ebook rsa cybersecurity poverty index (tm) 2015 (french)

14
RSA CYBERSECURITY POVERTY INDEX 2015

Upload: yvanka-guertin

Post on 14-Apr-2017

39 views

Category:

Education


0 download

TRANSCRIPT

RSA CYBERSECURITY POVERTY INDEX™

2015

Cybersecurity Poverty Index

2

Nous avons le plaisir de vous présenter la première édition du rapport de RSA sur la pauvreté en matière de cybersécurité : le Cybersecurity Poverty Index™.Le rapport Cybersecurity Poverty Index est le fruit d’une auto-évaluation de maturité annuelle réalisée par des entreprises de toutes tailles, de secteurs variés et du monde entier. L’évaluation a été créée à l’aide du Cybersecurity Framework (CSF) du NIST (National Institute of Standards and Technology). Plus de 400 professionnels de la sécurité dans 61 pays se sont prêtés à l’évaluation 2015.En créant et en menant cette étude internationale, nous nous sommes fixé deux objectifs. Premièrement, nous voulions mesurer les capacités de gestion des risques et de sécurité des informations de la population mondiale dans son ensemble. En tant que leader du secteur et autorité en la matière, RSA se voit souvent demander « pourquoi l’on constate toujours des incidents de sécurité dommageables ». Nous pensons que l’un des principaux facteurs est un décalage fondamental entre les capacités des uns et des autres, et nous espérons avec cette étude mettre en lumière et quantifier ce décalage. Deuxièmement, nous souhaitions donner aux entreprises le moyen de tester leurs capacités par rapport à celles de leurs homologues et à une norme concrète reconnue au niveau international. Notre objectif est qu’elles puissent ainsi déterminer les améliorations à apporter.

PRÉSENTATION

Cybersecurity Poverty Index

3

MÉTHODOLOGIELes entreprises ont mesuré leurs capacités en répondant à 18 questions portant sur les cinq catégories principales définies par le Cybersecurity Framework : Identification, protection, détection, intervention et restauration.

L’évaluation s’appuyait sur une échelle de notation à 5 points, où 1 signifiait que l’entreprise n’était pas dotée de capacités dans un domaine précis et où 5 signifiait qu’elle avait recours à des pratiques éprouvées dans un domaine précis.

• Négligent : ne pas s’appuyer sur des bonnes pratiques en matière de sécurité et négliger de protéger ses actifs IT de manière adéquate.

• Insuffisant : faire preuve d’un niveau de protection et de sécurité inadapté, et par conséquent, ne pas assumer ses obligations en matière de protection de ses actifs IT.

• Fonctionnel : des bonnes pratiques en matière de sécurité ont été mises en œuvre de manière générale. L’entreprise est donc dans la bonne direction en matière de protection de ses actifs IT.

• Développé : l’entreprise s’appuie sur un programme de sécurité bien établi et est bien placée pour en consolider l’efficacité.

• Avancé : l’entreprise dispose d’un programme de sécurité de haute qualité et est extrêmement bien préparée pour défendre ses actifs IT en cas de menace avancée.

Cybersecurity Poverty Index

4

GLOBAL

Globalement, l’étude montre qu’environ 75 % des entreprises interrogées subissent une exposition importante au risque informatique (leurs capacités globales se situant en deçà de la catégorie « développées »).

Un quart seulement des entreprises interrogées indiquent qu’elles possèdent une stratégie de sécurité mature (« développée » ou plus) et 5 % seulement disposent de capacités « avancées ».

Exposition importante au risque

informatique : 75 %

Fonctions avancées : 5 %

Stratégies de sécurité matures : 20 %

Cybersecurity Poverty Index

5

PAR TYPE DE FONCTIONOn constate sans surprise que le niveau déclaré de maturité le plus élevé concerne le domaine de la protection. Cette fonction est la principale composante d’une approche classique qui se révèle de moins en moins efficace dans la lutte contre les cyberattaques et les campagnes d’attaques systématiques les plus sophistiquées. Quant à l’intervention en cas d’incident, c’est-à-dire la fonction qui, avec la détection, fait toute l’efficacité des stratégies de sécurité actuelles, elle enregistre le niveau de maturité le plus bas.

Deux tiers ou presque des entreprises interrogées déclarent leurs capacités insuffisantes (en deçà de la catégorie « développées ») dans toutes les catégories (identification, protection, détection, intervention et restauration).

Identi�cation Protection Détection Réponse Restauration

71 % 71 % 72 % 72 %66 %

pourcentage d’entreprises interrogées disposant de capacités insusantes

Niveau moyen de capacités

Cybersecurity Poverty Index

6

PAR TAILLE D’ENTREPRISELes résultats révèlent une chose surprenante : la maturité des stratégies de sécurité n’est pas forcément liée à la taille de l’entreprise.

83 % des entreprises de plus

10 000 employés interrogées dans le

cadre de cette enquête sont mal préparées face

aux menaces actuelles (maturité globale en

deçà du niveau « développée »).

0 %

10 %

20 %

30 %

40 %

50 %

60 %

70 %

80 %

90 %

100 %

Moins de 1 000 Entre 1 000 et  10 000 Plus de 10 000

79 %68 %

83 %

6

Cybersecurity Poverty Index

7

PAR NOMBRE D’INCIDENTS

Deux tiers des entreprises interrogées font état d’incidents qui ont eu un impact négatif sur leurs opérations métiers au cours des 12 derniers mois, mais 22 % seulement d’entre elles étaient considérées comme ayant une stratégie de sécurité mature.Cela indique l’incapacité des entreprises à améliorer suffisamment le niveau de maturité pour réduire les risques et confirme au contraire la capacité de leurs adversaires à exploiter les lacunes des stratégies de défense classiques.

Impact négatif :

66 %

Considérées comme matures : 22 %

7

Cybersecurity Poverty Index

8

PAR NOMBRE D’INCIDENTS

Les entreprises qui sont plus régulièrement confrontées à des incidents de sécurité sont nettement plus matures que leurs pairs.

Celles qui ont signalé 40 incidents de sécurité ou plus au cours des 12 derniers mois ont 2,5 fois plus de chances de bénéficier de fonctions globalement « développées » ou « avancées » que celles qui en signalent entre 1 et 10.

Malgré cet « aguerrissement », 63 % des entreprises ayant déclaré plus de 40 incidents lors de l’enquête considèrent leur niveau de maturité comme insuffisant.

8

40 incidents de sécurité ou plus au cours des

12 derniers mois

Entre 1 et 10 incidents de sécurité au cours des 12 derniers mois

36 %

11 %

2,5 fois plus de chances de bénéficier de fonctions « développées » ou « avancées »

Cybersecurity Poverty Index

9

PAR ZONE GÉOGRAPHIQUELes entreprises de la zone APJ font état des stratégies de sécurité les plus matures, puisque 39 % sont considérées comme développées ou avancées, contre 24 % pour les Amériques et 26 % pour la région EMEA.

0 %

10 %

20 %

30 %

40 %

50 %

Négligent Insu�sant Fonctionnelle recommandations Avantages

AmériquesAPJEMEA

Cybersecurity Poverty Index

10

0 %

10 %

20 %

30 %

40 %

50 %

60 %

70 %

80 %

90 %

100 %

Télécommunications Services �nanciers Administration

$

50 %

34 %

18 %

PAR SECTEURLes opérateurs d’infrastructures critiques, qui constituaient à l’origine le public cible du CSF, ont d’importants progrès à faire en ce qui concerne leur niveau de maturité.

Ce sont les entreprises du secteur des télécommunications qui enregistrent le plus haut niveau de maturité : 50 % des entreprises interrogées ont des capacités développées ou avancées.

Les services financiers viennent en deuxième place, le niveau développé ou avancé correspondant à 34 % des entreprises de ce secteur.

Les administrations arrivent dernières : 18 % seulement se classent au niveau développé ou avancé.

Cybersecurity Poverty Index

11

La fonction la moins développée sur l’ensemble de cette étude est la capacité des entreprises à cataloguer, évaluer et atténuer les risques. 45 % des entreprises interrogées décrivent leurs capacités dans ce domaine comme non existantes ou développées selon les besoins, et 21 % seulement les jugent matures ou maîtrisées.

DÉTAIL DES FONCTIONS

L’incapacité à évaluer les risques fait qu’il est très difficile de hiérarchiser les activités de sécurité et les investissements dans ce domaine, alors que c’est là une priorité pour toute entreprise désireuse d’améliorer ses capacités en matière de sécurité.

La gestion et la gouvernance des identités et de leur accès aux ressources informatiques est considérée comme la fonction la plus développée, 38 % des entreprises interrogées jugeant leurs capacités matures ou maîtrisées.

Même si beaucoup d’entreprises reconnaissent que la gestion des identités est l’un des aspects les plus importants de leur stratégie de sécurité, il y a encore des progrès à faire globalement. Les identités restent l’un des vecteurs privilégiés des attaques avancées.

45 %

21 %

38 %

Cybersecurity Poverty Index

12

DÉTAIL DES FONCTIONS

Pour pouvoir se développer et mûrir, il est impératif que les entreprises sachent détecter les attaques et y réagir. L’absence d’intervention efficace est l’une des raisons majeures pour lesquelles beaucoup d’incidents aboutissent à des pertes ou des dommages importants.

Les fonctions de détection des menaces (« surveillance de l’activité au niveau du réseau, des terminaux, des serveurs et des applications afin de détecter d’éventuels problèmes de sécurité ») sont le plus souvent immatures et moins développées que les autres fonctions : 35 % des entreprises ayant participé à cette enquête décrivent leurs propres capacités comme non existantes ou développées selon les besoins.

Les fonctions d’intervention en cas d’incident et de restauration sont considérées par beaucoup comme sous-développées, avec une moyenne de 28 % des entreprises interrogées pour qui elles sont matures ou maîtrisées.

La coordination des activités d’intervention en cas d’incident est classée globalement au second rang quant au développement : 42 % des entreprises décrivent leurs fonctions de coordination internes et externes comme non existantes ou développées selon les besoins.

28 %

35 %

42 %

Cybersecurity Poverty Index

13

CONCLUSIONLes résultats parlent d’eux-mêmes. Il reste du travail à faire pour améliorer les capacités de gestion des risques et de cybersécurité, quelle que soit la taille des entreprises, leur zone géographique ou leur secteur d’activité.

Deux aspects importants sont à retenir. Tout d’abord, le principal point faible des entreprises interrogées dans le cadre de cette étude est la capacité à mesurer, évaluer et atténuer les risques qui menacent la cybersécurité, ce qui rend difficile, voire impossible, la hiérarchisation des activités et des investissements de sécurité.

Deuxièmement, notre enquête montre que les entreprises continuent de faire passer la protection avant la détection et l’intervention, bien que la protection et la prévention soient aujourd’hui fondamentalement incapables de stopper à elles seules les cybermenaces les plus graves. RSA est convaincu que la capacité à détecter les cyberattaques et à réagir avant qu’elles n’entraînent des dégâts ou des pertes est l’aspect à développer et affiner en priorité.

C’est souvent en prenant conscience de la nécessité de s’améliorer que l’on précipite le changement. Ainsi, les conclusions de ce premier bilan devraient fortement inciter la majorité des entreprises à mettre au point un projet d’amélioration ciblé.

Si vous avez répondu à notre enquête cette année, nous vous en remercions et espérons pouvoir compter à nouveau sur votre participation à l’avenir. Dans le cas contraire, nous vous invitons à répondre aux questions pour obtenir un benchmark qui vous aidera à développer les capacités de votre entreprise.

Participez dès aujourd’hui à l’enquête

EMC2, EMC, le logo EMC, RSA et le logo RSA sont des marques déposées ou des marques commerciales d’EMC Corporation aux États-Unis et dans d’autres pays. © Copyright 2015 EMC Corporation. Tous droits réservés. Publié en France. 04/15 eBook H14262

Cybersecurity Poverty Index