. Technologies émergentes (maching learning) 9% 16% 74% 27. Bitcoin 5% 16% 78% Légende : Dépenser plus Dépenser moins Pareil ou constant e 20 | 19 édition de l’étude EY sur la sécurité de l’information (2016)

Dans la gestion de crise, le Top Management doit faire preuve de leadership 42% Aujourd’hui, lorsqu’une organisation fait face à une cyberattaque qui a déjà commencé à endommager ses systèmes, le top management est en première ligne. Et ce d’autant plus si des défaillances ou des faiblesses apparaissent dans la mise en œuvre des plans de réaction et de restauration des systèmes : plus le problème perdure, plus la situation est susceptible ne disposent pas d’une stratégie de s’aggraver. ou d’un plan de communication établi Si les organisations se remettent d’une cyberattaque, leur réputation et la confiance que en cas d’attaque significative. leur accordent leurs parties prenantes peuvent être réduites à néant en un instant. C’est pourquoi il est essentiel de communiquer sur l’incident avant que la presse ou les médias sociaux ne s’en emparent. Or, encore trop d’organisations ne sont pas encore préparées à cette éventualité. 39% • 42% des répondants ne disposent pas d’une stratégie ou d’un plan de communication établi en cas d’attaque significative. • Dans les 7 premiers jours après une attaque : • 39% feraient une déclaration publique dans les médias ; affirment qu’ils opteraient pour une • 70% tiendraient informés les organismes de régulation et compliance ; déclaration publique dans les médias si une telle attaque survenait. • 46% ne tiendraient pas informés leurs consommateurs, même si les données compromises les concernaient ; • 56% ne tiendraient pas informés leurs fournisseurs, même si les données compromises les concernaient. Que communiquer en cas d’attaque ? • Aujourd’hui, de nombreux cadres législatifs ou réglementaires exigent que les organisations tiennent les consommateurs informés des cyberattaques susceptibles de les concerner dans un certain laps de temps, généralement de 60 jours. Or il arrive que des cyberattaques ne soient pas découvertes avant des mois, voire même des années, et dans certains cas, il peut arriver que les consommateurs ne soient pas immédiatement informés pour les besoins d’une enquête. • Dans un futur proche cependant, les consommateurs pourraient se voir indemnisés en cas de vol ou d’intrusion compromettant leurs données personnelles. Aux Etats- Unis par exemple, un projet à l’étude propose de compenser le préjudice subi par un an gratuit d’assurance contre le vol d’identité. Mais ce type de compensation ne convient pas à toutes les situations et pourrait engendrer une augmentation des coûts sans réel bénéfice pour le consommateur, tout en nuisant à l’image et à la réputation des organisations concernées. • Enfin, il est de plus en plus reconnu que tenir les consommateurs systématiquement informés peut se révéler contre-productif, voire dangereux, en particulier lorsque le risque est faible, car ces derniers pourraient insensiblement baisser leur garde et ne plus réagir adéquatement en cas de réel danger. Ainsi, il n’est pas impossible qu’au cours de ces deux dernières années, une même personne ait été informée que son opérateur de téléphonie mobile, son opérateur Internet et la plateforme qui héberge ses emails aient été tous trois attaqués, ou que ses identifiants bancaires ou de sécurité sociale soient tombés entre les mains de cybercriminels. La répétition de ces alertes pourrait laisser penser que ces attaques sont une fatalité, produisant l’effet inverse de celui recherché, à savoir désensibiliser le public des dangers liés à la cybercriminalité. e 19 édition de l’étude EY sur la sécurité de l’information (2016) | 21

Comment rapidement rétablir les services de l’organisation ? 5% Pour être en mesure de soutenir l’activité pendant la phase d’adaptation et de réorganisation du système de défense, les directions informatiques et de la sécurité ont besoin d’acquérir une connaissance parfaite de la stratégie de l’organisation, de son appétence au risque et des dispositifs mis en place. affirment avoir changé récemment En faisant collaborer les stratèges de l’organisation et l’équipe sécurité, la stratégie de et significativement leurs plans cybersécurité peut être alignée sur la stratégie globale de l’organisation. stratégiques après avoir pris Malheureusement, notre étude montre que les connexions entre cybersécurité et stratégie conscience qu’ils étaient exposés demeurent insuffisantes. à de trop nombreux risques. • Seuls 5% des répondants affirment avoir changé récemment et significativement leurs plans stratégiques après avoir pris conscience qu’ils étaient exposés à de trop nombreux risques ; • Seuls 22% affirment qu’ils ont intégralement pris en compte les impacts des plans 79% stratégiques actuels sur la sécurité de l’information. Gestion interne des systèmes de cybersécurité : quels défis ? pratiquent l’auto-hameçonnage. Notre enquête révèle que les organisations préfèrent tester et assurer elles-mêmes la maintenance de leur système de cybersécurité : • 79% des répondants pratiquent l’auto-hameçonnage (self-phishing) ; • 64% déploient leurs propres tests d’intrusion ; • 81% effectuent leurs propres recherches d’incidents ; 81% • 83% analysent eux-mêmes les menaces et vulnérabilités. D’autre part, bien que la négligence des collaborateurs, le hameçonnage et les logiciels malveillants comptent parmi les menaces d’envergure bien connues, seuls 24% des effectuent leurs propres recherches répondants déclarent avoir mis en place des plans de défense pour y faire face. d’incidents. Phase de réaction : une priorité d’investissement Même si les répondants font de la phase de réaction une priorité majeure, les investissements financiers dans ce domaine restent relativement faibles. L’intérêt lié à cette phase de protection devrait donc prendre de l’ampleur à mesure que les organisations prendront conscience que toutes les menaces ne peuvent être anticipées. e 22 | 19 édition de l’étude EY sur la sécurité de l’information (2016)

Les 7 points clefs d’une organisation cyberrésiliente Acquérir une fine connaissance de l’organisation Faire preuve d’un leadership exceptionnel dans pour mieux la mobiliser en cas d’attaque l’encadrement de ses équipes La cyberrésilience requiert une réaction collective impliquant Lors d’une cyberattaque, comme dans toute situation de crise, les et mobilisant toute l’organisation. Cette capacité s’appuie sur individus doivent se tenir prêts à réagir, car chacun d’entre eux est une connaissance approfondie de l’environnement professionnel susceptible d’en être affecté. C’est pourquoi les procédures à suivre et opérationnel de l’organisation pour assurer la protection doivent être clairement communiquées par le leadership, et les des processus assurant la continuité de l’activité, celle des rôles et missions de chacun, bien définis, pour que l’organisation collaborateurs et des actifs, mais aussi de l’image globale de la puisse se remettre en état de marche le plus rapidement possible. marque en cas de cyberattaque. Instaurer une culture du changement Cartographier l’écosystème La capacité à réagir rapidement à une cyberattaque permet Analyser l’ensemble des relations qu’entretient l’organisation au de minimiser les risques d’impacts matériels à long terme. Les sein de son cyberécosystème permet non seulement d’identifier les organisations qui développent des moyens de défense intégrés, risques existants, mais aussi de déterminer la place qu’elle occupe automatisés et efficaces s’appuient généralement sur un comité dans cet environnement, ainsi que les moyens d’y renforcer son de direction ad hoc, un programme de gestion de crise et influence. coordonnent les ressources à l’échelle de l’organisation. A travers des simulations, les organisations peuvent entraîner leurs équipes Identifier les informations prioritaires et actifs à faire face à ce type de gestion de crise, à évaluer l’efficacité des mesures de protection courantes et de leurs profils de risque afin stratégiques de s’assurer qu’elles sont parfaitement alignées sur leur stratégie et leur appétence au risque. De nombreuses organisations protègent certaines informations de manière excessive et d’autres de manière insuffisante. L’enquête Les organisations devraient également élaborer et mettre en œuvre révèle que : des exercices de simulation sur mesure (jeux de rôles) incluant des • 51% des répondants considèrent que les identifiants personnels tests des centres de contrôle et d’opérations, ainsi que des guides et de leurs clients figurent parmi les informations les plus plans sur la cyberrésilience. recherchées par les cybercriminels (priorité 1 ou 2) ; Mener des investigations formelles et préparer • Seuls 11% ont placé la propriété intellectuelle brevetée sur les deux premières marches de ce classement ; d’éventuelles poursuites judiciaires • La majorité des répondants considère les informations Afin de protéger les intérêts de l’organisation en cas de personnelles des membres du comité exécutif plus précieuses que cyberattaque majeure, les directeurs des systèmes d’information les informations relatives à la R&D, à la propriété intellectuelle et et responsables de la sécurité doivent être prêts à entrer en aux plans stratégiques de l’organisation. concertation avec les membres du comité général et du comité de Collaborer pour réduire les facteurs de risque la sécurité, des conseils juridique et externe, ainsi que des comités externes d’investigation et de conformité, afin de : Sans une vision globale des risques et des menaces qui pèsent • Recueillir des preuves en vue d’une éventuelle enquête plus sur l’organisation, les programmes de cybersécurité ne peuvent approfondie ; être pleinement performants. Le partage d’information en interne • S’assurer que les cybercriminels ne sont plus présents sur les se révèle à ce titre parfois plus efficace que tous les outils et réseaux de l’organisation, et qu’aucun logiciel malveillant ne technologies conçus pour anticiper et identifier les menaces, car il pourra la compromettre à l’avenir ; permet à l’organisation de mieux comprendre l’étendue des risques auxquels elle doit faire face et de combler d’éventuelles lacunes • Mener une enquête plus approfondie pour comprendre qui a de sécurité. Etendre cette bonne pratique à ses partenaires est un mené l’attaque, comment elle a été exécutée et pourquoi ; facteur clef de renforcement de la sécurité de son écosystème. • Porter plainte ou intenter des actions en justice contre • De quelle marge de manœuvre disposez-vous pour gérer tout l’agresseur, ainsi que tous ceux qui ont participé à l’attaque ou risque résiduel ? l’ont commanditée. Des procès peuvent également être intentés • Quel niveau de risque êtes-vous prêts à accepter ? contre les fournisseurs de produits et de services peu scrupuleux, qui ne respectent pas les obligations contractuelles en matière de • Quelles sont les priorités en matière de protection ? cybersécurité. e 19 édition de l’étude EY sur la sécurité de l’information (2016) | 23

Méthodologie e Cette 19 édition de l’étude EY sur la sécurité de l’information s’appuie sur une enquête réalisée entre juin et août 2016 auprès de 1735 professionnels de la sécurité de l’information et de l’IT issus des plus grandes organisations du monde. Fonction Zone géographique Responsable de la sécurité 23% des systèmes d’information Directeur de la sécurité 12% des systèmes d’information Directeur des systèmes 12% d’information Directeur de l’informatique 11% Directeur de la sécurité 3% Directeur / 3% responsable de l’audit interne Directeur de la technologie 3% Administrateurs réseaux / 2% systèmes Légende : Directeur / Vice-Président 2% EMEIA 38% de business unit Directeur administratif Amérique 38% et ﬁnancier 1% Asie-Paciﬁque et Japon 24% Directeur des risques 1% Autre 27% e 24 | 19 édition de l’étude EY sur la sécurité de l’information (2016)

Nombre de salariés Chiffre d’affaires Secteur Moins de 1 000 34% Moins de 10 millions USD 7% Banques 20% et marchés de capitaux 1 000 à 1 999 14% Plus de 10 millions 4% Assurances 7% et jusqu’à 25 millions USD 2 000 à 2 999 7% Plus de 25 millions 5% Technologies 7% et jusqu’à 50 millions USD 3 000 à 3 999 5% Plus de 50 millions 4% Biens de consommation 6% et jusqu’à 100 millions USD 4 000 à 4 999 4% Plus de 100 millions 9% Secteur public 6% et jusqu’à 250 millions USD 5 000 à 7 499 7% Plus de 250 millions 9% Produits industriels diversiﬁés 5% et jusqu’à 500 millions USD 7 500 à 9 999 6% Plus de 500 millions 10% Energie et utilities 5% et jusqu’à 1 milliard USD 10 000 à 14 999 6% Plus d’1 milliard 9% Distribution 4% et jusqu’à 2 milliards USD 15 000 à 19 999 4% Plus de 2 milliards 5% Télécommunications 4% et jusqu’à 3 milliards USD 20 000 à 29 999 3% Plus de 3 milliards 3% Santé 4% et jusqu’à 4 milliards USD 30 000 à 39 999 3% Plus de 4 milliards 2% Médias et divertissements 3% et jusqu’à 5 milliards USD 40 000 à 49 999 2% Plus de 5 milliards 3% Services professionnels 3% et jusqu’à 7,5 milliards USD 50 000 à 74 999 2% Plus de 7,5 milliards 3% Immobilier (dont construction, 3% et jusqu’à 10 milliards USD hôtellerie et loisirs) 75 000 à 99 999 1% Plus de 10 milliards 5% Pétrole et gaz 3% et jusqu’à 15 milliards USD 100 000 et plus 4% Plus de 15 milliards 2% Automobile 3% et jusqu’à 20 milliards USD Plus de 20 milliards 3% Transports 2% et jusqu’à 50 milliards USD Plus de 50 milliards USD 3% Mines et métaux 2% Secteur public et 7% Gestion d’actifs 2% organismes sans but lucratif Non applicable 7% Sciences de la vie 2% Compagnies aériennes 1% Produits chimiques 1% Aérospatiale et défense 1% Autre 6% e 19 édition de l’étude EY sur la sécurité de l’information (2016) | 25

Pour aller plus loin Retrouvez l’ensemble de nos publications sur www.ey.com/fr/advisory. Incident response Preparing for and responding to a cyber attack Comment trouver les cybercriminels Gestion des services de sécurité des Répondre aux cyberattaques avant qu’ils ne vous trouvent ? Focus sur logiciels : construire un centre de ey.com/GRCinsights la stratégie de veille des cybermenaces services d’excellence ey.com/cti ey.com/GRCinsights Gérer un SOC (Centre des opérations La data science au service Retour sur le Règlement européen de sécurité) de la cybersécurité : en matière de protection ey.com/soc pour une troisième génération de SOC des données personnelles ey.com/soc ey.com/GRCinsights Privacy Trends 2016 : la vie privée Renforcer la sécurité de vos Créer les conditions de la confiance peut-elle encore être protégée ? opérations par une défense active dans un monde digital : étude EY ey.com/privacytrends ey.com/activedefense sur la sécurité de l’information (2015). ey.com/giss2015 e 26 | 19 édition de l’étude EY sur la sécurité de l’information (2016)

Et si vous subissiez une cyberattaque sans même vous en rendre compte ? Pour EY, « Building a better working world », c’est avant tout être capable de résoudre des problèmes sectoriels complexes et capitaliser sur les opportunités pour faire grandir ses clients. Pour cela, nous avons créé un écosystème mondial d’experts métiers et sectoriels et conclu des alliances stratégiques avec de nombreux partenaires. Pour nous, l’anticipation et la proactivité contre les cyberattaques sont les meilleures armes pour combattre les cybercriminels. De la stratégie à l’exécution, nous avançons avec vous pour concevoir les approches les plus innovantes correspondant à vos enjeux, vos priorités et vos vulnérabilités. Un monde qui avance c’est un monde où les organisations ont toutes mis en place une véritable stratégie de cybersécurité. Et si vous subissiez une cyberattaque sans même vous en rendre compte ? The better the question. The better the answer. The better the world works.* *Une question pertinente. Une réponse adaptée. Un monde qui avance.

EY | Audit | Conseil | Fiscalité & Droit | Transactions EY est un des leaders mondiaux de l’audit, du conseil, de la fiscalité et du droit, des transactions. Partout dans le monde, notre expertise et la qualité de nos services contribuent à créer les conditions de la confiance dans l’économie et les marchés financiers. Nous faisons grandir les talents afin qu’ensemble, ils accompagnent les organisations vers une croissance pérenne. C’est ainsi que nous jouons un rôle actif dans la construction d’un monde plus juste et plus équilibré pour nos équipes, nos clients et la société dans son ensemble. EY désigne l’organisation mondiale et peut faire référence à l’un ou plusieurs des membres d’Ernst & Young Global Limited, dont chacun est une entité juridique distincte. Ernst & Young Global Limited, société britannique à responsabilité limitée par garantie, ne fournit pas de prestations aux clients. Retrouvez plus d’informations sur notre organisation sur www.ey.com. © 2017 Ernst & Young Advisory. Tous droits réservés. Studio EY France - 1701SG018 SCORE France N° 2017-002 ED none Document imprimé conformément à l’engagement d’EY de réduire son empreinte sur l’environnement. Cette publication a valeur d’information générale et ne saurait se substituer à un conseil professionnel en matière comptable, fiscale ou autre. Pour toute question spécifique, vous devez vous adresser à vos conseillers. ey.com/fr Contact : Marc Ayadi Associé, Ernst & Young Advisory Tél. : +33 1 46 93 73 92 Email : [email protected]