The Kaspersky Lab Global IT Risk Report

Ready?
Or not?
Comparer les opportunités de demain et les
risques futurs.
Une enquête mondiale sur les tendances
en termes de sécurité informatique.
Be Ready for What’s Next.
kaspersky.com/fr/beready
Sommaire
2
0.1INTRODUCTION
3
1.0La sécurité informatique et le risque perçu
pour l’entreprise
4
2.0 Le risque des périphériques hors de contrôle
5
3.0 Les cyber-attaques et les systèmes mal préparés
6
4.0 Les organisations menacées
7
5.0 Les dangers inhérents DES nouveaux Médias
8
6.0 La réalité des dommages causés aux entreprises
9
7.0Comment les entreprises réagissentelles face aux menaces ?
10
7.1ARE YOU READY FOR WHAT’S NEXT? 11
Introduction
0.1
Points clés de l’enquête:
1 % des entreprises ont été
9
affectées par des attaques
l’année dernière
45 % ne sont pas suffisamment
préparées aux cyber-attaques
dédiées
17 % ont perdu des données
critiques à la suite d’attaques
57 % ont interdit l’accès aux
réseaux sociaux en raison des
risques de sécurité potentiels
30 % n’ont pas encore
pleinement mis en place de
logiciels anti-malwares
Tandis que le paysage technologique évolue, les entreprises et
leurs équipes informatiques sont confrontées de plus en plus aux
cybermenaces ciblant leur sécurité informatique. Toutes les
organisations à travers le monde sont affectées : près de la moitié
pensent que les cyber-menaces seront une priorité absolue dans
les deux prochaines années et 45 % ne se sentent pas pleinement
préparées
Pour traiter ce sujet et avoir un aperçu clair des effets ressentis par les entreprises
aujourd’hui, nous avons demandé une étude complète auprès de 1 300
professionnels seniors, des petites aux grandes entreprises, dans 11 pays.
L’enquête, produite par B2B International, a été conduite à la fois dans les
marchés développés dont le Royaume-Uni, les États-Unis et le Japon, et dans
les marchés en développement dont le Brésil, la Chine et l’Inde.
Les personnes qui ont été interrogées ont une influence sur la politique de sécurité
informatique, une bonne connaissance des questions de sécurité informatique et
une connaissance de l’ensemble de l’organisation dans laquelle elles travaillaient.
Les conclusions ont été claires : la cyber-sécurité prend une place grandissante
dans l’agenda des organisations en raison d’une augmentation perçue des virus et
violations de données. En outre, les appareils et les personnes touchées sont de
plus en plus difficiles à contrôler et protéger car ils deviennent de plus en plus
mobiles et choisissent d’utiliser leur propre technologie au lieu de celle fournie
par le service informatique.
Les entreprises sont-elles vraiment prête pour à l’avenir ?
Pays couverts
Marchés développés:
(n=800)
États-Unis200
Allemagne100
Royaume-Uni100
France100
Espagne100
Italie100
Japon100
Marchés en développement:
(n=500)
Brésil100
Inde100
Chine200
Russie100
3
La sécurité informatique et le
risque perçu pour l’entreprise
1.0
Les entreprises et les technologies qu’elles utilisent sont en
train de changer. La sécurité du réseau informatique est
actuellement l’une des considérations stratégiques principales
des organisations. Aujourd’hui, les cadres doivent prendre en
compte et prévoir les prochaines menaces qu’ils pourront
rencontrer. Seuls 14 % d’entre eux envisagent toutefois les
cyber-menaces comme l’un des trois principaux risques pour
l’entreprise. Cela indique une faible sensibilisation générale à
la sécurité informatique dans les entreprises.
sseulement 14 % des
entreprises considèrent
les cyber-menaces comme
faisant partie de leurs
3 principaux risques
Fait intéressant, la dégradation de la marque, l’espionnage industriel et le vol de
propriété intellectuelle faisaient partie des plus grandes menaces envisagées par les
entreprises. Tous ces événements peuvent être provoqués par une violation de la
sécurité informatique. Inversement, toutefois, la dégradation potentielle de la
marque peut être l’une des principales raisons pour lesquelles les attaques ne sont
pas déclarées.
“9 % des entreprises ont subi
une attaque ciblée ; ce chiffre
est probablement plus élevé,
mais beaucoup n’en sont pas
encore conscientes.”
Costin Raiu
Ce qui est dangereux pour les organisations du monde entier, dans la majorité des
cas, c’est qu’elles ne peuvent pas se rendre compte qu’elles ont subi une attaque
ou qu’elles sont une cible intéressante pour les criminels. Les équipes informatiques
doivent considérer que ces menaces sont réelles ; la question est de savoir « quand
ces cyber-attaques interviendront » et « quelle sera l’étendue des dégâts ».
La sécurité informatique et le risque perçu pour l’entreprise
%
Atteinte à la réputation de la marque de l’entreprise
30
Espionnage industriel (à l’intérieur et
à l’extérieur de l’organisation)
21
Vol de propriété intellectuelle
16
11
Terrorisme
6
Incertitude économique (récession)
6
Catastrophes naturelles (inondations,
tremblements de terre, tempêtes, etc.)
5
Troubles politiques
4
Cyber-menaces (menaces électroniques envers
la sécurité des systèmes d’information)
4
Fraude
3
Activité criminelle (vol de propriété, incendie criminel,
vandalisme, dommages criminels)
3
17
24%
9
8
22%
8
8
21%
8
6
16%
6
5
14%
5
13%
5
7%
2 2
Classement
55%
30%
11
9
56%
42%
16
17
5
13
17
10
Sabotage (par des employés actuels ou ayant quitté l’entreprise)
4
13
1st
2nd
3rd
Le risque des périphériques
hors de contrôle
2.0
Jusqu’àrécemment, chaque employé possédait un ordinateur et
un téléphone fixe sur son bureau. Malgré les cyber-menaces, les
périphériques étaient universels et faciles à contrôler.
les trois quarts des entreprises
au niveau mondial s’attendent
à une augmentation du nombre
de périphériques dans les
12 prochains mois
Aujourd’hui, la situation est différente : le coût des connexions Internet haut débit et
des smartphones ne cesse de diminuer, et la définition d’un périphérique est en train
de changer : passant du PC à tout matériel mobile suffisamment « intelligent » et
connecté à un réseau.
Dans les petites entreprises, il peut y avoir 50 périphériques, voire plus, connectés à
Internet, pour des milliers dans les grandes entreprises. Hélas pour les équipes
informatiques, les trois quarts des entreprises au niveau mondial s’attendent à une
augmentation de ces chiffres dans les 12 prochains mois.
Pour les organisations du monde entier, un nombre croissant de dispositifs utilisés par
un effectif mobile signifie un nombre croissant de menaces. Ces périphériques, tels
que l’IPAD, sont plus difficiles à contrôler par les équipes informatiques que les PC.
De plus, bon nombre de ces dispositifs ne comportent souvent aucun logiciel de
sécurité, c’est pourquoi ils représentent la nouvelle cible des cybercriminels.
“Le périphérique ne se contente
plus d’être un simple PC, il peut être
tout périphérique suffisamment
intelligent et bien connecté à
un réseau.”
Stefan Tanase
Changement des périphériques de l’utilisateur final
Plus de 100% d’augmentation
Plus de 50–99% d’augmentation
2%
7%
2%
6%
Plus de 11–49% d’augmentation
32%
26%
75% s’attendent
à une
augmentation
76% ont connu
une augmentation
35%
Aucun changement
18%
19%
6%
6%
Toute baisse
12 derniers mois
5
85% dans les
marchés en
développement
Plus de 1–10% d’augmentation
41%
12 prochains mois
85% dans les
marchés en
développement
Les cyber-attaques et
les systèmes mal préparés
3.0
Alors que les entreprises commencent à prendre conscience de
la menace de futures potentielles violations de la sécurité, les
cybercriminels s’attaquent aujourd’hui aux entreprises qui ne
sont pas suffisamment prêtes à faire face aux menaces.
près de la moitié des
entreprises voient les
cyber-menaces comme
l’un des 3 premiers risques
Un peu moins de la moitié des entreprises estiment que les cyber-menaces seront
beaucoup plus importantes dans les deux années à venir, et comprennent pourquoi
la prévention des violations de la sécurité informatique doit être le souci numéro
un des services informatiques dans tous les départements. En dépit de cela, seule
la moitié des entreprises se sent bien équipées pour faire face à des risques
imminents, et pour celles-ci, la définition « bien préparée » peut varier d’une
entreprise à l’autre, laissant certaines plus exposées que d’autres.
“près de la moitié des entreprises
admettent qu’elles ne sont pas préparées
aux cyber-attaques. Cela indique-t-il un
certain sens du réalisme, ou qu’elles
n’obtiennent pas le budget nécessaire ?”
Roel Schouwenberg
Ce problème est amplifié dans les petites entreprises. 45 % ne pensent pas être
bien préparées aux cyber-attaques, car elles mettent en œuvre beaucoup moins
de mesures que les grandes entreprises,. Cela est souvent dû à un manque de
ressources informatiques dédiées, alors que beaucoup de grandes entreprises
peuvent s’offrir une équipe disponible 24h/24 et 7j/7. Le manque de préparation
dans les entreprises de toutes tailles vient également des réductions budgétaires ;
si ces problèmes ne sont pas à l’ordre du jour, il n’y a simplement pas de budget
pour s’y attaquer entièrement.
Augmentation des risques d’ici deux ans
Près de la moitié des entreprises voient les cyber-menaces
comme l’un des 3 premiers risques
%
Cyber-menaces (menaces électroniques à la sécurité
des systèmes d’information)
46%
Incertitude économique (récession)
37%
Atteinte à la réputation de la marque ou de l’entreprise
22%
Vol de la propriété intellectuelle
18%
Espionnage industriel (à l’intérieur
et à l’extérieur de l’entreprise)
18%
Activité criminelle (vol de propriété, incendie criminel,
vandalisme, dommages criminels)
16%
Fraude
15%
Troubles politiques
15%
Catastrophes naturelles (inondations,
tremblements de terre, tempêtes, etc.)
15%
Sabotage (par des employés actuels ou
ayant quitté la société récemment)
12%
Terrorisme
10%
% estimant que les risques seront beaucoup plus importants dans 2 ans
6
Les organisations menacées
4.0
48 % des entreprises
disent avoir ressenti une
augmentation du nombre de
cyber-attaques l’année dernière
40 % des entreprises sont
préoccupées par l’ingérence
du gouvernement dans leurs
systèmes d’information
En dépit d’un manque de préparation des équipes informatiques
et des grandes entreprises face aux menaces imminentes, les
entreprises sont conscientes du danger. 48 % des entreprises
disent avoir ressenti une augmentation du nombre de cyberattaques l’année dernière, et plus de la moitié sont inquiètes
quant à la participation des bandes criminelles organisées.
Peut-être plus important encore, 30 % des entreprises ont
estimé qu’elles étaient spécifiquement attaquées, toutefois,
ces chiffres peuvent être plus faible que prévu car les attaques
passent souvent inaperçues jusqu’à ce qu’un vol ait lieu.
Mais ce ne sont pas seulement les gangs de cyber-criminels que surveillent les
équipes de sécurité. 40 % des organisations sont préoccupées par l’ingérence du
gouvernement dans leurs systèmes d’information. Cela signifie que la cryptographie
devra devenir omniprésente, et les solutions qui existent déjà (y compris l’ensemble
du cryptage de disque et des réseaux privés virtuels) devront être mises en œuvre
pour assurer des niveaux de sécurité supérieurs.
En dépit de la majorité des menaces (61 %) venant de programmes malveillants et
d’intrusions sur le réseau, la menace pour les entreprises ne provient pas seulement
de sources extérieures. En interne, la plus forte vulnérabilité provenait de défauts de
logiciels existants ; 44 % des entreprises ont signalé un incident au cours des 12
derniers mois. Le personnel constitue également une menace interne envers les
pertes de données ; 10 % des entreprises ont été victimes de fraude ou de sabotage
par leur propre personnel et 16 % ont signalé les fuites intentionnelles de données
critiques comme étant la menace la plus importante pour l’avenir.
“En général, peu de
personnes remarquent les
attaques ciblées au début et
avant que le vol n’ait lieu.”
Costin Raiu
Perceptions du nombre de cyber-menaces
48 % ont perçu une augmentation du nombre de menaces au cours des 12 derniers mois
Diminution nette de 8 %
Score de menace net :
+ 40 %
Augmentation nette de 48 %
43%
39%
9%
2%
2%
Une diminution
significative
(50 % de moins)
7
Une légère
diminution
(1 à 49 % de moins)
Aucun
changement
Une légère
augmentation
(1 à 49 %)
Une augmentation
significative du nombre
d’événements (plus
de 50 % en plus)
Les dangers inhérents
aux nouveaux médias
5.0
Les menaces venant du personnel ne sont pas toujours des
attaques malveillantes intentionnelles. Les outils en ligne que
vos employés utilisent tant sur le lieu de travail qu’à la maison
peuvent avoir un effet direct sur votre sécurité. Les virus et
logiciels malveillants se propagent au moyen de réseaux sociaux
et les sites de partage de fichiers en particulier peuvent souvent
entraîner des problèmes pour les équipes informatiques, quelle
que soit la taille de l’entreprise. Les réseaux sociaux, par
exemple, sont maintenant considérés comme la deuxième
plus grande menace de sécurité ; 57 % des organisations
percevant l’utilisation des médias sociaux par les salariés
comme étant un risque significatif pour l’entreprise.
53 % des entreprises ont
dans une certaine mesure
interdit les sites de
réseaux sociaux aux
clients utilisateurs
Les personnes ayant le contrôle des réseaux informatiques ont répondu à ce problème
en interdisant ces réseaux sociaux. Plus de la moitié des entreprises ont désormais
interdit les sites de réseaux sociaux et 19 % ont restreint l’accès d’une manière ou
d’une autre, faisant des réseaux sociaux la deuxième activité la plus restreinte au
sein des entreprises du monde entier. Toutefois, nous avons remarqué que cela ne
fonctionne pas en réalité car le personnel trouvera toujours un moyen d’accéder à ces
réseaux, que ce soit à la maison ou sur leurs périphériques personnels. En fin de
compte, la sensibilisation de l’effectif aux risques de sécurité liés à l’utilisation de
ces réseaux est la clé pour se défendre contre cette menace à l’avenir.
“Les réseaux de partage de
fichiers Peer-to-Peer demeurent
la principale préoccupation dans
les environnements d’entreprise
et doivent être interdits dans
toute organisation qui se soucie
de la sécurité.”
Costin Raiu
Le partage de fichiers Peer-to-Peer se trouve encore en haut de la liste des interdits de
l’équipe de sécurité. 55 % des organisations voient encore le partage de fichiers comme
l’activité la plus dangereuse pour leur sécurité ; une activité qui devrait être interdite sur
les réseaux et appareils dans toute organisation qui se soucie de la sécurité.
Liste des activités ou des applications considérées comme une menace par les entreprises
Activité/Application
Total
Marchés en
développement
Marchés
développés
États-Unis
Russie
Chine
Brésil
Partage de fichiers/P2P
55%
46%
61%
62%
50%
44%
50%
Réseaux sociaux
35%
36%
35%
44%
52%
26%
41%
Téléchargement de fichier,
transfert de fichier, FTP
34%
33%
34%
33%
44%
28%
38%
Accès au site internet
32%
30%
33%
35%
42%
29%
19%
Courriel personnel/webmail
31%
29%
32%
36%
22%
28%
32%
Messagerie instantanée
23%
32%
18%
20%
19%
36%
35%
Jeux en ligne
21%
21%
21%
19%
16%
21%
32%
Streaming vidéo/TV internet
13%
18%
10%
8%
12%
21%
14%
Mise en réseau des entreprises
11%
15%
9%
5%
4%
24%
7%
Voix sur IP (VoIP)
10%
14%
8%
5%
9%
17%
9%
Les cellules ombrées indiquent des pays/groupements où la menace perçue est sensiblement plus élevée
8
La réalité des dommages
causés aux entreprises
6.0
Malheureusement pour les entreprises du monde entier, il ne s’agit
pas seulement de simples menaces futures, mais de vrais risques qui
les touchent tous les jours, à tous les niveaux. L’année dernière, 91 %
des entreprises ont subi au moins l’une de ces attaques, le plus
souvent sous la forme de programmes malveillants, suivies
ultérieurement par des spams et attaques de phishing. Parmi ces
organisations, 24 % ont vu des intrus pénétrer leur réseau d’une
manière ou d’une autre, dont 7 % ont perdu des données sensibles à
la suite de ces attaques, entraînant un coût significatif pour
l’entreprise.
91 % des entreprises ont
connu au moins une attaque au
cours des 12 derniers mois
16 % des entreprises ont été
victimes de vol de matériel
informatique dans leurs
locaux
De plus en plus d’attaques sont spécifiquement ciblées. 9 % des entreprises interrogées
ont subi une attaque ciblée au cours de l’année dernière, et beaucoup d’entre elles ont
perdu de la propriété intellectuelle sous diverses formes. Nous estimons que ce chiffre
pourrait en fait être plus élevé, car de nombreuses autres entreprises peuvent avoir été
spécifiquement ciblées, mais ne le savent pas encore.
Ces menaces diffèrent également en fonction des marchés. Dans les pays en
développement, les niveaux de perte de données sont beaucoup plus élevés, en raison de
l’absence d’expérience en termes de construction et de défense d’une infrastructure
moderne contre les attaques.
“17 % ont perdu des données
financières critiques. Cela
indique que le moteur principal
de la cyber-criminalité reste
le gain financier.”
Costin Raiu
Il est clair que les menaces qui pèsent aujourd’hui sur les entreprises sont importantes, et
se présentent sous diverses formes. Par exemple, les menaces ne sont pas seulement
basées sur le web : 16 % des entreprises ont été victimes de vol de matériel informatique
dans leurs locaux ; l’un des moyens les plus simples d’obtenir des identifiants et des
informations pour des attaques ultérieures. Les entreprises doivent ainsi adopter une
stratégie dédiée, avec de multiples niveaux de défense, y compris des anti-malwares et un
cryptage complet du disque pour assurer un niveau de sécurité aussi complet que possible.
La réalité des dommages causés aux entreprises
%
% des entreprises qui ont été victimes des attaques suivantes :
Virus, vers, logiciels espions et autres programmes malveillants
10
Spams
6
Attaques de phishing
5
Intrusion sur le réseau / piratage
30
13
37
11
7
19
9
9
61%
56%
36%
24%
Déni de service (distribué) (DoS / DDoS)
5
6
Vol de matériel informatique dans les locaux
4
7
Espionnage
4
7
3
14%
Vol de matériel informatique hors site
4
6
4
14%
Attaques ciblant spécifiquement l’entreprise/ la marque
2 3
4
Dommages criminels (y compris incendie criminel)
22
Cela a-t-il entraîné une perte de données ?
9
21
7
5
19%
16%
9%
4%
Oui - de données commerciales sensibles
Oui - de données commerciales non sensibles
Non
Comment les entreprises
réagissent-elles face aux menaces ?
7.0
Tandis que ces tendances continuent de se développer, les
entreprises se tournent globalement vers l’avenir car la sécurité
informatique et les menaces imminentes sont plus que jamais à
l’ordre du jour. Pour les équipes informatiques d’aujourd’hui, les
menaces extérieures les plus préoccupantes sont l’intrusion dans
le réseau et le piratage, alors que les défauts de logiciels existants
constituent la plus haute menace en interne.
30 % des entreprises
n’ont toujours pas
pleinement mis en place
de logiciels anti-malware
“Il est étonnant que tant d’entreprises
ne considèrent pas aujourd’hui
l’anti-malware comme une sécurité
de base nécessaire. Bien que
l’anti-malware ne soit qu’un élément
d’une stratégie bien plus complexe, il
devrait être considéré comme étant
un élément indispensable de base
à la sécurité des informations de
l’entreprise.”
Tim Armstrong
Judicieusement, les équipes informatiques commencent à prendre des mesures pour
prévenir ces risques de sécurité. La protection contre les programmes malveillants se
trouve en tête de la liste des quatre mesures principales prises par les organisations pour
protéger leurs données, suivie par la protection par pare-feu client, la sauvegarde et la
récupération de données et la gestion régulière des correctifs et mises à jour de logiciels.
Il est important de noter que les menaces internes et externes les plus importantes sont
liées aux correctifs. En appliquant les correctifs nécessaires à toutes les applications, il
sera sans aucun doute plus difficile pour un pirate d’accéder à votre réseau.
30 % des entreprises n’ont toujours pas pleinement mis en place de logiciels antimalwares. Ce chiffre est aussi préoccupant que stupéfiant. Avec toutes les menaces
existantes, ainsi qu’avec les conséquences d’une attaque éventuelle pour les entreprises,
il est choquant de voir à quel point de nombreuses entreprises ne comprennent pas la
nécessité de telles mesures de sécurité de base. L’anti-malware devrait par exemple être
considéré comme le strict minimum.
Sociétés ayant pleinement mise en place différentes mesures de sécurité
%
%
Protection anti-malware
(anti-virus, anti-spyware)
70%
Mise en place de niveaux d’accès
aux différents systèmes
informatiques par privilège
44%
Protection par pare-feu client
64%
Sécurité physique des systèmes
informatiques critiques
(par exemple, feu, vol)
42%
Sauvegarde et récupération des données
63%
Structures de réseau (par exemple, la
séparation des réseaux critiques)
42%
Gestion régulière des correctifs/
mises à jour de logiciels
63%
Politique de récupération
après sinistre et préparation
37%
Politique de sécurité informatique dans
les succursales / bureaux distants
36%
Cryptage des données
extrêmement sensibles
36%
Contrôle/Vérification de la sécurité
informatique des fournisseurs tiers
32%
Cryptage des communications
d’entreprise
31%
Politiques de sécurité distinctes pour
les dispositifs mobiles
30%
Cryptage des données
sur les appareils mobiles
27%
Quatre mesures principales
Autres mesures
10
Are you Ready for What’s Next?
7.1
Aujourd’hui, et demain, la cybercriminalité continuera à représenter une menace
pour les entreprises du monde entier. Bien que de nombreuses entreprises soient
conscientes des risques potentiels auxquels elles font face et soient prêtes à
protéger leurs entreprises, il apparaît clairement que beaucoup ne sont pas encore
totalement équipées pour faire face à ces menaces.
Vous avez peut-être du personnel mobile, qui utilise un certain nombre de dispositifs
qui vous exposent aux menaces de cyber-criminels. Que vous ayez été ciblé l’année
dernière, ou que vous vous prépareriez aux attaques potentielles, il est essentiel pour
votre entreprises que vos systèmes informatiques et périphériques soient préparés
au futur.
Chez Kaspersky Lab, nous vous aidons à prendre une longueur d’avance sur les
menaces pour aider votre entreprise à évoluer et profiter des opportunités qui
s’offre à elle en toute sécurité.
Pour consultez d’autres livres blancs, vidéos et informations, rendez-vous sur le site :
kaspersky.com/fr/beready
L’équipe d’experts Kaspersky Lab
Costin Raiu
Director of Global Research & Analysis
Kaspersky Lab
Stefan Tanase
Senior Security Researcher
Kaspersky Lab
Roel Schouwenberg
Senior Security Researcher
Kaspersky Lab
Tim Armstrong
Security Researcher
Kaspersky Lab
11