Sécurité informatique. Combattre la menace

Résultats exclusifs
de l'enquête 2013
Sécurité informatique.
Combattre la menace
silencieuse.
Rapport mondial sur les comportements et les opinions
des entreprises en matière de sécurité informatique.
Avec Kaspersky, maintenant, c'est possible.
kaspersky.fr/business
Be Ready for What’s Next
Table des matières
À propos de l'enquête
3
Résumé analytique
4
1 Sécurité informatique : vos préoccupations
sont-elles les bonnes ?
2 Gérer la folie de la technologie mobile
5
9
3 BYOD : le vent est-il en train de tourner ?
11
4 Mise en perspective : le défi de gestion
13
5Évaluer le coût des atteintes à la sécurité
informatique15
6Recommandations : il est temps de passer
à la vitesse supérieure
Avec Kaspersky, maintenant, c'est possible
2
17
18
À propos de l'enquête
i
Pourquoi lire ce
rapport ?
• Pour avoir une vision
globale de la
sécurité
informatique dans
les entreprises à
l'heure actuelle
• Pour savoir ce que
les autres
entreprises
pensent, prévoient
et font
• Pour avoir un
élément de
comparaison entre
entreprises
homologues
• Pour bénéficier de
l'analyse pointue
des experts de
Kaspersky Lab
3
L'enquête de Kaspersky Lab sur les risques informatiques
mondiaux, confiée au cabinet d'études et de conseil B2B
International, en est à sa troisième année. Elle s'adresse aux
professionnels de l'informatique du monde entier, désireux
d'avoir un éclairage sur leurs comportements, opinions et
convictions en matière de sécurité informatique, et sur
l'impact que cela a sur leur entreprise. Nous espérons ainsi
établir une référence mondiale pour le secteur afin de
permettre aux entreprises de tous types et de toutes tailles
d'avoir une vision plus large de la sécurité informatique.
Introduction
Le coût moyen d'une
atteinte à la sécurité
informatique est de
50 000 dollars pour
une PME et de
649 000 dollars pour
une grande entreprise
Cette année, l'enquête sur les risques informatiques mondiaux
comprend deux nouveautés. Tout d'abord, nous avons segmenté
les données entre PME (de 10 à 1 500 postes) et grandes
entreprises (plus de 1 500 postes). Si les résultats sont en grande
partie homogènes, il existe cependant des points de divergence
intéressants, qui seront détaillés dans ce rapport. Le point qui
attire particulièrement l'attention est le manque inquiétant de
connaissance et de compréhension de la sécurité informatique
dans les petites entreprises.
La seconde nouveauté est d'avoir demandé aux entreprises d'estimer les dommages
financiers liés à une atteinte à la sécurité informatique. Ce point est développé au
chapitre 5. Le coût moyen est de 50 000 dollars pour les PME et de 649 000 dollars pour
les grandes entreprises. Ces chiffres montrent en substance que les atteintes à la
sécurité informatique font proportionnellement bien plus de tort aux PME qu'aux grandes
entreprises.
Le reste de l'enquête traite des mêmes sujets que ceux abordés les années précédentes.
Il est toujours intéressant d'observer les changements d'une année sur l'autre ; et cette
année, l'enquête réserve quelques résultats surprenants et à première vue
contradictoires.
L'enquête en quelques
mots :
• 2 895 entretiens
• 24 pays
•Toutes les personnes
interrogées sont des
professionnels de
l'informatique en
poste dans des
entreprises de plus de
100 postes
•Toutes les personnes
interrogées ont une
bonne connaissance
pratique des
problèmes de sécurité
informatique
D'une part, les deux principales préoccupations pour les professionnels de l'informatique
sont une fois encore « la prévention des atteintes à la sécurité informatique » (34 % contre
30 % l'année dernière) et « la protection des données » (28 % contre 26 % l'année
dernière). D'autre part, la grande majorité des sondés ont sous-estimé la quantité de
programmes malveillants, et le nombre de personnes percevant une augmentation des
cyberattaques a baissé de 6 %.
Mais l'heure est-elle vraiment à l'optimisme ? Comme le suggère notre analyse, les
choses ne sont pas aussi simples. Il faut reconnaître globalement que les entreprises
investissent dans de nouveaux outils de protection et prennent de plus en plus la mesure
de l'importance de la sécurité informatique, ce qui est tout à leur crédit.
Mais le problème est que les failles de sécurité sont aujourd'hui bien moins perceptibles
qu'elles ne l'étaient auparavant. Les programmes malveillants ont causé des problèmes
informatiques évidents qui ont été identifiés et corrigés. Mais ces programmes
malveillants sont aujourd'hui bien plus sophistiqués. L'époque où la chambre
d'adolescent était le Q.G. du piratage informatique est révolue. Les cybercriminels sont
aujourd'hui des professionnels qui ciblent les entreprises dans le but de voler des
données précieuses, soit pour en tirer un gain financier direct (en accédant par exemple à
des comptes bancaires), soit pour les vendre sur le marché très ouvert des
renseignements personnels.
Ceci est confirmé par l'une des statistiques les plus inquiétantes révélées dans le
rapport : 35 % des entreprises interrogées ont perdu des données professionnelles suite
à des attaques informatiques externes.
Cette année encore, le nombre d'entreprises considérant la technologie mobile comme
un défi majeur de sécurité informatique augmente. Nous avons également questionné
les entreprises sur leur approche du BYOD (l'utilisation d'appareils personnels à des fins
professionnelles), une autre tendance bien connue au sein des entreprises ; et il se
trouve que les professionnels de l'informatique la considèrent de plus en plus comme un
risque sécuritaire.
Les menaces informatiques sont donc désormais plus sournoises et plus redoutables. Et
tout indique que les cybercriminels visent en premier lieu les cibles les plus faciles à
atteindre, autrement dit les plus petites entreprises qui ne bénéficient pas des outils
professionnels de sécurité informatique et des compétences nécessaires pour se
défendre efficacement et en temps réel.
Certes, partout dans le monde, les entreprises ont fait des progrès en matière de sécurité
informatique. Mais pour Kaspersky Lab, les mentalités doivent impérativement évoluer.
4
Sécurité informatique : vos préoccupations sont-elles les bonnes ?
1
Les résultats ont apporté cette année leur lot de
contradictions, ce qui montre que sur le marché de la
sécurité informatique en rapide évolution et confronté à des
attaques complexes, les entreprises ne savent pas vraiment
sur quoi concentrer leurs efforts et leurs investissements.
Aussi, les entreprises sondées ont l'impression que le nombre de cyberattaques
diminue, alors qu'il n'en est rien. Seuls 46 % des décideurs informatiques
interrogés pensent que le nombre d'attaques augmente. D'après les données
recueillies par Kaspersky Lab, le nombre de programmes malveillants continue
d'augmenter, avec 200 000 échantillons uniques actuellement répertoriés
chaque jour. Les programmes malveillants mobiles continuent eux aussi
d'augmenter, à un taux exponentiel. Le nombre de menaces mobiles identifiées
par Kaspersky Lab en 2012 était six fois supérieur à celui de 2011, lui-même égal
au volume total détecté entre 2004 et 2010. En mars 2013, plus de
9 000 nouvelles modifications de programmes malveillants ont été répertoriées.
L'explosion des programmes
malveillants mobiles
Le nombre d'échantillons en
2012 était six fois supérieur à
celui de 2011, lui-même égal
au total des six années
précédentes.
Perceptions du nombre de cybermenaces
Le pourcentage de personnes estimant que le nombre d'attaques ciblant leur
entreprise augmente a chuté au cours des 12 derniers mois. Le nombre de
menaces étant en réalité actuellement en hausse, il faut peut-être y voir un
excès d'optimisme de la part des entreprises.
Nombre de cyberattaques visant l'entreprise (12 derniers mois)
En baisse
9
8
11
Stable
41
41
43
En hausse
51
51
46
2011
2012
2013
5
Évolution nette des menaces
2013 : +35 %
2012 : +43 %
2011 : +42 %
On peut en tirer plusieurs conclusions. Soit les entreprises sont davantage prêtes
à faire face aux menaces et ont donc l'impression que la situation s'améliore (ou
du moins n'empire pas). Soit elles ne considèrent tout simplement pas la sécurité
informatique comme une préoccupation majeure. (Contrairement à ce que
l'enquête révèle par ailleurs). Soit, problème plus fondamental encore, le nombre
de programmes malveillants importe finalement peu.
La très grande majorité des entreprises (90 %) ont considérablement sousestimé le nombre réel de programmes malveillants. Cette erreur de perception
est encore plus flagrante dans les petites entreprises. Les grandes entreprises
estiment le nombre à 49 000 par jour, tandis que les petites entreprises sont
encore plus loin du compte avec une estimation de 32 000 par jour. Les petites
comme les grandes entreprises ont donc sous-estimé ce chiffre, dans une
proportion de plus de 60 %.
David Emm, Senior Researcher au sein de Kaspersky Lab, explique : « Le
problème est malheureusement loin d'être simple. Le nombre de
programmes malveillants peut être perçu comme un sujet de
préoccupation, mais ce qui doit encore plus nous inquiéter, c'est la
sophistication des menaces auxquelles sont aujourd'hui confrontées les
entreprises. »
Comme indiqué dans le résumé d'introduction, il s'agit là d'un des exemples
où la différence de compréhension et de connaissance entre les PME et les
grandes entreprises est tout à fait perceptible.
Les PME ont rarement en poste des spécialistes en sécurité informatique, et
ont donc plus que jamais besoin d'une formation et d'un soutien dans ce
secteur, surtout en sachant que la sécurité informatique et la protection de
données arrivent une fois de plus en tête des préoccupations des
professionnels de l'informatique. La sécurité informatique est donc
importante pour les PME, mais ces dernières n'ont pas les ressources et le
niveau de compréhension suffisants pour s'attaquer au problème.
6
Quelle est la véritable menace ?
Chaque année, nous demandons aux décideurs informatiques quelles
menaces ils rencontrent et quelles sont leurs préoccupations en matière de
sécurité informatique.
« Les entreprises n'ont pas
compris que les
programmes malveillants
avaient évolué. Les
cybercriminels utilisent des
logiciels malveillants
sophistiqués pour cibler
directement des
entreprises et leur voler des
données sensibles. Cette
relation est importante, car
lutter contre l'une des
composantes permet
d'empêcher l'autre. »
David Emm
Senior Researcher,
Kaspersky Lab.
Alors que 91 % (comme l'année dernière) ont rencontré au moins une menace
et que la plupart (66 %, contre 55 % auparavant) ont été confrontés à des virus,
des logiciels espions et autres programmes malveillants, les entreprises ne
font pas encore systématiquement le rapport entre programme malveillant et
perte de données.
Menaces externes rencontrées
91 % des entreprises ont subi au moins une menace au cours des 12 derniers
mois. Les logiciels malveillants restent la menace la plus courante (et celle qui
se développe le plus). Le vol d'appareils mobiles reste un problème fréquent :
une entreprise sur cinq indique avoir été victime d'un vol au cours des
12 derniers mois.
% des entreprises confrontées à une menace de sécurité
Virus, vers, logiciels espions et autres programmes
malveillants
66
58
64
Courriers indésirables
61
55
58
Attaques par phishing
36
35
35
Intrusion dans les réseaux/piratage
24
23
24
Vol de périphériques mobiles (smartphones/
tablettes)
21
21
Attaques par déni de service (DoS) ou déni de
service distribué (DDoS)
19
18
18
Vol de gros matériel (PC, ordinateurs portables, etc.)
17
15
Espionnage industriel (impliquant des personnes et non
des systèmes informatiques)
13
12
14
Attaques ciblées visant notre entreprise ou marque
Préjudices d'origine criminelle (incendies inclus)
Aucune
9
9
10
4
4
5
7
9
7
2013
7
2012
2011
Hausse significative d'une année
sur l'autre
Les entreprises craignent davantage la perte de données client, qui aurait un impact
évident sur leur réputation et mettrait en péril leurs activités. Cela se vérifie sur
l'ensemble des réponses, quelles que soient la taille de l'entreprise et la zone
géographique.
David Emm, Senior Researcher au sein de Kaspersky Lab, explique : « Les entreprises
n'ont pas clairement saisi à quel point les programmes malveillants ont évolué. Les
groupes de cybercriminels utilisent des programmes malveillants sophistiqués
pour cibler des entreprises en particulier et leur voler des données sensibles. Ce
lien entre programmes malveillants et perte de données est primordial, car une
stratégie efficace pour lutter contre l'un permet de lutter contre l'autre. »
Comprendre que les programmes malveillants sont les principaux responsables de la
perte de données serait un grand pas en avant. La lutte contre les programmes
malveillants serait ainsi mieux considérée sur l'échelle des priorités au sein des
entreprises.
Par ailleurs, concernant les préoccupations des professionnels de l'informatique, des
incidents comme les « intrusions dans les réseaux » sont très bien placés dans les
réponses de notre enquête. Or, quelles sont les causes de ces types d'attaques ? Les
programmes malveillants, développés et déployés dans le but de voler des données
sensibles.
Ce qui est perdu et ce que les entreprises ont peur de perdre
La perte d'informations client est la première préoccupation de la plupart des
entreprises et concerne actuellement 35 % des entreprises confrontées à une
perte de données dans les 12 derniers mois.
Perte de données subie (%)
Informations client
35
Informations sur le fonctionnement interne
de l'entreprise
25
Propriété intellectuelle
19
Informations commerciales/veille concurrentielle
Informations sur les paiements
Informations sur le personnel/RH
Autres
8
26
49
Informations financières sur l'entreprise
22
10
Perte de données redoutée (%)
18
16
13
9
7
23
7
Gérer la folie de la technologie mobile
2
Cette année encore, la technologie mobile continue d'être un sujet
de préoccupation pour les entreprises. On note d'ailleurs que cette
préoccupation relève davantage de la perte de données sensibles
(38 %) que de la perte de l'appareil en lui-même (33 %).
Quoi qu'il en soit, les entreprises ont encore beaucoup de mal à définir et maintenir
des politiques de sécurité informatique efficaces pour les appareils mobiles et leurs
utilisateurs. Seul un sondé sur 10 affirme avoir une politique mobile entièrement
déployée au sein de l'entreprise.
Pour les décideurs informatiques, la technologie mobile est clairement un problème
de taille à résoudre et à maîtriser. Les appareils mobiles sont par nature plus difficiles à
« localiser » pour l'entreprise qu'un parc de PC ou d'ordinateurs portables. Sans
compter que beaucoup d'employés possèdent plusieurs téléphones. Dans un monde
régi par la consommation, où vie privée et vie professionnelle ne sont plus clairement
dissociables, n'importe quelles données d'entreprise peuvent désormais se retrouver
sur l'appareil personnel d'un employé. Pourtant, le pourcentage d'entreprises qui
adoptent une démarche proactive et déploient des mesures préventives reste faible.
Seulement 24 % des entreprises utilisent un logiciel de gestion des appareils mobiles
(Mobile Device Management, MDM), et seulement 40 % utilisent une protection contre
les programmes malveillants pour appareils mobiles.
Seule une entreprise sur 10
affirme avoir entièrement
déployé une politique
mobile
Politique de sécurité informatique pour les appareils
mobiles
À peine plus d'une entreprise sur 10 a entièrement déployé une politique de
sécurité pour les appareils mobiles. Bien que la plupart des entreprises soient
disposées à adopter une telle politique, près de la moitié n'en ont absolument
aucune.
%
Global
13
PME
14
Grandes entreprises
9
APAC
8
Amérique du Nord
14
Tous les pays d'Amérique latine
CCG/Moyen-Orient
Russie
33
17
7
27
12
44
22
45
22
41
28
20
39
30
17
14
42
31
43
51
16
40
Non, et ce n'est pas prévu
Non, mais c'est prévu
Oui, mais elle n'est pas entièrement déployée
Oui, et elle est entièrement déployée
9
14
41
25
17
Europe élargie
41
25
12
Japon
32
9
36
6
39
5
Sergey Lozhkin explique : « La technologie mobile est considérée comme la
dernière roue du carrosse. Les équipes informatiques bénéficient rarement
des fonds et des ressources supplémentaires nécessaires, même face à la
complexification de l'environnement informatique. Elles sont par conséquent
obligées de faire des choix et ne peuvent déployer les outils qu'elles
voudraient, car cela nécessiterait des ressources supplémentaires qu'elles
n'ont pas. »
Un autre problème mentionné plus haut est que pour ces « une sur 10 » qui ont
mis en place avec succès des politiques de sécurité mobile, rares sont celles
qui ont bénéficié des ressources qu'elles estimaient nécessaires pour y
parvenir. Nous leur avons demandé si elles avaient bénéficié d'une enveloppe
budgétaire supérieure pour couvrir les frais supplémentaires : 16 % ont
répondu par la négative, et parmi les réponses positives, 48 % ont indiqué que
le complément budgétaire s'était avéré insuffisant.
Néanmoins, la sécurité mobile fait son chemin et ces difficultés relèvent de
plus en plus du domaine de la perception que de la réalité. Aujourd'hui, les
solutions de sécurité des terminaux mobiles regroupent la
gestion des appareils mobiles (MDM) et la sécurité mobile sur une même
plateforme, ce qui réduit la nécessité de compétences et de ressources
supplémentaires.
David Emm, Senior Researcher au sein de Kaspersky Lab ajoute : « D'une
certaine façon, la situation actuelle en matière de technologie mobile est
comparable à celle des messageries électroniques lorsque celles-ci ont été
massivement adoptées par les entreprises. À l'époque, les équipes
informatiques ont dû revoir les outils de contrôle et les politiques de
sécurité. Le mobile en est selon moi à ce même stade où les services
informatiques vont devoir revoir leur copie. »
10
BYOD : le vent est-il en train de tourner ?
3
Cette année, nous avons posé des questions spécifiques
autour du BYOD. Ce phénomène a rapidement pris de
l'ampleur ces dernières années, largement alimenté par
l'explosion du marché des tablettes.
La plupart des entreprises ont une politique d'utilisation des appareils
personnels relativement « libérale ». 32 % prônent une utilisation libre (et donc
l'utilisation des réseaux et ressources de l'entreprise) sur smartphones, 29 %
sur tablettes et 37 % sur ordinateurs portables. Ce dernier chiffre a chuté de
plus de 10 % en un an.
On remarque en toute logique que plus l'entreprise est grande, plus les
restrictions sont importantes. Ce qui est plus intéressant, c'est de voir
comment les entreprises envisagent l'avenir du BYOD. Dans l'ensemble, les
décideurs informatiques durcissent leurs positions.
L'enquête en indique clairement la raison principale : le BYOD soulève des
inquiétudes au sujet de la sécurité informatique. 65 % des décideurs
informatiques ont le sentiment que le BYOD est une menace pour leur
entreprise. Ce phénomène est assez homogène dans l'ensemble des régions
interrogées, le Japon se distinguant toutefois avec pas moins de 93 % de
sondés qui affirment être inquiets quant à l'impact du BYOD sur la sécurité
informatique. Par ailleurs, lorsqu'on demande aux personnes de songer à
l'avenir, 48 % s'inquiètent du risque que le BYOD pourrait représenter dans les
années à venir.
La menace du BYOD telle qu'elle est perçue
65 % des entreprises sondées pensent que le byod représente une
menace pour la sécurité de l'entreprise, les Européens étant
particulièrement préoccupés par cette question.
Le BYOD représente-t-il une menace pour la sécurité de votre entreprise ?
% concerné par région
Japon
93
Amérique du Nord
69
65
CCG/Moyen-Orient
Europe élargie
62
APAC
62
Tous les pays d'Amérique latine
Russie
Oui
Non
11
60
57
Costin Raiu, Director Global Research & Analysis au sein de Kaspersky Lab
explique : « Je pense effectivement que le sentiment autour du BYOD est en
train de changer. Les services informatiques sont sur la défensive. Face à
l'engouement pour les tablettes, en particulier chez les responsables, ils
n'avaient pas d'autres choix que de suivre le mouvement. Mais ils voient à
présent les données les plus sensibles de l'entreprise être stockées sur les
appareils personnels, et prennent conscience à juste titre de la bombe à
retardement qui menace la sécurité informatique. »
L'avenir des politiques autour du BYOD
Seule une minorité d'entreprises vont d'une manière ou d'une autre limiter
l'utilisation des appareils personnels. Les résultats de 2013 indiquent
cependant une position plus défensive de la part des directeurs
informatiques sur la question du BYOD.
%
Résultat mondial (2013), n=2806
Résultat mondial (2012), n=2535
31
34
37
25
34
PME, n=2340
31
34
Grandes entreprises, n=466
32
31
19
10
10
26
22
9
15
Nous allons autoriser activement plus d'utilisateurs à apporter et utiliser leurs appareils
personnels à des fins professionnelles
Quoi que nous fassions, il y aura une hausse inévitable du nombre d'appareils personnels sur
le lieu de travail
Nous allons essayer de limiter le nombre et le type d'utilisateurs autorisés à apporter leurs
appareils personnels
Il sera formellement interdit aux utilisateurs d'apporter et d'utiliser leurs appareils personnels
à des fins professionnelles
12
Mise en perspective : le défi de
gestion
4
Nous venons de voir que l'attitude à l'égard du BYOD avait
changé. Les données de l'enquête montrent clairement
que cette évolution des mentalités est en fait le signe d'un
changement plus profond, et d'un problème de « contrôle »
plus large.
Par exemple, à peine plus de la moitié des entreprises (54 %) ont recours à une
gestion des correctifs et à une gestion des systèmes, alors même que ces deux
éléments figurent parmi les défis technologiques les plus cités. Le nombre
d'entreprises utilisant ces outils de gestion de base a d'ailleurs baissé de 9 %
depuis la dernière enquête.
En outre, un nombre inquiétant d'entreprises adopte une stratégie de sécurité
informatique axée uniquement sur la protection contre les programmes
malveillants ; et contrairement à ce que l'on pourrait penser, ce choix n'est pas
réservé aux petites entreprises.
Mesures prises pour prévenir les risques liés à la sécurité
La protection contre les programmes malveillants est la mesure de sécurité la
plus employée et la plus courante. La gestion régulière des mises à jour de
correctifs/logiciels est toujours en deuxième position. Toutefois, leur mise en
œuvre a considérablement chuté depuis 2012. Il s'agit d'un grand problème
que les entreprises doivent résoudre à travers le monde. Les entreprises
s'adaptent à la prise en charge de la sécurité mobile pour les ordinateurs
portables et de la sécurité à distance dans d'autres bureaux.
Comparaison
2012
Protection contre les programmes
malveillants (antivirus, anti-espions)
71
4 %
Comparaison
2012
Chiffrement de toutes les données stockées
(chiffrement intégral de disque dur)
39
2 %
38
3 %
37
0 %
Gestion régulière des mises à jour
de correctifs/logiciels
54
-9 %
Mise en œuvre d'un niveau d'accès aux différents
systèmes informatiques à l'aide de privilèges
52
4 %
Structures réseau (par exemple, séparation des
réseaux stratégiques des autres réseaux)
50
3 %
Chiffrement des communications de l'entreprise
37
-1 %
Politique de sécurité distincte
pour les ordinateurs portables
Politique de sécurité distincte pour
les appareils amovibles (USB, etc.)
Contrôle des applications (seuls les programmes
autorisés peuvent être exécutés sur les appareils)
45
N/A
Audit/vérification de la sécurité
informatique de fournisseurs tiers
36
0 %
Politique de gestion de la sécurité informatique
dans des bureaux/succursales à distance
44
4 %
Gestion du cycle de vie des PC
34
-1 %
Contrôle des périphériques (seuls les périphériques
autorisés peuvent se connecter aux appareils)
41
N/A
Chiffrement des données sur les
appareils amovibles (USB, etc.)
33
2 %
Agent contre les programmes malveillants pour
appareils mobiles
40
N/A
Politique de sécurité distincte
pour les smartphones/tablettes
31
0 %
Chiffrement des fichiers et des
dossiers
40
N/A
Gestion des appareils mobiles
24
Ce diagramme montre le pourcentage d'organisations ayant entièrement déployé différentes mesures
de sécurité
Baisse significative d'une année
sur l'autre
Hausse significative d'une année
sur l'autre
13
N/A - nouvelles questions soulevées
en 2013
-2 %
Nous avons demandé aux sondés quelles technologies ils avaient besoin de
mieux comprendre, et il est intéressant de voir que « l'ensemble des logiciels
de gestion disponibles » est la deuxième réponse la plus citée avec 51 %
(derrière le « cloud » qui récolte 1 % de plus).
Sergey Lozhkin, Senior Technology Positioning Manager, explique : « La gestion
des systèmes vous permet de savoir ce qui se passe sur votre réseau, quels
appareils vos employés utilisent et quels programmes sont installés. Si
vous ne savez pas quels programmes vos employés téléchargent, installent
et utilisent, vous êtes en position vulnérable face aux attaques et
programmes malveillants. Quand on sait que 80 % des programmes issus
des sites de partage de fichiers comme Torrent sont déjà infectés par un
virus, il y a de quoi être choqué ! »
David Emm poursuit : « La gestion des systèmes est perçue comme difficile
et/ou onéreuse. Ce sentiment est particulièrement tenace au sein des
PME, qui pensent que c'est une technologie réservée aux grandes
entreprises. Mais elles se trompent. Les plateformes unifiées actuelles
proposent des fonctions de gestion des systèmes adaptées aux PME, mais
sans le coût ou la complexité généralement associés aux outils destinés
aux grandes entreprises. »
14
Évaluer le coût des atteintes à la
sécurité informatique
5
•60 % des atteintes à
la sécurité
informatique ont
entraîné une
défaillance de
fonctionnement de
l'entreprise
•53 % des entreprises
ont subi une atteinte à
leur réputation
•Les dommages
financiers sont plus
importants en cas
d'incapacité
temporaire à
commercer :
–1
,7 m$ pour les
grandes entreprises
–6
3 000 $ pour les
PME
Pour la première fois depuis la création de cette enquête,
nous avons voulu mesurer l'impact financier des atteintes à
la sécurité informatique.
C'était une tâche ardue, car les entreprises ont été critiquées par le passé pour
leurs estimations alarmistes basées sur des calculs grossiers où la probabilité
d'une menace était multipliée par un temps d'arrêt horaire. Cette approche ne
tient pas suffisamment la route puisqu'elle ne s'appuie pas sur une moyenne
valable et que le temps d'arrêt ne revêt pas la même signification selon le type
d'activité. Un commerçant en ligne peut très vite mettre la clé sous la porte en
cas de déni de service par exemple. Alors qu'un cabinet de services-conseils aux
professionnels pourra continuer à fonctionner puisque son cycle commercial est
plus long et repose également sur des relations client en face à face.
En sachant cela, il convient d'expliquer la méthodologie utilisée pour calculer le
coût des atteintes à la sécurité informatique.
• Nous avons demandé à toutes les entreprises ayant perdu des données
(sensibles ou autres) de nous en dire plus sur l'impact d'un tel sinistre.
• Nous nous sommes intéressés uniquement aux violations de données les plus
graves de ces 12 derniers mois.
• Nous avons posé des questions sur les différentes dépenses supplémentaires
et actions préventives et correctives mises en place suite à cette infraction.
• Nous avons demandé aux entreprises qui le pouvaient de nous donner une
estimation des dommages financiers.
À l'aide de ces informations et d'une analyse plus poussée de l'impact de ces
violations de données sur l'entreprise, nous avons pu estimer le coût total de
différents sinistres et pour des entreprises de différentes tailles.
Ces résultats sont intéressants, car ils s'appuient sur des expériences concrètes
plutôt que sur des situations hypothétiques. Dans 88 % des cas, les entreprises
ont sollicité des services professionnels pour résoudre le problème, en général
des conseillers en sécurité informatique, mais également beaucoup d'avocats.
Pour les grandes entreprises, le coût moyen s'est élevé à 103 000 dollars. Les
PME ont payé en moyenne 13 000 dollars, ce qui représente un important poste
de dépenses imprévues.
60 % des atteintes ont entraîné une défaillance de fonctionnement pour
l'entreprise, et pour 53 % des entreprises, une atteinte à leur réputation. Ce coût
(qui est moins précis, car il implique dans certains cas des facteurs plus
abstraits) est plus élevé : 150 000 dollars pour les grandes entreprises et
22 000 dollars pour les PME.
Mais c'est dans le cas où une atteinte à la sécurité informatique a entraîné
une incapacité temporaire à commercer que les pertes financières sont les
plus importantes. Ce scénario a été plus rare parmi les entreprises
interrogées, mais le coût était conséquent : 1,7 million de dollars pour les
grandes entreprises et 63 000 dollars pour les PME.
Nous nous sommes ensuite intéressés à ce que coûteraient des mesures
préventives, en gardant à l'esprit que les entreprises concernées avaient subi
une perte de données et devaient donc considérablement renforcer leur
sécurité. 59 % d'entre elles ont investi dans du matériel ou de nouveaux
logiciels, 49 % ont investi dans la formation du personnel et 38 % ont même
engagé du personnel supplémentaire (principalement les grandes
entreprises).
15
En prenant en compte les niveaux variables de probabilité de certains coûts
(faible probabilité d'une incapacité à commercer par exemple), à quelles
estimations arrive-t-on ? Toute prudence gardée, et en se basant uniquement sur
les chiffres que les entreprises interrogées peuvent facilement et rapidement
mesurer, l'impact financier d'une atteinte à la sécurité informatique avoisine les
649 000 dollars pour les grandes entreprises et les 50 000 dollars pour les PME.
David Emm, Senior Researcher au sein de Kaspersky Lab, explique : « Ces
chiffres apportent un nouvel éclairage sur le coût des atteintes à la sécurité
informatique. Si les entreprises étaient conscientes du coût réel en jeu, je pense
qu'elles se comporteraient tout à fait différemment. Pour moi, c'est la preuve
qu'une meilleure formation et sensibilisation sur les risques potentiels et une
technologie efficace sont indispensables. »
Par ailleurs, il ressort clairement de l'enquête que les entreprises ne se
focalisent pas autant qu'elles le devraient sur la formation des utilisateurs.
Beaucoup d'attaques ciblées sont dues au fait que les employés ne
comprennent pas la menace, ne savent pas ce qui peut être suspect, à quoi ils
doivent faire attention et en quoi leurs actions peuvent compromettre la sécurité
de leur entreprise.
Le coût total des opportunités commerciales perdues
Le coût médian des opportunités commerciales perdues en raison d'une grave
perte de données est de 22 000 dollars pour les PME et de 150 000 dollars
pour les grandes entreprises.
Grandes entreprises
(1 500 postes et plus)
PME (de 100 à 1 499 postes)
375 000 $ et plus
7,5 m$ et plus
Entre 150 000 et 374 999 $
Entre 75 000 et 149 000 $
11
Entre 37 500 et 74 999 $
13
Entre 22 500 et 37 499 $
10
Entre 15 000 et 22 499 $
13
Entre 11 250 et 14 999 $
9
Entre 6 000 et 11 249 $
8
Entre 3 000 et 5 999 $
7
Entre 1 500 et 2 999 $
Entre 750 et 1 499 $
Entre 0 et 749 $
16
Entre 1,5 m et 7,49 m$
9
4
2
1
14
Entre 750 000 et 1,4 m$
8
Entre 375 000 et 749 999 $
10
Entre 150 000 et 374 999 $
13
Entre 75 000 et 149 999 $
14
Entre 37 500 et 74 999 $
8
Entre 15 000 et 37 499 $
9
Entre 7 500 et 14 999 $
8
Entre 3 750 et 7 499 $
1
Entre 1 500 $ et 3 749 $
1
Entre 0 et 1 499 $
Recommandations : il est temps de
passer à la vitesse supérieure
6
Il ne faut pas confondre silence et absence de menaces
Un virus n'est plus simplement quelque chose qui « ralentit votre machine ». Les
menaces d'aujourd'hui sont sophistiquées et conçues pour passer inaperçues.
Ce n'est clairement pas le moment de se démobiliser ; il faut au contraire admettre
que la nature même de la sécurité informatique a fondamentalement évolué.
L'heure est au contrôle de la technologie mobile et du BYOD
L'engouement pour les tablettes n'est pas près de s'arrêter. Les entreprises
doivent donc faire le nécessaire pour contrôler ce phénomène au niveau de la
protection des données. Il s'agit notamment de définir des politiques strictes sur
le BYOD, de former le personnel et de mettre en œuvre un projet de sécurisation
du travail sur appareils mobiles. Car une fois mobiles, les données sont
vulnérables.
La protection contre les programmes malveillants ne suffit
plus : vers un niveau de contrôle plus élevé
L'enquête de cette année a montré que l'utilisation de la gestion des correctifs et
de la gestion des systèmes avait baissé. D'autres outils comme le chiffrement des
données et la gestion des appareils mobiles sont toujours assez faiblement
utilisés. Étant donné que les cybercriminels utilisent des outils de plus en plus
perfectionnés pour récupérer des données confidentielles, un niveau plus élevé
de contrôle et de protection est indispensable. Les outils existent et peuvent venir
compléter une protection contre les programmes malveillants existante. Aux
entreprises de passer à la vitesse supérieure.
Améliorer la gestion de la sécurité informatique grâce au
principe de console unique
La multiplication des problèmes comme des technologies amène donc à
consolider la gestion sur une seule et même console. C'est la seule solution pour
que les entreprises disposant de ressources limitées puissent espérer améliorer
leur sécurité globale.
Formation, formation et formation
Une constante ressort de l'enquête de cette année : le manque de connaissance
et d'intérêt du personnel à l'égard de la sécurité informatique. Près de 40 % des
entreprises ont affirmé que dans l'ensemble, leurs employés ne respectaient pas
les politiques de sécurité informatique ou ne comprenaient même pas leur utilité.
Les choses doivent changer et, en tant que professionnels de la sécurité
informatique, nous devons prendre nos responsabilités pour que ce changement
s'opère, et rapidement.
Nous devons former les employés et leur montrer en quoi leurs actions et leurs
comportements peuvent compromettre leur entreprise ainsi que la protection de
leurs données personnelles. C'est en leur inculquant les points essentiels qu'ils
pourront avoir une influence positive et durable sur la sécurité informatique de
leur entreprise.
17
Avec Kaspersky, maintenant, c'est
possible.
Classé parmi les quatre plus grands spécialistes mondiaux de la sécurité,
Kaspersky Lab est l'un des fournisseurs de solutions de sécurité informatique
enregistrant la croissance la plus rapide au monde. Groupe international présent
dans près de 200 pays et territoires à travers le monde, nous fournissons une
protection à plus de 300 millions d'utilisateurs et plus de 200 000 entreprises
clientes de toutes tailles, des petites et moyennes entreprises aux grandes
organisations gouvernementales et commerciales.
Nous proposons des solutions de sécurité intégrées et avancées qui permettent
aux entreprises de contrôler de manière inégalée l'utilisation des applications, du
Web et des périphériques : vous définissez les règles et nos solutions vous aident
à les gérer.
Kaspersky Endpoint Security for Business est spécifiquement conçue pour
combattre et bloquer les menaces persistantes sophistiquées d'aujourd'hui sous
toutes leurs formes. Déployée parallèlement à Kaspersky Security Center, cette
solution donne aux équipes de sécurité la visibilité et le contrôle dont elles ont
besoin, quelles que soient les menaces qui surgissent.
Pour en savoir plus, rendez-vous sur kaspersky.fr/business
À la rencontre de nos experts
Les informations contenues dans ce rapport sont fournies par l'équipe Global
Research and Analysis de Kaspersky Lab.
David Emm
David a fait ses premiers pas dans l'industrie anti-virus en 1990 et a rejoint
Kaspersky Lab en 2004, où il a conçu et développé notre atelier sur la protection
contre les programmes malveillants (Malware Defence Workshop). Il est
actuellement Senior Regional Researcher pour le Royaume-Uni et il intervient
régulièrement dans les médias en tant que commentateur. Ses principaux sujets
de recherche portent sur l'écosystème des programmes malveillants, le vol
d'identité et les technologies Kaspersky Lab. Le blog de David est consultable sur
la page www.securelist.com/en/blog?author=55
Costin Raiu
Costin est le directeur de l'équipe Global Research and Analysis. Anciennement
Chief Security Expert, Costin travaille auprès de Kaspersky depuis 2000. Il est
spécialisé dans les sites Web malveillants, la sécurité des navigateurs et les failles
d'exploitation, les programmes malveillants ciblant les services de banque en
ligne, la sécurité des grandes entreprises et les menaces du Web 2.0. Consultez
son blog sur la page www.securelist.com/en/userinfo/62, ou suivez @craiu sur
Twitter.
Sergey Lozhkin
Sergey est un expert en technologies pour Kaspersky Lab. Diplômé en 2002 de
l'Académie de police d'Omsk, il a travaillé comme détective au sein de l'unité de
police de la ville d'Omsk en charge de la cybercriminalité. Après avoir quitté les
services du gouvernement en 2004, Sergey a travaillé dans la sécurité
informatique pour plusieurs entreprises en qualité d'ingénieur et de spécialiste de
la sécurité informatique. Il a également réalisé des études de pénétration pour
plusieurs réseaux gouvernementaux et d'entreprises privées.
18
Avec Kaspersky, maintenant, c'est possible.
kaspersky.fr/business
Be Ready for What’s Next