les entreprises européennes sont elles bien armées pour affronter les cyber attaques

www.steria.com

Réalisé en collaboration avec Pierre Audoin Consultant

Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ?

Un Rapport Steria

2 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ? www.steria.com www.steria.com Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques? | 3

La révolution digitale a ouvert de nouveaux espaces. Elle a superposé à nos environnements physiques des environnements virtuels ouverts, collaboratifs et connectés. Elle a permis la déma-térialisation, la mobilité, le cloud et les réseaux sociaux. Mais elle a aussi ouvert de nouveaux hori-zons aux malveillances.

Les cyber risques sont plus importants que jamais. Les types d’attaques se diversifient, se complexifient, se professionnalisent et se multiplient de jour en jour, avec des impacts de plus en plus lourds en termes business, financiers, d’atteinte à la compétitivité ou à la réputation des entreprises. Ainsi, le nombre mondial d’attaques ciblées a crû de plus de 40% en 2012. Les cyber attaques et la fraude en ligne ont généré respectivement 110 milliards de dollars et plus de 200 milliards de dollars de pertes financières.

Dans ce contexte, nos entreprises ont-elles pris la pleine mesure des attaques auxquelles elles vont de plus en plus avoir à faire face? Sont-elles correctement armées pour supporter des crises majeures ? Même s’il est illusoire d’envisager une protection totale, ont-elles mis en place les moyens, solutions et gouvernances nécessaires pour être au mieux à même de prévenir, détecter et protéger leur patrimoine informationnel et leurs avantages compétitifs? Ont-elles accès aux bonnes ressources et aux bonnes offres de la part des industriels de la sécurité ?

L’Etude réalisée par Steria auprès de 270 entreprises et entités publiques en Europe révèle comment les entreprises européennes se situent aujourd’hui en matière de cyber sécurité et anticipent leurs évolutions à court et moyen termes.

Etre correctement armés pour affronter la cyber guerre sans pour autant tout alourdir et complexifier, est devenu essentiel pour saisir toutes les opportunités offertes par l’univers digital sous toutes ses formes.

Sommaire

Patricia LangrandExecutive Vice President

Group Business Development & Marketing, Steria

Florent SkrabaczReponsable de l’Activité

Sécurité, Stéria

2 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ? www.steria.com

AVANT-PROPOS 03

OBJECTIFS ET METHODOLOGIE 04

EXECUTIVE SUMMARY 06

PARTIE 1 : L’ECOSYSTÈME DES MENACES, QUELS CHANGEMENTS ? 11 Les entreprises européennes redoutent bien plus les attaques internes 12 Le crime organisé et les attaques d’Etat inquiètent encore peu les entreprises européennes 13 Les vols de données sont au centre de toutes les préoccupations et le resteront 15

PARTIE 2 : LES STRATÉGIES DE SÉCURITÉ DEVIENNENT GLOBALES 16 Les stratégies de sécurité sont définies et ont des ambitions étendues 17 Le positionnement à haut niveau de la sécurité dans les entreprises favorise des stratégies ambitieuses

PARTIE 3 : LA SÉCURITÉ DISPOSE DE TOUJOURS PLUS DE MOYENS 19 Les arbitrages budgétaires restent en faveur de la sécurité 21 Les entreprises restent optimistes sur leur capacité à attirer des talents 22

PARTIE 4 : LA MISE EN PLACE DES SOLUTIONS DE SÉCURITÉ EST EN PLEINE EXPANSION 24

PARTIE 5 : LA MESURE DE LA PERFORMANCE DOIT ENCORE PROGRESSER 27

PARTIE 6 : L’EXTERNALISATION DEVIENT UNE ALTERNATIVE 29 L’externalisation gagne des adeptes, même si aucun modèle ne s’impose à ce jour 30 Perspectives 31 Face à la sensibilité des activités de sécurité, les industriels sont invités à réviser leur copie 33

PARTIE 7 : LA SÉCURITÉ EN QUESTION : LES ENTREPRISES SONT-ELLES MIEUX

PROTÉGÉES ? 34

Les entreprises assurent peu leurs risques de cyber sécurité 36

CONCLUSIONS ET RECOMMANDATIONS 37


Banque Assurance Industrie

Secteur public Distribution Services

Telecom Transport Énergie

12%

6%11%

12%

6%

Steria, leader européen des services numériques aux entreprises et aux administrations, accompagné par Pierre Audoin Consultant (PAC), a publié un rapport indépendant sur la cyber sécurité. Ce rapport est basé sur une étude menée auprès de 270 décideurs en sécurité. Ils représentent des petites et moyennes entreprises ainsi que des Grands Comptes de tous secteurs d’activité situés en France, au Royaume-Uni, en Allemagne et en Norvège. Nous entendrons par « entreprises » à la fois des structures privées et publiques. Les « grandes entreprises » comptent plus de 5000 collaborateurs.

L’ensemble des données chiffrées utilisées dans ce rapport est issu de cette étude, sauf mention contraire. L’étude se compose d’une phase quantitative et d’une phase qualitative. La phase quantitative repose sur 250 entretiens téléphoniques répartis de la manière suivante : 70 interviews en France, 70 au Royaume-Uni, 70 en Allemagne et 40 en Norvège. Par ailleurs, PAC a procédé à 20 entretiens approfondis en face-à-face.

Basés sur le même questionnaire que les entretiens quantitatifs, ils ont pu permettre aux décideurs en sécurité de grandes entreprises et d’organisations gouvernementales spécialisées, de développer leur stratégie de cyber sécurité et les modalités de sa mise en œuvre.

Ce rapport met en perspective les stratégies et modèles de cyber sécurité à un horizon de trois ans. L’objectif est de montrer la réalité de la perception des menaces par les entreprises européennes et l’adéquation des moyens mis en œuvre pour y faire face.

Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ?

Figure 3 : Répartition par secteur d’activités (n = 270)

Norvège France Royaume-Uni Allemagne

Entre 500 et 1000 salariés Entre 1000 et 5000 salariés Plus de 5000 salariés

62%

36%

2%

78%67% 60%

Figure 2 : Répartition par taille d’entreprise et par pays (n = 270)


10%

27%

63%

Figure 1 : Répartition par taille d’entreprise (n = 270)

22%33%40%

6%

6%

20%

21%


La révolution digitale a ouvert de nouveaux espaces. Mais elle a aussi donné de nouveaux horizons aux malveillances et les cyber risques sont plus grands que jamais.

Dans ce contexte, nos entreprises ont-elles pris la pleine mesure des attaques auxquelles elles vont de plus en plus avoir à faire face? Sont-elles correctement armées pour supporter des crises majeures? Ont-elles accès aux bonnes ressources et aux bonnes offres de la part des industriels de la sécurité ? Steria, leader européen des services numériques aux entreprises et aux

administrations, accompagné par Pierre Audoin Consultant (PAC), publie un rapport indépendant sur la cyber sécurité. Ce rapport, basé sur une enquête menée auprès de 270 décideurs en sécurité en France, au Royaume-Uni, en Allemagne et en Norvège, lève le rideau pour révéler comment les entreprises européennes se situent aujourd’hui en matière de cyber sécurité et anticipent leurs évolutions à court et moyen termes.

Les principaux enseignements issus de l’enquête sont les suivants :

Les enntreprrises europpéennnes sont coonfianttes sur leur avenir een maatière de séécurité tant ssur le plan de la dispoonibiliité dees ressouurces que ddes budgetts et dde leuur capaccité à supporter des risques majjeurs2.Les entreprises européennes affichent une sérénité élevée dans l’éventualité d’une crise majeure de sécurité, 91% d’entre elles s’estiment prêtes à y faire face.

Une grande entreprise sur cinq positionne le manque de ressources expérimentées en sécurité parmi ses principaux risques mais 85% des répondants anticipent un accès favorable aux compétences requises d’ici trois ans.

Les budgets sécurité restent et devraient rester préservés avec moins d’un tiers des entreprises interrogées anticipant une baisse. 85% des répondants considèrent qu’ils auront le budget sécurité adéquat dans les trois prochaines années.

Cette préservation des budgets s’accompagne d’un contrôle des coûts, avec des KPI sur les coûts mis en place pour plus de la moitié des entreprises interrogées.

Alors même que les attaques externes se multiplient, les attaques internes restent encore les plus redoutées par les entreprises européennes. Ainsi, encore plus de 50% des entreprises considèrent que les attaques externes représentent moins de 20% des menaces.

Alors que pourtant ce type d’attaques constitue de plus en plus une vraie menace, le crime organisé et les attaques d’Etat inquiètent encore peu les entreprises européennes à court et moyen termes.

Globalement, moins de 15% des entreprises considèrent qu’elles font face aujourd’hui ou qu’elles auront à faire face dans les trois prochaines années à du crime organisé et moins de 6% à des attaques d’Etats.

Seules les grandes structures commencent à être interpelées par ce type d’attaques: 19% estiment qu’elles seront confrontées à des attaques issues du crime organisé dans les trois ans et 18% à des attaques instruites par des Etats.

Les vols de données sont au centre de toutes les préoccupations et devraient le rester.

Pour 60% des entreprises interrogées, le vol de données est l’un des trois plus gros risques qui les empêchent de dormir et devrait l’être encore dans trois ans. L’effet Prism, Bullrun, Mandiant est bien présent.

Les « APT » (Advanced Persistent Threat), la menace en trois lettres qui devrait faire trembler les responsables sécurité n’est pas encore identifiée parmi les risques majeurs.

Les APT ne font partie des trois principales menaces que pour 12% des entreprises. Les APT sont néanmoins craintes par les grandes entreprises pour 35% d’entre-elles.

Les entreprises euuropéeennes n’ont pas enncore pris la pleinee messure dees attaaques aauxquuelles elles vvont dee pluss en plus avooir à faaire faace


Entre la connfiancce afficchée eet la rééalité des pratiqques, laa cohéérencee restee à déémonttrer – Les enntreprises nn’ont ppas priis les mmesurres ad hocc les pplus élémenntairess pourr traiteer les crises loorsqu’eelles ssurviennent3.La sécurité opérée en 24/7 n’est pas encore la référence, seul le quart des entreprises interrogées l’a mise en place. Et même les plus grandes entreprises sont moins de la moitié à en bénéficier.

Les entreprises ont encore peu recours aux assurances pour les risques de cyber sécurité et ne se tournent pas vers ces produits, deux tiers d’entre elles ne prévoyant pas de s’assurer dans un avenir proche. L’assurance

des cyber risques, trop complexe et avec des exclusions multiples, n’a pas encore séduit.

L’évolution des cyber risques et la couverture des cyber menaces ne sont pas les premiers éléments qui influencent l’élaboration des stratégies de cyber sécurité. La priorité stratégique est davantage accordée aux risques liés aux usages des NTIC dans les organisations, notamment la mobilité et le BYOD (Bring Your Own Device).

Face aaux risquees, less entreprisees coompteent encorre beaaucouup sur ellees-mêmes4.Les entreprises européennes identifient des freins structurels à l’externalisation (criticité de la sécurité, priorité aux ressources internes, etc.). Seulement une grande entreprise sur cinq ne voit pas d’obstacle à l’externalisation.

Les offres des industriels semblent manquer de maturité: 20% des entreprises (une grande entreprise sur quatre) ne trouvent pas encore d’offre d’externalisation adaptée à leurs besoins.

Lorsqu’elles se projettent, les entreprises considèrent néanmoins plus facilement l’externalisation, et plus de deux-tiers d’entre elles considèrent qu’elles externaliseront une partie de leur activité de sécurité dans le futur.

C’est d’abord la réduction des coûts qui parle pour l’outsourcing. Mais l’amélioration de la détection des attaques arrive en deuxième raison d’externaliser chez les plus de 5000 employés.

10 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ? www.steria.com www.steria.com

L’Ecosystème des menaces, quels changements ?

PARTIE 1

La relaation eentre lles enttreprisses et leurs ppartenaires de séccurité ddevrait évolueer danss les aannéess à vennir5.D’ici cinq ans, la sécurité devrait être principalement traitée par des prestataires externes pour plus d’une entreprise sur quatre et plus d’une entreprise sur trois pour les plus grandes.

À même échéance, la coopération entre entreprises de mêmes secteurs d’activité devrait commencer à devenir une réalité ; ainsi 15% des entreprises considèrent qu’elles seront amenées à mutualiser des moyens de sécurité avec d’autres acteurs de leur secteur.

La sécurité « as a service » n’a pas encore atteint une maturité de marché. Moins de 10% des entreprises achètent déjà ou prévoient d’acheter en 2014 la sécurité « as a service ». En revanche, les entreprises de toutes tailles y sont ouvertes pour le futur. La moitié des entreprises l’ont déjà fait ou prévoient de le faire plus tard (+ de 40%).

www.steria.com Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques? | 11


Les entreeprises euuropéennnes redouutent bien pluss les attaqques inteernes

des entreprises européennes considèrent

que 80% des menaces sont d’origine interne

54%

Le crime organiséé et les aattaques dd’État inqquiètent encore peeu les enntreprisess européennes

Les vols de données sont au centre de toutes les préoccupations et

devraient le rester pour

des entreprises intérrogées

60%

Bien que ce type d’attaques constitue de plus en plus une menace avérée, le crime organisé et les attaques d’Etat inquiètent encore peu les entreprises européennes à court et moyen termes, en particulier pour les petites entreprises.

L’hacktivism est de loin la principale attaque externe qui inquiète les entreprises, aujourd’hui comme pour les trois prochaines années. 64% des grandes entreprises s’attendent à y être confrontées dans les trois ans qui viennent contre 51% pour l’ensemble des répondants. Le contraste est plus vif si l’on considère spécifiquement deux types de menaces qui mobilisent des moyens dont seuls peuvent bénéficier des groupes d’intervention soutenus par des Etats ou des groupes issues du crime organisé. En effet, malgré l’ampleur de la menace, 18% des grandes entreprises estiment qu’elles seront confrontées à des attaques soutenues par des Etats dans les trois ans qui viennent et 19% d’entre elles estiment qu’elles seront confrontées à celles menées par des groupes issus du crime organisé. Ces chiffres étant respectivement de 6% et de 14% pour l’ensemble de l’échantillon.

Il est intéressant de souligner que les attaques menées par des concurrents sont perçues comme significatives par l’ensemble des entreprises (22% estiment y être exposées).

Pourtant, dans un contexte de conflits économiques violents, les grandes entreprises sont confrontées à des actions de plus en plus offensives, comme en témoigne le responsable sécurité d’un groupe énergétique français lorsqu’il indique les menaces externes auxquelles fera face son organisation dans les trois ans à venir : « Comme nous disputons des contrats de plusieurs milliards à travers le monde, je dirais les attaques soutenues par des Etats, le crime organisé et de plus en plus les attaques issues de concurrents, les frontières entre

L’affaire Prism a aussi mis au grand jour un nouveau type de cyber attaque qui participe à des opérations de renseignement. Elle a soulevé le problème de la confidentialité des données privées et professionnelles sur internet, et plus encore, de la maitrise de leur stockage et des accès.

Suite à ces affaires, l’augmentation des cyber menaces est une tendance prise très au sérieux par les plus hautes institutions internationales. L’édition 2013 du rapport « Global Risks » du Fond Monétaire International (FMI) a ainsi révélé que les cyber menaces représentaient le risque technologique mondial Numéro 1. Parmi elles, les cyber attaques et le vol massif de données sont les plus importants.

L’adage selon lequel 80% des menaces viennent de l’intérieur est toujours bien valable malgré le développement des attaques externes.

La circulaire « Menaces sur le système informatique », publiée le 12 septembre 2006 par le Secrétariat Général de la Défense Nationale en France affirme que « 70 à 80% des cas connus des éléments menaçants […] sont de nature interne ». Une autre étude menée en 2012 (Global State of Information Security 2012 de PwC) montrait que 31% des incidents de sécurité d’origine interne étaient attribués à des employés, 27% à des anciens collaborateurs et 16% à des prestataires de l’entreprise.

Aujourd’hui encore, bien que les attaques externes se soient multipliées, à la fois en terme de diversité avec des attaques de plus en plus complexes et en nombre, les attaques internes ont encore un poids très dominant dans les menaces sécuritaires que les entreprises redoutent – surtout chez les petites. En effet, plus de 50% des entreprises (62% parmi les petites) considèrent que les attaques externes représentent moins de 20% des menaces qu’elles redoutent.

La quasi-totalité des entreprises craignent majoritairement les attaques internes. Les menaces internes concernent en effet toutes les entreprises qui sont amenées à suivre et contrôler leurs employés pour prévenir ces menaces.

C’est seulement dans les grandes entreprises très exposées que le poids des attaques externes est considéré comme important : 17% des entreprises de plus de 5000 employés estiment le poids des attaques externes à plus de 50%.

moins de 20% entre 20 et 50% entre 50 et 80% plus de 80%

50%

3%

32%

15%

Figure 4 : Estimation du pourcentage d’attaques externes parmi les menaces de sécurité informatique craintes par les grandes entreprises


Les vols dde donnéées sont au centrre de touttes les préoccuppations ett le resteeront

France

Allemagne

Royaume-Uni

Norvège

54

68

54

65

32

16

17

15

18

42

21

45

9

26

18

28

26

29

35

25

6

18

24

8

6

11

7

10

37

15

28

23

12

10

21

0

6

4

4

5

%

%

%

%

L’indisponibilité du système d’informations Le manque de ressources spécialisées Les APT La dépendance vis-à-vis des tiers Autre

Le vol de données L’atteinte à la réputaion

L’espionnage informatique Les fraudes internes

Suite aux affaires Prism, Bullrun et Mandiant, les vols de données sont au centre de toutes les préoccupations et devraient le rester. 60% des entreprises considèrent les vols de données comme étant le risque majeur qui les empêche de dormir.

Moins élevé, ce taux s’élève tout de même à 45% pour les grandes entreprises. Les résultats de l’étude restent homogènes quant à la perception des risques majeurs de sécurité par les entreprises.

Les risques de vols de données sont suivis par l’atteinte à la réputation (30%) et l’espionnage IT (26%). Ces résultats montrent que les préoccupations des entreprises européennes sont centrées sur la protection de leur patrimoine, que ce soit leurs informations, leur image ou leur savoir-faire. Les risques pouvant être qualifiés de techniques, c’est-à-dire sans lien direct avec les processus métiers, sont perçus comme étant moins prédominants. A titre d’illustration, le manque de ressources qualifiées en sécurité (14%), les APT (Advanced Persistent Threat : 12%) et la dépendance vis-à-vis de tiers prestataires de sécurité (8%) sont les risques les moins fréquemment cités.

Les APT, ces cyber menaces ultrasophistiquées et ultra-ciblées, qui devraient faire trembler les responsables sécurité des entreprises. Menées par des criminels particulièrement organisés, elles permettent d’accéder silencieusement aux réseaux les mieux protégés, pour en exfiltrer les informations les plus sensibles ou procéder à la destruction massive de données. Bien qu’elles soient les plus

dangereuses, les APT n’apparaissent pas encore parmi les risques majeurs identifiés par les entreprises. Elles arrivent dans le top 3 des menaces pour seulement 12% d’entre-elles. Pour les grandes entreprises, l’analyse est toutefois à pondérer: les APT ressortent comme étant le deuxième risque majeur (cité dans le top 3 pour 35% d’entre-elles). En effet, les APT peuvent avoir deux objectifs: nuire dans une logique de destruction d’intérêts vitaux ou donner un avantage compétitif à un tiers. La frontière entre les intérêts vitaux et les intérêts métiers est très floue pour les grandes entreprises et l’attaque de ces intérêts est clairement l’un des principaux risques perçus par ces acteurs. Il s’agit en général de grands champions nationaux, parfois soutenus par les Etats, comme en témoigne la notion d’Opérateur d’Importance Vitale introduite en France: « Les attaques fomentées par les Etats, les APT et les attaques ciblées sur nos systèmes de production et de distribution sont nos principaux risques », confirme le Responsable des Services de Sécurité Informatique (RSSI) d’une grande société de transport française.

L’étude nous apprend aussi que pour deux types d’attaques, il existe des disparités élevées entre les pays :

- Le Royaume-Uni est le pays pour lequel l’espionnage IT s’avère être le risque le moins prévalent avec 15%, alors qu’en France ce pourcentage est le plus élevé (37%).

- Le risque d’atteinte à la disponibilité du SI est perçu très significativement en Norvège et au Royaume-Uni avec respectivement 28% et 26% des réponses, tandis qu’en France ce risque n’empêche de dormir que seulement 9% des répondants.

Figure 7 : Répartition par pays des principaux risques qui empêchent les entreprises de dormir

Hacktivistes Concurrents Criminels isolés Crime organisé États Autre Aucune d’entre elles

Entre 500 et 1000 employés

Aujourd’hui Dans 3 ans Dans 3 ans

Dans 3 ans

Aujourd’hui

Aujourd’hui

Entre 1000 et 5000 employés Plus de 5000 employés

23%

8%

31%

35%

15%

4%

19%

11%

42%

31%

15%

4% 2%

8%

24%

42%

26%

1%

14% 2%

12%

23%

46%

27%

1%

9%

4%

22%

14%

60%

14%

15%

15%

19%

18%

15%

64%

16% 84%

L’effet Prism, Bullrun, Mandiant

est bien présent

Figure 5 : Répartition par taille d’entreprise des sources d’attaques externes auxquelles

Aujourd’hui Dans 3 ans

Hacktivistes

48%

51%

Concurrents

22%

24%

Criminels isolés

22%

24%

Aucune d’entre elles

15%

30%

Crime organisé

12%

14%

Etats

5%

6%

Autre

2%

1%

www.steria.com Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques? | 17 www.steria.com

Les stratégies de sécurité deviennent globales

PARTIE 2

www.steria.com

et ont dees ambitioons étenndues

Dans un environnement mondialisé soutenu par la révolution numérique et les technologies mobiles, les stratégies de sécurité ne sont plus uniquement IT mais viennent également répondre à des enjeux business et stratégiques, positionnés dans les plus hautes fonctions de l’organisation.

des décideurs ont mis en place une stratégie

et des solutions de sécurité afin de limiter

les fuites d’informations entre autres

Plus de

80%

La quasi-totalité des entreprises ont formalisé une stratégie en matière de sécurité (80% l’ont déjà fait et pour plus de 11%, c’est en cours) et cela se vérifie pour les moyennes comme pour les grandes.

La stratégie de sécurité est pensée pour répondre d’abord aux enjeux de mobilité et BYOD.

Les stratégies de sécurité ne sont pas, comme il pourrait être instinctif de le présumer, guidées en priorité par la couverture des menaces et l’évolution des cyber risques. Elles sont pensées pour répondre aux problèmes de sécurité spécifiques au secteur d’activité (35%), mais avant tout pour répondre aux évolutions des usages des NTIC dans les entreprises comme la mobilité et le BYOD (57%) pour l’ensemble des entreprises, quels que soient leur taille, leur secteur et le pays.

Etonnement, le phénomène est particulièrement prégnant dans le secteur public où la mobilité est citée par 59% des répondants et les enjeux business à hauteur de 37%. Les politiques de sécurité doivent permettre de renforcer la protection des infrastructures mobiles. Celles-ci viennent répondre aux enjeux de maintien de la qualité de service dans un contexte de réduction des coûts et d’effectifs dans les instances d’Etat, comme le précise le responsable sécurité d’un grand département de la police britannique. Mais avant toute autre chose, il met en avant la confiance du citoyen liée à la confidentialité de l’information, comme étant le principal objectif des stratégies de sécurité de la sphère publique : « Le dommage de réputation pourrait être de loin l’enjeu numéro un car il pourrait altérer les relations avec notre

complète-il.

Les enjeux spécifiques aux métiers sont le deuxième élément principal d’influence des stratégies de sécurité qui, avec 35% devancent les cyber menaces (27%). La variabilité des résultats entre les pays sur la place des enjeux spécifiques métiers est élevée: ainsi la Norvège ne lui accorde que 15% tandis que la France lui accorde 49%.

Le Cloud Computing arrive en quatrième position des éléments d’influence de la stratégie avec 26% et là encore, les écarts sont très forts entre les pays: le Royaume-Uni, très engagé dans les démarche de Cloud Computing, affiche 44%.

Par ailleurs, le coût est un facteur d’influence relativement faible des stratégies de sécurité (seulement 21% des entreprises classent la pression sur les coûts parmi les trois plus importants facteurs influençant leur stratégie en matière de sécurité - seulement 10% des entreprises de plus de 5000 personnes). La France est le pays qui affiche l’influence la plus faible avec 8% et la Norvège l’influence la plus élevée avec 33%.

Enfin, dans les grandes structures, le Cloud apparaît en deuxième position juste devant les problèmes de sécurité spécifiques aux métiers. La confidentialité des données fonde en effet toujours l’une des principales réticences de certaines entreprises à l’adoption du Cloud. Donner aux employés un accès aux applications de l’entreprise en situation de mobilité à travers le Cloud est de plus en plus prisé par les entreprises. Mais en contrepartie, cela crée une porte d’accès beaucoup plus importante avec les risques de failles qui l’accompagnent. Les systèmes de sécurité doivent s’adapter à cette transformation.

16 | Les entreprises européennes sont-elles bien armées pour affronter les cyber attaques ?


11%

Le positioonnemennt à hautt niveau de la sécurité danns les enttreprises favorise ddes stratéégies ammbitieusess

Dans les entreprises de plus de 5000 collaborateurs, la sécurité est sponsorisée par la Direction Générale (40%) devant les fonctions informatiques (38%).

Pour l’ensemble des répondants, la sécurité reste globalement sponsorisée par une direction informatique (54 %), mais dans les entreprises de plus de 5000 collaborateurs, la Direction Générale est le principal sponsor de la sécurité (40%).

Cette évolution est d’ailleurs soutenue par les responsables sécurité eux-mêmes, comme celui d’une grande société de l’énergie allemande : « Je suis surpris que la plupart des gens disent que leur sponsor vient de l’informatique, je pense

. Pour atteindre les objectifs ambitieux de leur stratégies de sécurité, les responsables exécutifs préservent voire renforcent les moyens et investissements dans le domaine.

Cette appropriation du sujet de la cyber sécurité par les directions générales peut également s’expliquer par la nature stratégique des impacts de la cyber criminalité en termes juridique, d’image (notoriété, réputation) de business et financier. En effet, dans un contexte où les pertes financières dues aux événements de sécurité s’élève à 110 milliards de dollars d’après une étude menée en 2012, la protection des patrimoines publics et privés devient une priorité absolue au plus haut niveau d’un Etat ou d’une entreprise.

stratégie en place aucune stratégie mise en place d’une stratégie en cours

80%

9%

Figure 8 : Part des entreprises ayant formalisé une stratégie de sécurité informatique

Figure 10 : Principaux sponsors de la sécurité informatique par taille d’entreprise

58%58%

38%

Direction informatique

29%31%

40%

Direction générale

6%11% 11%

RSSI au sein de la DSI

1%

8%

Direction sécurité/sureté

2%

8%

Direction métier

3%

Autre


France

8% 27% 24% 33%

60% 51% 58% 58%

13%

6%

16%

5%

19%

11%

3%

23%

3%

3%

5%

35% 16% 22% 38%

15% 18% 22% 25%

49% 34% 31% 15%

12% 19% 17%

15% 44% 22% 23%

Royaume-Uni Allemagne Norvège

Mobilité / BYOD

Cybermenaces

Cloud computing Préssion budgétaire Pratiques d’achat

Réseaux sociaux Accès à des ressources compétentes Législation et conformité Autres

11%


La sécurité dispose de toujours plus de moyens

PARTIE 3

Les arbitrrages budgétairees restentt en faveurr de la séécurité

La sécurité est devenue une priorité pour les entreprises et les budgets sécurité restent et devraient rester préservés.

Face aux restrictions budgétaires que subissent la majorité des activités, la sécurité reste préservée.

68% des répondants et 74% parmi les grandes entreprises estiment que leur budget va croitre fortement ou modérément. Moins d’un tiers anticipe une baisse (un quart pour les grandes entreprises).

87% des répondants considèrent qu’ils auront le budget de sécurité adéquat dans les trois prochaines années. Les Français sont les plus optimistes (90%) et les Norvégiens les moins optimistes (80%). Ces résultats peuvent s’expliquer par les mesures législatives prises en France pour augmenter le niveau de protection des entreprises et des administrations. Toutefois, ces chiffres encourageants sont

à rapprocher du nombre de cyber attaques en forte augmentation. La sécurité n’est plus seulement une option mais une véritable priorité qui reste difficile à appréhender.

Le RSSI de l’un des grands groupes industriels britannique résume le casse-tête des RSSI en matière de budgets: « Les budgets sont une chose assez drôle, si nous avons beaucoup d’incidents, nous

l’état de l’art et qu’il n’y a aucun incident, vos budgets ont tendance à être coupés… et les choses deviennent plus compliquées, donc les incidents augmentent et vous

Cette préservation des budgets s’accompagne d’un contrôle des coûts : des indicateurs de performance (KPI) sur le contrôle des coûts ont été mis en place pour plus de la moitié des entreprises interrogées.

Figure 11 : Évolution du budget sécurité par pays entre 2012 et 2013

France27%

4%

69% Royaume-Uni26%

9%

11%

54% Allemagne30%

3%

11%

56%Norvège35%

5%

12%

48%

en forte hausse en hausse modérée en baisse modérée en forte baisse



La question des compétences en sécurité n’est pas LA priorité des entreprises européennes qui considèrent avoir la capacité de mobiliser les ressources nécessaires pour se protéger.

Dans l’état actuel du marché, la question de la compétence et du recrutement reste entière pour de nombreux acteurs de la sécurité. Ainsi, 29% des personnes interrogées dans les grandes entreprises mettent l’accès aux ressources expérimentées dans le Top 3 des tendances qui influencent leur stratégie de sécurité. Pour elles, l’accès aux bonnes ressources est une priorité. Pour un répondant sur cinq dans les grandes structures, le manque de ressources expérimentées fait partie des trois risques les plus importants les empêchant de dormir. Ainsi, la question de la compétence est centrale, mais elle n’est pas considérée comme LA priorité. Ce point est à considérer d’autant plus que de nombreux acteurs institutionnels ou industriels de la sécurité tendent à souligner la question de la pénurie de compétences. Ainsi, pour le porte-parole d’une agence européenne de sécurité, cette carence de compétences adaptées doit être le principal facteur qui influence les stratégies de sécurité : « la pénurie de compétence est le principal enjeu pour nous et nos entreprises ».

Rappelons aussi que la perception d’une rareté de compétences comme risque est encore plus faible pour les petites entreprises (moins d’un répondant sur dix classe ce manque parmi les trois risques les plus importants).

De plus, les entreprises interrogées restent optimistes quant à la progression de leur capacité à mobiliser les experts qui pourront les protéger. Pour une très grande proportion d’entre elles (88%), l’optimisme est donc de mise pour pouvoir recruter ou trouver à l’extérieur les compétences adéquates sur les sujets de sécurité.

Les entreeprises reestent opptimistes ssur leur capacité à attirer des taleents

Près de

des grandes entreprises considèrent la pénurie des compétences comme

un risque majeur

20%

France

Allemagne

Royaume-Uni

Norvége

88

93

82

88

63

71

74

60

90

81

93

80

69

63

68

58

88

84

81

70

50

46

57

43

81

81

68

75

51

47

46

28

%

%

%

%

L’accès à des compétences adaptées La croissance des budgets de sécurité Vos capacités de gestion des attaques complexes Vos capacités à démontrer un retour sur investissement dans les projets sécurité La capacité des prestataires à répondre à vos besoins La prise de conscience des utilisateurs L’évolution de votre positionnement dans l’organisation L’adhésion de la direction générale et des métiers

Figure 12 : Niveau d’optimisme des entreprises par pays pour les trois prochaines années


La mise en place des solutions de sécurité est en pleine expansion

PARTIE 4

Les entreprises se sont concentrées jusqu’à présent sur la gestion de l’identité et des accès (87% d’entre-elles), la gestion des terminaux mobiles (72%), et le chiffrement (53%). Les vols de données sont au centre de toutes les préoccupations et devraient le rester, mais les entreprises ne sont pas préparées face à ce qui leur fait le plus peur :

- seulement 42 % d’entre elles ont mis en place des solutions de DLP (Data Loss Prevention)

- seulement 18% déclarent qu’elles vont implémenter de telles solutions dans les trois prochaines années et cela quelles que soient la taille des entreprises.

Néanmoins, les entreprises mettent en place des solutions qui, indirectement, ont un impact positif sur les vols de données. En effet, la lutte contre les pertes de données passe par de nombreuses briques qui sont au cœur des stratégies actuelles. Aussi, sans gestion des identités et des accès, le lien entre les accédants légitimes et les données ne peut-il être fait. Sans gestion rigoureuse des flottes de terminaux mobiles, la dispersion des données ne peut être évitée. Il en va de même en l’absence de moyens de chiffrement, notamment au regard de menaces telles que l’écoute passive et l’interception de données en transit ou stockées dans des Datacenters tiers.

Par ailleurs, les décideurs interrogés savent que le risque Zéro ne sera jamais atteint, d’autant que la violence des attaques ne cessera de se renforcer.

Les grandes entreprises se concentrent aussi sur la dimension opérationnelle et temps réel des solutions de protection. Ainsi, 32% des grandes entreprises ont mis en place un SOC (Security Operation Center). Mettre en place de tels moyens de manière dédiée nécessite une taille critique pour lisser leurs coûts. Si l’on considère les organisations de moins de 5000 personnes, seules 14% d’entre elles sont dotées d’un tel centre. En Norvège, où le nombre d’entreprises de plus de 5000 collaborateurs est très faible, le nombre de répondants déclarant avoir mis en place un SOC est deux fois inférieur à celui du Royaume-Uni (7,5% vs 15%). En effet, la dimension opérationnelle de la sécurité et la densité de grandes sociétés sont élevées Outre-manche. Par ailleurs, en termes de prospectives, la France affichera la plus forte croissance de projets de SOC: 14% des répondants français déclarent avoir un projet de SOC dans les trois années à venir, loin devant l’Allemagne (5,6%), le Royaume-Uni (4,1%) et la Norvège (2,5%). Cette tendance peut s’expliquer par un effort de rattrapage de la France, face à ses voisins européens, le Royaume-Uni notamment.

des grandes entreprises ont mis en place un SOC

32%

nce des forcer.



La mesure de la performance doit encore progresser

PARTIE 5

Figure 14 : Mise en place d’un SOC par pays

Présence d’un SOC La mise en place d’un SOC est envisagé

France14% 14% Royaume-Uni15% 4%

6% 2,5%Allemagne17% 2Norvège8%

Figure 13 : Les solutions de sécurité déjà mise en place (choix multiple)

87%

72%

53%48%

Ges

tion

des i

dent

ités e

t des

acc

ès (I

AM)

Mob

ile D

evise

Man

agem

ent (

MDM

)

Chiff

rem

ent d

es d

onné

es

Syst

ème

de p

réve

ntio

n de

fuite

de

donn

ées (

DLP)

Syst

ème

de D

étec

tion

et d

e Pr

éven

tion

d’In

trusio

n

Syst

ème

de g

estio

n ce

ntra

lisé

des é

lém

ents

de

sécu

rité

(SIE

M)

Mise

en

plac

e d’

un S

OC

inte

rne

ou e

xter

nalis

é

Serv

ice d

e sé

curit

é en

mod

e as

a se

rvice

Autre

s

Aucu

n

32%

22% 21%

6%

14%

2% 3%



L’externalisation devient une alternative

PARTIE 6

La mesure des performances en sécurité n’est pas centrée en premier lieu sur… la sécurité.

Le premier constat est encourageant: l’utilisation des indicateurs de performance (KPI) adoptée par 94% des entreprises pour la sécurité témoigne d’une professionnalisation indiscutable de la filière.

Cependant, la sécurité n’échappe pas à la tendance de fond de rationalisation des dépenses et d’optimisation des investissements. Ainsi, les KPI mesurés par les entreprises pour s’assurer du bon usage des ressources allouées à la sécurité sont en ligne avec cette tendance générale : le contrôle des coûts de la sécurité arrive en tête des KPI utilisés, avec 53% des répondants.

La tendance, dans l’ensemble, favorable aux budgets de la sécurité, s’accompagne néanmoins d’un contrôle des coûts, avec des KPI associés pour plus de la moitié des entreprises interrogées. Il est demandé de prouver l’efficacité des démarches, notamment au sens de la maîtrise des coûts. Le message est clair : « investissez, protégez, mais ne gaspillez pas ».

Mais pour le RSSI d’un distributeur d’énergie britannique, le contrôle des coûts n’est pas un bon indicateur de performance en matière de sécurité : « Nous ne voyons pas les coûts comme

indicateur de performance de mon point

vous êtes mieux protégé; mais cela pourrait montrer que vous gérez mal vos dépenses

nous, les KPI devraient concerner le nombre

Ainsi, deux autres KPI fréquemment utilisés viennent appuyer cette prise de position :

- 39% des entreprises utilisent un KPI relatif à leur temps de réponse en cas de crise de sécurité,

- 33% d’entre-elles suivent le temps de mise en œuvre des correctifs de sécurité.

Mais ils ne sont pas encore assez utilisés pour une mesure de performance totalement adaptée au sujet.

Il y a là des pistes de progression certaines.

Figure 15 : Indicateurs de performance de la sécurité déjà mis en place

Maîtrise des coûts

de sécurité

Délai de réponse en cas de crise

majeure

Délai de traitement des correctifs pour les vulnérabilités

critiques

Satisaction des clients internes

Prise en compte de la sécurité

dans les projets

Autre

53%

33%39%

27%16%

2%



L’externalisation ggagne dees adeptees, même si aucun mmodèle nne s’impoose à ce joour Perspectives

Contrôler voire réduire les coûts tout en améliorant la qualité de service, avec des ressources adaptées: tel n’est-il pas l’objectif de l’externalisation ? L’écosystème de la sécurité est-il prêt?

!

des entreprises prévoient de recourir à l’externalisation

dans les 3 ans à venir

2/3

Plus de

Les entreprises européennes voient de multiples raisons pour ne pas externaliser (côté critique de la sécurité, priorité aux ressources internes, indisponibilité d’offres adéquates, etc.). Seulement une grande entreprise sur cinq ne voit aucune raison de s’abstenir à externaliser. Mais en définitive, les entreprises européennes sont prêtes à l’externalisation, au moins en partie, pour des raisons de maitrise des coûts et d’amélioration du traitement des attaques: plus de deux-tiers des entreprises considèrent qu’elles externaliseront une partie de leur activité de sécurité dans le futur.

Cette perspective reste à pondérer par un principe sous-jacent de prudence. Parmi les activités les plus citées figurent les activités « non core » : audits et tests d’intrusion « Le seul élément que nous ne pourrions pas internaliser, ce sont les tests d’intrusion – c’est très spécialisé », explique le RSSI d’une société du secteur de l’énergie ainsi que la gestion des risques.

En matière de SOC, plus de 20% des entreprises interrogées (près de 50% pour les structures de plus de 5000 collaborateurs) ont déjà un SOC ou prévoient d’en avoir un. Parmi elles, près d’un tiers l’ont ou le prévoient dans leurs locaux et un peu plus de 5% sont prêtes à le partager avec d’autres entreprises. Une grande entreprise sur quatre a déjà ou aura un SOC externalisé.

En moyenne, 42% des répondants ont déjà choisi ou choisiront un partenaire « régional » pour les accompagner dans l’externalisation de leur sécurité. Si l’on considère les grandes entreprises, elles privilégient quant à elles un acteur «global» pour l’externalisation de leur sécurité (47%). Cette différence peut s’expliquer par le côté lui-même global de ces acteurs, par leur maturité face à l’externalisation et la dimension internationale de leurs partenaires pour l’externalisation d’autres activités.

Quant aux acteurs publics, près de la moitié (47%) sont accompagnés ou prévoient de l’être par des acteurs régionaux, comme l’explique le responsable informatique d’une administration norvégienne : « les collaborateurs doivent travailler de la Norvège (offshore/nearshore sont exclus). Cela signifie que nous travaillons pour le moment exclusivement avec des acteurs régionaux (Scandinaves)».

En toute logique, les PME de moins de 1000 personnes se portent principalement vers des acteurs locaux (46%) comme l’indique le porte-parole d’une agence de cyber sécurité européenne: «Les PME veulent un partenaire qu’elles peuvent approcher facilement et où les helpdesks parlent leur langue; et ils sont plus enclins à travailler avec leur acteur local plutôt que de s’engager avec une grande structure impersonnelle, avec laquelle ils ne sauront même pas comment s’engager !».

Le principal intérêt de l’externalisation vu par les décideurs interrogés reste très focalisé sur la diminution des coûts: 49% des entreprises placent la réduction des coûts dans le Top 3 des raisons d’externaliser. Ce constat est particulièrement vrai en France (62%), où l’externalisation est résolument perçue sous cet angle. Cela l’est beaucoup moins en Norvège (33%).

Viennent ensuite l’amélioration de la détection des attaques (en deuxième position dans les grandes entreprises (33%), en troisième position dans l’ensemble des entreprises (30%)) et la rationalisation de l’organisation en deuxième position, toutes tailles d’entreprises confondues (33%).

L’écart sur cet argument est relativement significatif entre le pays le plus sensible (la Norvège à 40%) et le moins sensible (l’Allemagne à 26%).

La disponibilité des ressources expérimentées est la troisième raison pour les grandes entreprises, qui, comme évoqué plus haut, sont plus concernées par la pénurie de ressources compétentes.

L’amélioration de la qualité de service arrive en quatrième position avec 29% des répondants, 19% seulement en France.

France

22% 18% 26% 18%

62% 48% 47% 33%

3% 4% 4% 3%

24% 26% 38% 33%

5% 7% 14% 5%

36% 33% 26% 40%

13% 11% 8%

19% 34% 31% 35%


Autre Aucun

La réduction des coûts La rationalisation de votre organisation

L’amélioration de la capacité à détecter les attaques La hausse de la qualité de service

L’accès à de meilleurs compétences La réduction des investissements mobilisés (CAPEX)

Figure 16 : Les arguments en faveur de l’externalisation, par pays (choix multiple)


Face à la sensibilitté des activités dde sécurité, les industtriels sonnt invitéss à réviserr leur coppie

Si 33% des grandes entreprises s’appuieront essentiellement sur des prestataires externes et 14% pensent rapprocher leurs activités de sécurité avec d’autres acteurs de leur secteur, 53% d’entre elles estiment que d’ici cinq ans, elles gèreront essentiellement leur sécurité en interne.

Le principal frein évoqué, loin devant les autres, est le côté critique de la sécurité: 46% de l’ensemble des entreprises place cette contrainte dans le Top 3 des freins à l’externalisation, et plus particulièrement les grandes entreprises (64%). Ce taux est particulièrement élevé en France (60%) et faible en Norvège (20%) ainsi qu’en Allemagne (28%).

La deuxième raison évoquée est la priorité donnée aux ressources internes (une entreprise sur quatre, quelle que soit la taille, positionne cette raison parmi les trois plus importantes, et même une entreprise sur trois en Norvège).

Un trop grand nombre d’entreprises ne trouvent pas encore d’offres d’externalisation adaptées à leurs besoins. Ainsi, en moyenne, une entreprise interrogée sur cinq (une sur quatre pour les grandes entreprises) mentionne l’indisponibilité de solutions adaptées parmi les trois raisons les plus importantes de ne pas externaliser. Cette raison est la deuxième invoquée en Norvège (28%).

Les modes d’achat : La sécurité « as a service » ne s’impose pas encore comme alternative crédible mais est envisagée pour le futur

La sécurité « as a service » n’a pas encore atteint une maturité de marché. Moins de 10% des entreprises achètent déjà ou prévoient d’acheter en 2014, la sécurité « as a service ». En revanche, les entreprises de toutes tailles y sont ouvertes pour le futur. La moitié des entreprises l’ont déjà fait ou prévoient de le faire plus tard (+ de 40%).

Cette tendance générale est illustrée par le responsable informatique d’une administration norvégienne : « Nous ne fonctionnons pas sur une base de sécurité «as a service» pour le moment,

mais nous pouvons considérer certains domaines (plus particulièrement les moins critiques) où elle pourrait être utile, par exemple pour combler des écarts de compétence quand cela apparait. Mon besoin le plus criant : un meilleur contrôle et des assurances plus robustes.»

Les entreprises européennes devraient faire plus appel dans le futur à des prestataires externes.

Plus d’une entreprise sur quatre (une sur trois parmi les grandes entreprises) déclare que d’ici cinq ans, la sécurité sera principalement traitée par des prestataires externes et 15% considèrent qu’ils la partageront avec d’autres entreprises de leur secteur. Toutefois, pour plus de 60% des sociétés, la sécurité restera principalement opérée en interne dans les cinq ans à venir.

Figure 17 : Type d’acteurs privilégiés en termes de prestataires de sécurité, par taille d’entreprise

Nationaux Régionaux Globaux

Plus de 5000 salariés

46% 46% 47%

35% 33%

19% 19%23%

27%

Entre 500 et 1000 salariés Entre 1000 et 5000 salariés

Figure 18 : Les freins à l’externalisation par pays

France

17% 22% 21% 20%

60% 37% 28% 36%

10%

9%

1%

19%

7%

29%

10%

4%

19%

23% 22% 25% 27%

10% 11% 10% 10%

18% 29% 21% 24%

4% 4% 4%

12% 21% 25% 21%


La sécurité est trop critique pour être externalisée Les nécessaires ressources en internes sont présentes La direction privilégie les recours à des ressources internes

Manque d’offres appropriées La protection ne sera pas meilleure Manque de connaissance des offres de marché

Pas de retour sur investissement démontré Autre Aucun


La sécurité en question : les entreprises sont-elles mieux protégées ?

PARTIE 7

des entreprises se disent capables de faire face à une

crise majeure de sécurité

90%disposent de capacités opérationnelles en 24/7

25%

sont équipées en SOC

14%

Les entreprises européennes affichent une confiance particulièrement élevée sur leur capacité à supporter une crise majeure de sécurité, alors même qu’elles n’ont pas pris les mesures ad hoc les plus élémentaires pour les traiter lorsqu’elles surviennent.

91% des entreprises interrogées estiment pouvoir supporter une crise majeure de sécurité, avec une homogénéité élevée entre toutes les tailles d’entreprises, alors que seulement un quart d’entre elles ont mis en place une gestion opérationnelle de leur sécurité en 24/7. Moins de 40% d’entre elles envisagent la mettre en place dans les deux ans à venir. Rappelons qu’à date, seules 14% des entreprises interrogées bénéficient d’un SOC. Or, le SOC et les activités de sécurité associées (contrôle, gestion de crise, surveillance, etc.) restent indispensables pour répondre à une crise majeure.

L’étude souligne des disparités intéressantes au sujet de la sécurité en 24/7. Ainsi, l’Allemagne fait figure de meilleur élève avec 35% d’entreprises déjà protégées en 24/7 (contre une moyenne de 27% tous pays confondus), tandis que la Norvège fait plus pâle figure avec 20% d’entreprises protégées en 24/7.

Au regard de la nature des risques très concrets et opérationnels qui retiennent l’attention des entreprises, le manque de capacités de sécurité permanentes semble patent.



Les entreeprises asssurent ppeu leurs risques de cyber sécurité

www.steria.com

CONCLUSIONS ET RECOMMANDATIONS

Les politiques de cyber assurance ne sont pas envisagées par les deux-tiers des répondants.

Seulement 15% des entreprises estiment avoir une assurance couvrant leurs cyber risques (30% parmi les grandes) et 63% des entreprises ne l’envisagent pas à un horizon de deux ans (50% parmi les grandes).

L’assurance des cyber risques n’a pas encore séduit largement, rejoignant le constat précédent d’une confiance sans doute excessive des entreprises par rapport aux crises qu’elles pourraient connaître.

Les deux-tiers des répondants n’envisagent pas ces solutions. La maturité du marché n’étant pas démontrée, il faudra probablement plusieurs années pour que ces offres passent le cap de l’émergence. C’est aussi un appel à la structuration et à l’homogénéisation des services et l’amélioration des performances en sécurité. Le marché de l’assurance des cyber risques reste à créer.

Oui Non et ce n’est pas prévu Non, mais c’est prévu dans les deux ans à venir

22%63%

15%

Figure 19 : Part des entreprises ayant un contrat d’assurance couvrant les cyber risques



Cette conclusion nous amène à quelques recommandations pour la défense des intérêts des entreprises dans le cyber espace. Elle invite notamment à :

- une plus grande coopération en Europe entre les industriels de la sécurité et l’ensemble des parties prenantes pour la création de capacités globales et fédérées accroissant la force de frappe des acteurs européens ;

- l’amélioration de la mesure de la performance en matière de sécurité en la centrant en premier lieu sur… la sécurité elle-même (nombres d’attaques détectées, résolues, temps de réponse, etc.). Aujourd’hui, bien que les budgets sécurité soient préservés, le principal KPI est le contrôle des coûts, alors même que dépenser plus peut signifier que vous êtes mieux protégés ;

- une gestion opérationnelle de la sécurité 24/7 plus systématique ;

- une évolution des offres de services des industriels pour répondre avec plus d’ambition au double enjeu de performance économique et d’efficacité sécuritaire qu’attendent les entreprises.

Certains industriels ont déjà fortement investi pour développer des capacités de cyber sécurité de premier ordre et proposer aux entreprises d’en partager les résultats. La coopération entre entreprises et industriels européens repose sur trois axes :

- un meilleur accompagnement des entreprises dans la compréhension des enjeux de sécurité, le diagnostic et la définition de la gouvernance et des moyens ajustés aux priorités d’efficacité et de retour sur investissement ;

- une plus grande maturité des modèles de mise en œuvre de la sécurité, pour accélérer sa démocratisation tout en nivelant les pratiques par le haut ;

- le développement de partenariats technologiques innovants dans l’espace européen pour mieux détecter les attaques les plus avancées (telles les APT) et pour réagir dans les plus brefs délais.

Ainsi, les entreprises européennes pourront saisir les multiples opportunités permises par le digital sous toutes ses formes tout en maîtrisant les cyber risques.

Elles pourront alors afficher leur confiance sans pécher par excès d’optimisme.

Pour pouvoir saisir toutes les opportunités business de l’univers digital sous toutes ses formes, il est fondamental d’être correctement armé contre les cyber risques.

Le risque zéro n’existe pas, mais les entreprises européennes doivent mettre en œuvre des capacités de prévention, détection, protection et réaction en adéquation avec la réalité des menaces.

Or, face à la sophistication croissante des attaques, les entreprises européennes sont encore trop centrées sur les menaces internes, peu inquiétées par les nouveaux types d’attaques externes et n’ont pas encore mis en place les moyens les plus élémentaires, par exemple pour gérer des crises majeures 24/7.

Dans ce contexte, il y a néanmoins des points positifs :

Tout d’abord, les arbitrages budgétaires se font en faveur de la sécurité, avec des budgets qui, en la matière, sont et devraient rester préservés.

En second lieu, le fait que la sécurité est aujourd’hui positionnée à haut niveau dans les entreprises favorise la mise en œuvre de stratégies ambitieuses répondant aux enjeux business.

S’il reste clairement un effort à faire de la part des industriels de la sécurité pour adapter leurs offres d’externalisation aux besoins de leurs clients et les faire mieux connaître, l’amélioration de la détection des attaques arrive déjà comme deuxième raison d’externaliser chez les grandes entreprises, juste derrière la réduction des coûts.

La prise de conscience s’accélère… Et la voie de la mutualisation s’ouvre de plus en plus.

Les deux tiers des entreprises prévoient de recourir à l’externalisation dans le futur et plus d’un quart d’entre-elles estiment que la sécurité sera principalement traitée par des partenaires externes d’ici cinq ans.

Les motivations restent encore principalement ciblées sur la maitrise des coûts, critère principal d’évaluation de la performance de la sécurité à ce jour.

Il revient aujourd’hui aux industriels de la sécurité de démontrer l’efficacité de leurs capacités de prévention, de détection des attaques et de réaction pour convaincre les décisionnaires de la sécurité en Europe des intérêts de la fédération des moyens de protection.


(((

A propos de Steria

Steria délivre des services qui s’appuient sur les nouvelles technologies et qui permettent aux administrations et aux entreprises d’améliorer leur efficacité et leur rentabilité. Grâce à une excellente connaissance des activités de ses clients et son expertise des technologies de l’information et de l’externalisation des processus métiers de l’entreprise, Steria fait siens les défis de ses clients et les aide à développer des solutions innovantes pour y faire face. De par son approche collaborative du conseil, Steria travaille avec ses clients pour transformer leur organisation et leur permettre de se focaliser sur ce qu’ils font le mieux. Les 20 000 collaborateurs de Steria, répartis dans 16 pays, prennent en charge les systèmes, les services et les processus qui facilitent la vie quotidienne de millions de personnes chaque jour.

Depuis plus de 20 ans, Steria est le partenaire de confiance dans le domaine de la sécurité et accompagne les organisations publiques et privées dans la protection de leurs infrastructures, leurs applications et leurs données. Fort de 700 experts en Europe, Steria maîtrise de bout-en-bout le cycle de vie de la sécurité, de l’élaboration d’une stratégie de sécurité jusqu’aux opérations quotidiennes.

Sa force de conseil de premier ordre permet d’augmenter l’efficacité et le retour sur investissement des politiques de sécurité de ses clients. Grâce à son Centre de Cyber sécurité avancé, Steria est à même de prévenir et détecter les attaques les plus sophistiquées (comme les Advanced Persistent Threats - APT), et de réagir dans les plus brefs délais. Steria propose également à ses clients des solutions de confiance numérique alignées sur leurs besoins et processus métiers : gestion des identités et des accès, protection contre les fuites de données, sécurité dédiée au cloud et à la mobilité…

Créé en 1969, Steria est présent en Europe, en Inde, en Afrique du Nord et en Asie du Sud-Est. Le Groupe a réalisé un chiffre d’affaires de 1,83 milliard d’euros en 2012. Son capital est détenu à hauteur de 20 %(*) par ses collaborateurs. Steria, dont le siège social est basé à Paris, est coté sur Euronext Paris.

A propos de PAC

De la stratégie à l’exécution, PAC apporte des réponses objectives et ciblées aux défis posés par l’essor du secteur des Technologies de l’Information et de la Communication (TIC).

Fondée en 1976, PAC est une société de conseil et d’études de marché spécialisée dans le domaine du logiciel et des services informatiques.

PAC aide les fournisseurs de services informatiques à optimiser leur stratégie à travers des analyses quantitatives et qualitatives ainsi que des prestations de conseil opérationnel et stratégique.

Nous conseillons les DSI et les investisseurs dans l’évaluation des fournisseurs TIC et dans leurs projets d’investissements. Les organisations et les institutions publiques se réfèrent également à nos études pour développer leurs politiques informatiques.

Plus d’informations sur www.pac-online.fr


Groupe Steria SCA 43-45 Quai du Président Roosevelt 92130 Issy-les-Moulineaux France © Steria

Steria is committed to supporting a sustainable world and is Certified Carbon Neutral for Flight and Fleet Travel

www.steria.comwww.steria.com

les entreprises européennes sont elles bien armées pour affronter les cyber attaques

Technology