Cybersécurité - Créer les conditions de la confiance dans le monde digital

Cybersécurité : créer les conditions de la confiance dans le monde digital

Avant-propos EY publie les résultats de son étude annuelle sur la cybersécurité. Cette 18ème édition, s’appuie sur une enquête menée auprès de 1755 professionnels provenant de 67 pays, formant un panel composé de DSI, de DAF, de PDG et des responsables de la sécurité de l’information de sociétés issues de 25 secteurs d’activité différents. Face à la sophistication des cyberattaques et des techniques utilisées par les cybercriminels, les entreprises doivent agir dès maintenant pour contrer les tentatives d’intrusion. Dans un monde de plus en plus digitalisé, où les données ne cessent de prendre de la valeur, l’étude met en évidence le travail qu’il reste à accomplir dans les entreprises : plus d’un tiers d’entre-elles ne s’estime en effet pas capable d’identifier une cyberattaque sophistiquée. La cybersécurité n’est pas l’affaire d’une seule fonction au sein de l’entreprise, mais relève bel et bien de la responsabilité de tous ses acteurs, aucun service n’étant à l’abri d’une cyberattaque. Malgré des progrès identifiés dans cette étude, on constate que la « règle des 3 A » (Activer, Adapter et Anticiper) reste trop peu appliquée, laissant la plupart des entreprises encore trop vulnérables. Celles-ci doivent donc poursuivre leur démarche et conserver un temps d’avance sur les cybercriminels. L’utilisation d’une méthode de « défense active » est l’une des clés pour faciliter la transformation de leur système de cybersécurité. Pourquoi votre entreprise est-elle toujours Quand digital rime Comment se aussi vulnérable ? Se tourner avec cyberattaque déroulent les • Pas suffisamment vers la • Un environnement cyberattaques ? de mesures prises « défense active » digitalisé qui évolue • Identifier des dans l’environnement • Qu’est-ce que la sans cesse scénarii catastrophe actuel « défense active » ? • Quelles menaces • Détecter les signaux • Pas assez • Comment construire et quelles faibles d’adaptation au une « défense active » ? vulnérabilités • Pourquoi rester changement • Conduisez votre craindre ? en alerte ? • Une approche entreprise sur la • Des pistes proactive trop lente voie du progrès pour freiner les pour neutraliser cyberattaques

Quand digital rime avec cyberattaque

Quand digital rime avec cyberattaque. Un environnement digitalisé qui évolue sans cesse Le digital a révolutionné l’environnement des entreprises. Porteur 20% de grandes opportunités d’innovation, il s’accompagne aussi d’effets des entreprises interrogées indésirables qui retiennent toujours davantage l’attention des ne peuvent mesurer pouvoirs publics et des médias. les dommages financiers causés Si la perte de données (de clients ou d’utilisateurs) est au cœur par les incidents informatiques des préoccupations des entreprises, le piratage des médias, de qui se sont produits au cours l’administration et des systèmes de défense est perçu comme un des 12 derniers mois enjeu de sécurité nationale. Les entreprises doivent avoir conscience des enjeux de cybersécurité et prendre les mesures nécessaires pour contrer les menaces existantes. $626mds 85% 99% 36% 81% seront dépensés des relations des objets qui des entreprises des dirigeants via smartphone commerciales seront connectés n’ont pas pensent que d’ici 2018 (US $). seront réalisées ne le sont pas confiance en les données Source : Goldman sans l’interaction encore. leur capacité devraient être au Sachs 2014 d’un humain d’ici Source : Cisco, Rob à détecter des cœur de toutes 2020. Soderbury 2013 cyberattaques les décisions. Source : Gartner Group sophistiquées. Source : EY Becoming 2011 Source : EY Global Info an analytics-driven Sec Survey 2015 organization to create value 2015 Digitalisation : quelles nouveautés ? Les smart devices and services (dispositifs et services intelligents) entraînent des conséquences inattendues et génèrent de nombreuses données. Ils augmentent la vulnérabilité des entreprises et limitent souvent l’implication des humains dans les processus de décision. Les employés, consommateurs et citoyens qui partagent des informations sur les médias sociaux et pratiquent le BYOD (Bring Your Own Device) n’ont pas pleinement conscience des implications de tels usages sur la confidentialité et la vie privée. Les organisations stockent de plus en plus de données dans le cloud et chez des tiers. Cette situation attractive présente néanmoins des risques de perte de contrôle, d’augmentation des menaces, compte tenu des impacts de l’écosystème complexe créés par les interconnexions associées à ces technologies. L’évolution de ces technologies va de pair avec une évolution des comportements humains, dans un sens positif comme négatif. Les nouvelles législations et réglementations imposent une évolution des processus, qui implique souvent l’apparition de nouvelles vulnérabilités et élargit le périmètre et l’envergure des menaces qui pèsent sur les entreprises. 2 | Cybersécurité : créer les conditions de la confiance dans le monde digital

Quelles menaces et quelles vulnérabilités craindre ? Une politique de sécurité effective ne repose pas sur quelques individus, elle doit être transverse et engager tous les acteurs de l’entreprise, des fournisseurs, et autres tierces parties. Tous doivent être responsabilisés et travailler ensemble pour fournir une vision à 360° de la situation. Chaque décision doit être prise au travers du prisme de la cybersécurité. Pour obtenir une approche efficace, cette politique doit être alignée sur la stratégie, les risques et les priorités de l’entreprise, notamment en se concentrant sur la protection de son patrimoine informationnel. C’est pourquoi il est utile de lister les priorités et de les cartographier. Les dirigeants de l’entreprise doivent également être prêts à intervenir et à prendre les bonnes décisions en cas d’incident. Il est donc nécessaire pour la direction de mesurer et de définir en amont son appétence aux risques (i.e. niveau de risque qu’ils sont prêts à prendre). Au cours des 12 derniers mois, quelles menaces* et quelles vulnérabilités** ont augmenté votre exposition au risque ? (Noter tous les éléments, 1 étant la plus forte et 5 la plus faible). Vulnérabilités Utilisation 6% 14% 31% 25% 23% des médias sociaux Utilisation 10% 18% 28% 21% 23% du cloud computing Utilisation 9% 23% 31% 22% 15% d’appareils mobiles Mesures de sécurité de l’information 15% 19% 31% 19% 16% ou architectures obsolètes Accès non autorisés 10% 22% 36% 20% 12% Employés non sensibilisés 18% 26% 32% 14% 9% ou négligents Menaces Catastrophes naturelles 9% 11% 23% 22% 35% (tempêtes, inondations, etc.) Espionnage industriel 9% 14% 24% 22% 31% Cyberattaques (vol de propriété 13% 17% 26% 22% 21% intellectuelle ou de données) Attaques internes 9% 18% 32% 23% 19% (ex : par des salariés mécontents) Cyberattaques 15% 18% 25% 19% 23% (vol d’informations financières) Cyberattaques pour perturber 15% 18% 29% 19% 19% ou endommager l’entreprise Fraude 12% 22% 28% 19% 19% Spams 9% 19% 36% 22% 13% Attaques zéro-day 16% 19% 32% 16% 17% Phishing 19% 25% 29% 16% 12% Logiciels malveillants 16% 27% 30% 18% 9% (ex : virus, cheval de Troie) Key: 1 2 3 4 5 * « Menace » est définie comme la possibilité d’une action hostile provenant d’acteurs de l’environnement externe. ** « Vulnérabilité » est définie comme une exposition à la possibilité d’être attaqué ou lésé. Cybersécurité : créer les conditions de la confiance dans le monde digital | 3

Quand digital rime avec cyberattaque. Evolution des menaces et vulnérabilités entre 2014 et 2015 : 57% VS 44% 44% ont le sentiment d’être vulnérables à cause de salariés non sensibilisés, contre 57% en 2014. 52% VS 34% Seuls 34% s’estiment vulnérables à cause de systèmes obsolètes, contre 52% en 2014. 39% VS 44% 44% considèrent que le phishing constitue la plus grande menace, contre 39% en 2014. 43% considèrent que les logiciels malveillants 34% VS 43% représentent l’une des plus grandes menaces, contre 34% en 2014. 2014 2015 Des pistes pour freiner les cyberattaques Pour mettre en œuvre une politique de cybersécurité adaptée, il est recommandé de s’appuyer sur les grands principes de gestion des risques avec lesquels les entreprises sont souvent 42% plus familières. des entreprises interrogées affirment que la connaissance de tous leurs actifs est nécessaire pour assurer une cybersécurité efficace 4 | Cybersécurité : créer les conditions de la confiance dans le monde digital

Les principes clés … appliqués aux cyber-risques de la maîtrise des risques … 1 Se concentrer sur ce qui compte le plus Déterminer les informations critiques S’aligner sur votre culture d’entreprise Identifier les actifs les plus vulnérables aux et des risques cyberattaques 2 Mesurer et établir des tableaux de bord Rendre les cyber-risques plus tangibles Inclure des éléments qualitatifs et des mesures Définir clairement les risques et les métriques quantitatives associées 3 Adopter une vision globale Aligner la stratégie avec la cartographie Couvrir tous les types de risques, actuels ou des risques existante à venir Risques financiers, opérationnels, règlementaires, consommateurs, de réputation, etc. 4 Définir une appétence aux risques Rendre les cyber-risques pertinents Définition d’une appétence aux risques pour pour chacun des métiers chacune des divisions opérationnelles de Relier les risques de niveau opérationnel aux l’entreprise et des différents types de risques divisions opérationnelles et à leurs informations sensibles 5 Intégrer la stratégie aux plans d’activité Tenir compte de l’appétence aux risques En parallèle de la demande croissante de preuves dans les décisions d’investissements de la part des régulateurs Etablir des priorités d’investissements, autoriser les divisions opérationnelles à prendre localement des décisions éclairées

Comment se déroulent les cyberattaques ?

Identifier les scénarii catastrophe Être préparé aux cyberattaques, c’est avant tout avoir une connaissance claire de son environnement (interne et externe) et des dommages potentiels en cas d’incident. Construire des scénarii catastrophe répond à ce besoin, et permet d’établir des priorités parmi les mesures à mettre en place. Exemple de scénario d’attaque : Phase de collecte de renseignements durant 6 mois Ingénierie sociale avancée Parfaite connaissance (ex : spear phishing, attaque des faiblesses de l’entreprise de « point d’eau ») – au niveau des personnes, des processus, des technologies Les effets cumulés sur une entreprise peuvent être colossaux Ventes Chaînes de R&D Comptes distribution fournisseurs Altération des chiffres Attaque des chaînes Vol de projets et de Fraudes récurrentes sur les de ventes et du système de distribution et de produits à fort potentiel règlements fournisseurs de communication commandes en ligne de développement conduisant à des pertes provoquant un manque conduisant à la dégradation et à forte marge, financières se chiffrant en à gagner de 2 à 3% dans de la production et des provoquant la perte de millions de dollars par an. la période précédant les recouvrements de créances. ventes et d’avantages Perte de données à reporting trimestriels ou Conséquence : 2 à 3% de concurrentiels caractère personnel annuels résultat perdu par rapport conduisant à la perte de aux projections confiance du public, ainsi qu’à des coûts juridiques additionnels Impact sur la valeur Résultats artificiels contraints Marché L’entreprise est approchée par >Perte de 30% de valeur comptable La valeur du marché est des bénéficiaires de l’attaque artificiellement diminuée souhaitant racheter l’entité Impact des rumeurs sur les réseaux sociaux entraînant l’achat d’actions à affectée à une valeur contrainte >Perte de 50% de la valeur de marché une valeur contrainte Impacts sur les décisions stratégiques, les fusions/acquisitions et sur la position concurrentielle Cybersécurité : créer les conditions de la confiance dans le monde digital | 7

Comment se déroulent les cyberattaques ? Sont-ils déjà présents ? Les cybercriminels peuvent passer des mois au sein informations volées, mais aussi de les vendre ou de de votre entreprise pour collecter des informations les utiliser, entraînant une plus grande dispersion du utiles à une future attaque. S’entourant de risque. Les signes d’infractions étant très subtils, ils précautions, ils optent souvent pour des tactiques ne sont souvent pas signalés par les opérationnels, de diversion, afin de détourner votre attention ce qui rend la détection d’une faille de sécurité de leurs objectifs. Il leur arrive de conserver les particulièrement difficile. Selon vous, quelle est la plus grande source d’attaques potentielle ? 59% pensent que les organisations criminelles 53% VS 59% représentent la source d’attaques la plus probable aujourd’hui, contre 53% en 2014. 54% pensent que les hacktivistes représentent 46% VS 54% l’une des sources d’attaques les plus probables, contre 46% en 2014. 2014 2015 Organisations criminelles 59% Employés 56% Hacktivistes 54% Hackers isolés 43% Sous-traitants travaillant 36% sur site Hackers parrainés par des 35% Etats tiers Fournisseurs 14% Autres partenaires 13% commerciaux Clients 12% Autres 3% 8 | Cybersécurité : créer les conditions de la confiance dans le monde digital

Détecter les signaux faibles Être capable de détecter les incidents le plus tôt possible est une étape cruciale. Elle n’est rendue possible qu’à l’aide d’un système radar complet qui couvre un ensemble d’indicateurs et qui peut lancer des alertes en cas de dépassement de certains seuils. Quelques exemples d’événements qu’un radar devrait détecter : • Attaques très visibles sans but évident, tel que DDoS (Distributed Denial of Service), ou vol d’informations sans utilisation évidente • Mouvements inattendus du cours des actions • Lancement concurrent de nouveaux produits dont la similarité en termes de R&D, de propriété intellectuelle et de date de lancement est frappante • Opérations de fusions/acquisitions perturbées : offres concurrentes qui présentent des similitudes • Client ou partenaire au comportement inhabituel • Employé au comportement inhabituel • Perturbations opérationnelles sans cause évidente • Anomalies dans le traitement des paiements ou le système de commandes • Bases de données client ou utilisateur montrant des informations incohérentes 56% VS 36% 2014 2015 36% n’ont pas confiance en leur capacité à détecter des cyberattaques sophistiquées, contre 56% en 2014. C’est une amélioration significative, mais il faut garder à l’esprit que le niveau de sophistication augmente continuellement Cybersécurité : créer les conditions de la confiance dans le monde digital | 9

Comment se déroulent les cyberattaques ? Pourquoi rester en alerte ? 56% La révolution digitale impose aux entreprises de se tenir sans cesse sur leurs gardes pour être en mesure de détecter des attaques et de répondre à d’éventuels incidents. Cependant, après plusieurs années des entreprises interrogées de vigilance constante, nombreuses sont les entreprises qui se considèrent que la prévention des demandent si leurs investissements seront un jour suffisants. fuites ou des pertes de données est Certaines d’entre elles pensent avoir résolu le problème grâce des une priorité majeure dans les 12 dispositifs permettant de contrer des attaques classiques (comme prochains mois le phishing par exemple) ou bien de combler les failles les plus importantes (le système de gestion des identités et des accès par exemple). En réalité, la situation peut être en train de se dégrader. 49% Si la plupart des entreprises ont posé les bases d’une cybersécurité adéquate, elles n’ont pas toutes réalisé que ces mesures ne peuvent constituer que les prémices d’une politique bien plus vaste des entreprises interrogées et proactive, car le monde digital nécessite des investissements considèrent que les risques et continus sur le sujet. menaces internes constituent Une entreprise pourra considérer qu’elle a mis en place des mesures une priorité moyenne, tandis que 56% déclarent que les salariés de cybersécurité suffisantes lorsqu’elle sera capable de rester en représentent l’une des sources les permanence dans les limites de l’appétence aux risques qu’elle aura plus probables d’attaques définies (risk appetite). Démontrer l’apport des investissements en matière de cybersécurité peut se révéler difficile. Néanmoins, lorsqu’une entreprise atteint 50% un fort degré de maturité en la matière, il lui devient plus aisé de justifier une vigilance continue, en démontrant l’apport et la valeur des investissements : à chaque fois que le centre des opérations des entreprises interrogées de sécurité (SOC) identifie une attaque potentielle, l’évaluation des considèrent les réseaux sociaux coûts engendrés par les différents scénarii d’attaques (notamment le comme une priorité faible moins favorable) permet de justifier les investissements consentis. 84% 70% 62% ont prévu un budget ont prévu un budget ont prévu un budget identique ou inférieur pour identique ou inférieur identique ou inférieur pour protéger leur propriété pour la mise en place répondre aux incidents intellectuelle des dispositifs de sécurité (antivirus, patching, chiffrement, etc.) 7% 49% des organisations déclarent qu’une augmentation déclarent avoir un de 25% de leur budget est nécessaire programme de réponse pour protéger leurs informations robuste aux incidents les plus sensibles 10 | Cybersécurité : créer les conditions de la confiance dans le monde digital

Pourquoi votre entreprise est-elle toujours aussi vulnérable ?

Pourquoi votre entreprise est-elle toujours aussi vulnérable ? Les « 3 A » (Activer, Adapter et Anticiper) sont les trois piliers d’une démarche proposée par EY pour accroître la maturité des entreprises en matière de cybersécurité. Activer C’est l’étape durant laquelle une entreprise établit • Tester les plans de continuité de l’activité et les une base solide de cybersécurité pour protéger procédures de réponse aux incidents son environnement immédiat. Quelques exemples • Concevoir et mettre en place des dispositifs de d’actions : cybersécurité • Mener une évaluation de la sécurité et construire Aujourd’hui, les cyber-risques étant devenus plus une feuille de route sophistiqués, deux tâches fondamentales doivent • Obtenir le soutien du comité exécutif être poursuivies : • Revoir et mettre à jour les politiques, les • Définir l’écosystème de l’entreprise procédures et les standards de sécurité • Sensibiliser les salariés à la cybersécurité • Mettre en place un Centre des Opérations de Sécurité (Security Operations Center) Où en sont les entreprises en 2015 ? Pas suffisament de mesures prises dans l’environnement actuel Pourcentage de répondants qui pensent que leur Pourcentage de répondants qui pensent que leur fonction « sécurité de l’information » répond fonction « sécurité de l’information » répond parfaitement aux besoins de l’entreprise partiellement aux besoins, mais qui tentent de l’améliorer 13% VS 12% 63% VS 67% Pourcentage de répondants qui n’ont pas Pourcentage de répondants qui n’ont pas de SOC* de programme IAM* 42% VS 47% 12% VS 18% 2014 2015 IAM * = Identity and Access Management program SOC * = Security Operations Center 12 | Cybersécurité : créer les conditions de la confiance dans le monde digital

Adapter Considérant que les mesures fondamentales de sécurité vont devenir moins efficaces au fil du temps, cette étape se concentre sur le caractère changeant de l’environnement. Elle met en lumière les actions nécessaires pour que les entreprises puissent tenir le rythme face aux exigences et aux évolutions du marché. Aujourd’hui, pour les entreprises, s’adapter c’est : • Concevoir un programme de transformation pour améliorer leur maturité en matière de cybersécurité, en utilisant une aide externe, afin d’accélérer sa mise en place, d’introduire les meilleures pratiques et d’assurer la gestion du projet • Décider de ce que l’on maintient en interne et de ce que l’on externalise • Définir une matrice RACI (Responsible Accountable Consulted Informed ou matrice des responsabilités) pour la cybersécurité Où en sont les entreprises en 2015 ? Pas assez d’adaptation au changement Pourcentage de répondants qui envisagent d’investir davantage dans la transformation de leurs systèmes de sécurité... 54% 25% VS 28% des entreprises n’ont pas de rôle dédié aux technologies émergentes et à leur impact au sein de leur fonction sécurité ... ou qui envisagent de conserver un budget équivalent Pourcentage de répondants qui affirment que le manque de ressources qualifiées est un frein à la contribution de la fonction sécurité et à l’apport de valeur 64% VS 61% 53% VS 57% 2014 2015 Cybersécurité : créer les conditions de la confiance dans le monde digital | 13

Pourquoi votre entreprise est-elle toujours aussi vulnérable ? Anticiper Pour cette étape, l’entreprise doit développer de manière proactive des tactiques pour détecter et neutraliser de potentielles cyberattaques. Elle doit se concentrer sur l’environnement futur et avoir davantage confiance en sa capacité à gérer des menaces prévisibles, mais aussi des attaques inattendues. Peu d’entreprises sont à ce niveau, et aujourd’hui il est nécessaire pour elles de : • Concevoir et mettre en place une stratégie de veille sur les cyber-menaces (Cyber Threat Intelligence) • Définir et intégrer un écosystème global de cybersécurité • Avoir une approche cyber-économique • Utiliser des techniques d’analyse de données pour les investigations, ainsi que la veille sur les cyber-menaces • Se préparer au pire en développant une stratégie complète de réponse aux intrusions Où en sont les entreprises en 2015 ? Une approche proactive trop lente pour neutraliser les cyberattaques sophistiquées Pourcentage des répondants qui étendent leur périmètre de cybersécurité à leurs fournisseurs et au-delà 8% VS 12% 36% des répondants n’ont pas de programme de veille dédié à la détection des menaces Pourcentage des répondants qui affirment que le management de la menace et de la vulnérabilité est une priorité moyenne voire faible 66% VS 63% 14 | Cybersécurité : créer les conditions de la confiance dans le monde digital

Se tourner vers la « défense active »

Se tourner vers la « défense active » Qu’est-ce que la « défense active » ? Qu’est-ce qui doit être Les pouvoirs publics et l’armée ont la capacité de développer des amélioré ? offensives pour lutter contre les cyberattaques. Ces mesures restent encore inadaptées pour les entreprises : elles les exposeraient à se trouver dans une zone encore mal définie par la loi. Cependant, cela ne signifie pas qu’elles doivent rester passives. Avoir une connaissance profonde des cyber-risques qui portent sur vos ressources critiques et identifier ce que les assaillants souhaitent 24% obtenir, vous permet d’établir une défense ciblée qui passe par la définition de vos actifs, ressources humaines et domaines/métiers des entreprises interrogées n’ont pas prioritaires, ainsi que par le renforcement de vos systèmes. De plus, de programme d’identification des l’évaluation des menaces spécifiques à votre organisation vous permet vulnérabilités de mieux identifier les acteurs de ces menaces et les méthodes qu’ils pourraient utiliser, afin de les intégrer dans des scénarii, et ainsi mieux juger de leur niveau de préparation. La mise en place d’un centre des opérations de sécurité avancé (SOC) et d’un programme de veille (Cyber Threat Intelligence) vous permettra de mener une défense active en détectant et éliminant toute anomalie, qu’elle soit le fait de simples « visiteurs » ou de hackers confirmés. Comment construire 34% une « défense active » ? Contrairement à ce qu’offrent les autres services de sécurité, la possèdent un programme « défense active » n’améliore pas une zone fonctionnelle spécifique d’identification des vulnérabilités et ne met pas en place de nouvelles technologies. Elle intègre et informel et réalisent régulièrement renforce les capacités de réponses de l’entreprise pour atteindre une des tests automatisés plus grande efficacité contre les attaques persistantes. La « défense active » devrait inclure une évaluation du risque dans le cadre d’une intrusion majeure, et le développement d’un panel de réponses centralisé. La « défense active » est-elle appropriée à votre organisation ? Si la réponse à l’une de ces questions est positive, il vous sera sans doute utile de considérer cette approche : 27% • Nous avons un centre des opérations de sécurité avancé (SOC), affirment que les politiques de mais ne parvenons toujours pas à détecter les attaquants de haut protection des données et les niveau. procédures sont informelles • Nous avons un centre des opérations de sécurité avancé (SOC), ou que des politiques ad hoc mais rencontrons toujours des intrusions importantes. sont mises en place • Nous avons un centre des opérations de sécurité avancé externalisé, mais notre propriété intellectuelle et nos systèmes ne sont pas parfaitement sécurisés. 16 | Cybersécurité : créer les conditions de la confiance dans le monde digital

Conduisez votre entreprise sur la voie du progrès Peu d’entreprises possèdent aujourd’hui les Cette évaluation doit être large, de haut niveau, compétences appropriées et les ressources et intégrer parfaitement toutes les spécificités des en interne pour sécuriser efficacement leurs domaines spécialisés. C’est à cette étape qu’EY peut informations et optimiser la performance de leurs vous apporter son soutien : la constitution de activités. Quel que soit leur secteur d’activité, elles tableaux de bord permet de mettre en lumière peuvent tirer profit d’une évaluation objective de ce qu’il est nécessaire de faire pour soutenir leurs structures et de leur programme de sécurité l’évaluation en cours, la transformation et la de l’information. durabilité de la stratégie de sécurité de l’information. L’efficacité de la sécurité de l’information Quels sont les principaux obstacles à la transformation des systèmes de sécurité ? 62% 57% Contraintes budgétaires Manque de ressources qualifiées

EY | Audit | Conseil | Fiscalité et Droit | Transactions Contacts Pascal Antonini EY est un des leaders mondiaux de l’audit, du conseil, de Associé, Ernst & Young et Associés la fiscalité et du droit, des transactions. Partout dans le Tél. : +33 1 46 93 70 34 monde, notre expertise et la qualité de nos services Email : [email protected] contribuent à créer les conditions de la confiance dans l’économie et les marchés financiers. Nous faisons grandir Marc Ayadi les talents afin qu’ensemble, ils accompagnent les Associé, Ernst & Young Advisory organisations vers une croissance pérenne. C’est ainsi que nous jouons un rôle actif dans la construction d’un monde Tél. : +33 1 46 93 73 92 plus juste et plus équilibré pour nos équipes, nos clients et Email : [email protected] la société dans son ensemble. EY désigne l’organisation mondiale et peut faire référence à l’un ou plusieurs des membres d’Ernst & Young Global Limited, dont chacun est une entité juridique distincte. Ernst & Young Global Limited, société britannique à responsabilité limitée par garantie, ne fournit pas de prestations aux clients. Retrouvez plus d’informations sur notre organisation sur www.ey.com. © 2015 Ernst & Young Advisory Tous droits réservés. Studio EY France - 1511SG316 Crédit photo : GettyImages DE Aucune Document imprimé conformément à l’engagement d’EY de réduire son empreinte sur l’environnement. Cette publication a valeur d’information générale et ne saurait se substituer à un conseil professionnel en matière comptable, fiscale ou autre. Pour toute question spécifique, vous devez vous adresser à vos conseillers. ey.com/fr