Archives par mot-clé : informatique

Chiffrement, cryptage, Cyber-attaque, Cybersécurité, DDoS, Fuite de données, Leak

Les vulnérabilités et menaces informatiques atteignent un niveau record depuis 2000

Le Rapport Annuel sur la Sécurité 2014 de Cisco révèle que le nombre total de vulnérabilités et de menaces a atteint un niveau record depuis le début de leur recensement en mai 2000. En octobre 2013, le nombre total d’alertes cumulées a augmenté de 14% en glissement annuel par rapport à 2012. Les conclusions du rapport offrent un tableau saisissant de l’évolution rapide des enjeux de sécurité auxquels sont confrontés les entreprises, les départements informatiques, et les particuliers. Les méthodes employées par les cybercriminels sont multiples : ingénierie sociale visant à dérober les mots de passe et identifiants d’utilisateurs, infiltrations « hide-in-plain-sight » (si évidentes qu’elles passent inaperçues), ou encore l’exploitation de la confiance que les internautes accordent nécessairement lorsqu’ils effectuent des transactions financières, utilisent les services publics, ou échangent sur les réseaux sociaux.

Principales conclusions du rapport :
·         Une pénurie de spécialistes de la sécurité informatique à prévoir en 2014
Le rapport souligne que l’année 2014 sera marquée par une pénurie de plus d’un million de professionnels spécialisés dans le domaine de la sécurité, ce qui pourrait mettre à mal les capacités des entreprises à contrôler et sécuriser les réseaux. Du fait de leur sophistication, les technologies et tactiques employées par les criminels en ligne – et leurs tentatives incessantes d’infiltration dans les réseaux et de vol de données – ont désormais pris de vitesse les professionnels de l’informatique et de la sécurité. La plupart des entreprises ne bénéficient pas de personnel ou de systèmes dédiés en permanence à la surveillance des réseaux étendus et à la détection des menaces. Pourtant, ces investissements sont les seuls capables d’appliquer des mesures de protection efficaces en temps voulu.

·         99% des malware mobiles ont ciblé les appareils Android en 2013
Avec 43,8 % des occurrences recensées, Andr/Qdplugin-A représente le logiciel malveillant le plus fréquemment détecté. Le malware transite habituellement via des versions dupliquées d’applications légitimes distribuées par des plateformes commerciales non-officielles.

·         Les industries chimiques et pharmaceutiques, ainsi que le secteur de la fabrication électronique, principales victimes des infections malveillantes.
En 2012 et en 2013, les malwares ont connu une recrudescence notable au sein des secteurs de l’agriculture et de l’exploitation minière, auparavant considérés comme des industries à faible risque. Les occurrences de malwares continuent de croître dans les secteurs de l’énergie ainsi que dans les industries gazière et pétrolière.

·         Les grandes entreprises, passerelles vers les sites web piratés
L’étude d’un échantillon de 30 entreprises issues du classement Fortune 500 a révélé que 100 % des réseaux de ces entreprises avaient généré un trafic visiteurs vers des pages Web hébergeant des logiciels malveillants. En effet, 96% des réseaux étudiés ont dirigé du trafic vers des serveurs piratés, alors que 92 % d’entre eux ont généré du trafic vers des pages vierges, qui hébergent généralement des activités malveillantes.

·         La recrudescence et le renforcement des attaques DDoS (par déni de service)
Les attaques DDoS (par déni de service) perturbent le trafic depuis et en direction de sites Internet ciblés, et sont capables de paralyser les FAI.  Elles ont progressé à la fois en termes de volume et de gravité. Certaines attaques DDoS ont pour objectif de dissimuler d’autres activités néfastes, telles que des fraudes électroniques perpétrées avant, pendant ou après une campagne DDoS, volontairement déstabilisantes et retentissantes.

·         Les chevaux de Troie multi-cibles constituent les attaques malveillantes les plus fréquemment repérées sur le Web
Les attaques des chevaux de Troie multi-cibles représentent 27 % de l’ensemble des attaques enregistrées en 2013. Les scripts malicieux, notamment les exploits ou les iframes malveillants, constituent la deuxième catégorie d’attaques la plus courante, avec 23 %. Les chevaux de Troie destinés au vol de données, tels que les password stealers et portes dérobées, représentent quant à eux 22 % des actes malveillants recensés sur la toile. Le déclin régulier du nombre d’adresses IP et hébergeurs de malware uniques – qui a chuté de 30 % entre janvier et septembre 2013 – laisse à penser que les activités malveillantes se concentrent désormais sur un nombre plus restreint d’adresses IP et d’hébergeurs.

·         Java demeure le langage de programmation le plus fréquemment visé par les cybercriminels.
D’après les données fournies par Sourcefire, société désormais détenue par Cisco, les exploits Java constituent la vaste majorité (91 %) des corruptions recensées par les indicateurs IOC (Indicators Of Compromise).

Tendances majeures de la cybercriminalité :
·         Une expansion et une sophistication croissantes de l’univers des menaces. Les simples attaques aux conséquences limitées ont été remplacées par des opérations de cybercriminalité minutieusement orchestrées et financées, capables d’occasionner des dommages économiques considérables et d’affecter la réputation de leurs victimes, qu’elles appartiennent au secteur privé ou à la sphère publique.

·         La complexité accrue des menaces et des technologies, qui résulte de l’adoption de plus en plus massive des Smartphones et du Cloud, permet d’étendre le champ d’attaques comme jamais auparavant. Les nouvelles catégories d’appareils et les architectures d’infrastructure les plus innovantes offrent aux pirates la possibilité d’exploiter des faiblesses jusqu’alors insoupçonnées et de s’attaquer à des composants mal protégés.

·         Les cybercriminels ont conscience qu’il est nettement plus rentable d’exploiter la puissance de l’infrastructure d’Internet que de simplement infiltrer les appareils et ordinateurs de particuliers. Ces attaques à l’échelle de l’infrastructure ciblent des serveurs d’hébergement en ligne bénéficiant d’un positionnement stratégique, des serveurs de nom de domaine ou des datacenters. Leur objectif est de multiplier les attaques sur les très nombreux systèmes individuels hébergés par ces serveurs. En ciblant l’infrastructure Internet, les pirates ébranlent la confiance des utilisateurs dans les terminaux qui y sont connectés ou qui y ont accès. (Le rapport)

Cyber-attaque, Cybersécurité, Emploi, Leak

Equipes de sécurité – l’humain au cœur du dispositif de défense

Fin de règne pour les produits magiques de sécurité – Retour aux travaux manuels ? Les 15 dernières années ont vu fleurir un nombre incroyable de produits « magiques » de sécurité informatique. Leur point commun étant leur capacité à opérer sans ou avec très peu de ressources humaines impliquées. Le meilleur exemple de cette évolution est probablement l’avènement de l’IPS, pensé pour remplacer le bon vieil outil IDS trop consommateur de ressources dans l’analyse des évènements de sécurité. « Si on peut détecter, autant décider de bloquer automatiquement ! ».

Seulement, de nos jours, la majorité des attaques sérieuses et ciblées, commanditées et réalisées sur mesure sont détectées à posteriori par l’entreprise et souvent grâce à un signal faible, voire même un coup de chance (comportement étrange, remontée utilisateur, nouveau flux détecté, etc.). Ces attaques ne peuvent donc pas être bloquées à priori car elles sont pensées pour passer au travers (ou à coté) des outils de détection classiques. Ces outils continuent de détecter et de stopper une majorité d’attaques non ciblées ou non sophistiquées générant des signaux forts (exploit frontal de vulnérabilités réseau par exemple).

Pour adresser le risque lié aux attaques ciblées commanditées et hautement financées, il est nécessaire de changer de posture de défense et de repositionner l’humain au centre des décisions.

Ainsi, on demande aujourd’hui aux IPS de nouvelle génération (NGIPS) d’être capables de remonter des Indicateurs de Compromission. Ceux-ci sont des évènements de sécurité qui, une fois corrélés et enrichis par le contexte local du réseau, font apparaître des soupçons forts de compromission pour telle ou telle machine du réseau. Comme il s’agit de soupçons et uniquement de soupçons, l’IPS Next-Generation ne peut pas décider de bloquer sans l’avis expert d’un analyste de sécurité.

Ne serait-ce pas un retour à la détection d’intrusion ? Quoi qu’il en soit, les Indicateurs de Compromission et l’expertise de l’équipe qui analyse ces indicateurs sont clés dans la capacité de détection de la présence d’une attaque ciblée sur un réseau.

Un nouveau métier pour les analystes et un besoin pour de nouveaux processus et outils : le Forensic et la remédiation
La découverte d’une attaque ciblée ouvre un chantier nouveau et ardu qui doit faire partie intégrante de la nouvelle posture de défense de l’entreprise. L’attaque est réelle, il faut être capable d’en définir le scope, d’en comprendre la dynamique complète avant de décider de se découvrir en reprenant le contrôle et en l’annihilant.

De nouveaux processus et outils sont nécessaires à cette tâche. Il faut de réelles capacités de Forensic et de retour en arrière. La capacité de remonter le temps pour comprendre le scénario d’attaque et son niveau de déploiement est nécessaire pour décider de la « bascule » (reprise du contrôle et suppression des codes ennemis déployés).

Pour la « bascule » également, il faut adopter de nouvelles capacités techniques et opérationnelles. Souvent, une telle attaque a permis de déployer un écosystème de malwares avancés sur un grand nombre de machines du réseau. Une bascule efficace doit être brutale et globale. Or, ces capacités n’étaient que très rarement intégrées dans les postures de sécurité historiquement adoptées dans les entreprises.

Encore une fois, que ce soit sur les tâches de recherche et de compréhension de l’attaque ciblée sophistiquée et sur les tâches de « bascule » et de reprise de contrôle, la compétence des ingénieurs sécurité en charge du sujet est la clé pour le succès de l’opération. (Par Cyrille Badeau, Directeur Europe du Sud, Sourcefire pour DataSecurityBreach.fr)

Cyber-attaque, Piratage

Une multiplication des cyber-attaques pour les fêtes de fin d’année ?

Des experts révèlent une vague soutenue de sites de phishing utilisant la marque Apple et une recrudescence des malware ciblant les services de banque en ligne. Alors que les fêtes de fin d’année approchent à grands pas, le rapport de sécurité de Trend Micro pour le troisième trimestre 2013 révèle une prolifération inquiétante de sites de phishing visant iOS, ainsi qu’une forte augmentation du nombre de malware ciblant les services de banque en ligne. Des découvertes qui appellent les consommateurs à davantage de prudence au cours de cette période de fêtes souvent synonyme de shopping intensif, afin de protéger leurs données personnelles et financières contre d’éventuels piratages.

« Les consommateurs étant de plus en plus attirés par l’aspect pratique des banques en ligne, les cybercriminels conçoivent de nouveaux outils à un rythme effréné afin de tirer profit du manque de vigilance ambiant », explique JD Sherry à DataSecurityBreach.fr, Vice-President of Technology and Solutions chez Trend Micro. « Par ailleurs, si Apple a toujours été perçu comme un gage de sécurité face aux menaces, nos dernières découvertes montrent que les campagnes de phishing ciblant iOS continuent de se multiplier, mettant en péril les données personnelles des utilisateurs. Ces deux tendances augurent une potentielle explosion du nombre d‘attaques pour cette fin d’année, notamment parce que le mobile sera un élément clé des achats de Noël, tant pour les commerçants que pour les consommateurs. »

Après le pic constaté au second trimestre (5 800 en mai), le nombre de sites de phishing utilisant la marque Apple est resté stable sur le troisième trimestre, avec 4 100 sites identifiés en juillet, 1 900 en août et 2 500 en septembre. L’inquiétude est cependant d’actualité pour le quatrième trimestre, les analystes tablant sur la vente de 31 millions d’iPhones et de 15 millions d’iPads sur cette période.

Les chercheurs de Trend Micro ont également identifié plus de 200 000 infections par des malware ciblant les services de banque en ligne sur le troisième trimestre. Trois pays ont été pris plus particulièrement pour cible : les Etats-Unis qui représentent près du quart (23%) de l’ensemble des infections dans le monde, suivis par le Brésil (16 %) et le Japon (12 %). L’Allemagne et la France, les pays les plus touchés en Europe, ne représentent chacun que 3 % des infections. Ce chiffre bas est sans doute le résultat des hauts niveaux d’exigence en termes d’authentification à facteurs multiples pour les transactions bancaires dans la région. A noter également que les cybercriminels font appel à des techniques d’obfuscation* de plus en plus sophistiquées. Les chercheurs ont ainsi identifié des routines visant à bloquer les debuggueurs et à empêcher toute analyse dans le cheval de Troie KINS.

Entreprise, Fuite de données, Sécurité

9 entreprise sur 10 ont connu un problème de sécurité en 2013

3 commentaires

A l’occasion de l’ouverture des Assises de la Sécurité à Monaco, Kaspersky Lab a présenté les principaux résultats de son étude « Global Corporate IT Security Risks 2013 », réalisée par B2B International en avril 2013 auprès de plus de 2800 entreprises à travers le monde. L’étude explique que 91% des entreprises ont connu au moins un incident de sécurité externe et 85% un incident interne au cours des 12 derniers mois, avec les conséquences financières que cela implique parfois. Ces chiffres élevés peuvent s’expliquer par un manque de connaissance des risques, exprimé par les professionnels. Un quart des répondants considèrent que les problèmes de sécurité informatique « n’arrivent qu’aux autres ». 28% des entreprises pensent à tort que s’équiper d’une solution de sécurité informatique représente un investissement plus élevé que les coûts liés à une attaque.

Près 60% des responsables informatiques ne disposent pas des ressources de temps et d’argent nécessaires à la mise en place de règles de sécurité informatique. En conséquence, seule 1 entreprise sur 2 pense disposer des processus automatisés et organisés nécessaires à la gestion des menaces. La situation est particulièrement critique dans le secteur de l’éducation, où 28% des organisations confirment disposer de règles de sécurité suffisantes. Plus inquiétant encore, 34% seulement des organisations gouvernementales ou travaillant dans le secteur de la défense au niveau mondial disposent des ressources nécessaires pour développer des règles de sécurité. Les autres, elles, sont exposées au danger permanent de perdre des informations gouvernementales confidentielles.

Pourtant, il suffit parfois d’une seule mesure, comme la mise en place d’une stratégie de sécurité mobile, associée à de la pédagogie, pour réduire de manière significative les risques liés à l’utilisation des smartphones et des tablettes en entreprise, qu’il s’agisse de flottes professionnelles ou dans le cadre du BYOD. Ainsi, l’étude révèle que près de la moitié des répondants ne disposent pas de ce type protection. Même les entreprises qui disposent d’une stratégie de sécurité mobile ne peuvent y attribuer les ressources associées : près de la moitié déplorent des augmentations de budgets insuffisantes, et 16% n’ont enregistré aucun accroissement budgétaire.

Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Fuite de données, Leak, Patch, Sauvegarde

Les gens prennent soin de protéger leurs données mais négligent certaines mesures élémentaires

Un commentaire

Une étude que datasecuritybreach.fr a pu consulter, réalisée par Varonis, leader des logiciels complets de gouvernance des données, indique que la grande majorité des gens comptent que les entreprises protègent leurs données, malgré le nombre élevé de brèches de sécurité signalées. L’étude montre que la plupart des personnes interrogées ont généralement de bonnes pratiques de sécurité, mais ont néanmoins des comportements à risque qui pourraient permettre à des pirates d’accéder à leurs données.

La recherche révèle qu’une majorité écrasante de 91 % des personnes interrogées supposent que les entreprises protègent leurs données personnelles et leurs identités en ligne, et cela en dépit du fait que 93 % des grandes entreprises et 87 % des petites entreprises ont connu en 2013 des failles de sécurité des données. D’une façon générale, l’étude montre que la sécurité des données a une grande valeur : 97 % des répondants préfèrent faire affaire avec une entreprise qui protège leurs données et 54 % se déclarent prêts à payer plus cher s’ils pensent qu’une entreprise protège efficacement leurs données.

Les participants à l’enquête ont fait état de plusieurs habitudes de sécurité en ligne qui seraient mises en évidence dans n’importe quel rapport de sécurité. L’étude a établi que 71 % regardent les dispositions en petits caractères des accords de licence d’utilisation et autres conditions générales.

La sécurité mobile est également prioritaire : plus des trois quarts (77 %) protègent leur téléphone par un mot de passe, et près de la moitié (47 %) utilisent une authentification à deux facteurs pour protéger leur email personnel et leurs services en ligne.

Malheureusement, Varonis a aussi découvert quelques mauvaises habitudes troublantes. Si les participants protègent avec soin leur téléphone par un mot de passe, 61 % utilisent toujours ou fréquemment le même mot de passe sur des sites web ou des applications différents, mettant ainsi leurs informations personnelles en danger. Les deux tiers des participants (67 %) reconnaissent ou soupçonnent qu’ils ont envoyé par email des informations personnelles non cryptées à une entreprise.

« Il est encourageant de constater que les gens recherchent les entreprises qui parviennent mieux à sécuriser leurs données », explique David Gibson à Data Security Breach, vice-président de Varonis. « Cependant, le grand nombre de piratages qui se produisent presque tous les jours indique que les entreprises, comme les individus, ont encore du mal à mettre en oeuvre les bases nécessaires à la sécurisation de leurs données. »

Les personnes doivent se concentrer sur l’élimination de mauvaises habitudes numériques et prendre davantage le contrôle de leur sécurité. Les entreprises ont leur part à jouer pour s’assurer que les départements informatiques mettent en œuvre les bonnes pratiques élémentaires de sécurité.

Quelques recommandations de DataSecrityBreach.fr

.    Sachez où se trouvent vos informations, qui peut y accéder, et comprenez ce que les fournisseurs de service peuvent faire de vos données sans votre consentement explicite

.    N’envoyez jamais par email de données personnelles ou autres données sensibles non cryptées, spécialement les numéros de compte, de carte de crédit et de sécurité sociale, ainsi que les informations ayant trait à la santé 3.    Choisissez des mots de passe forts — mélangeant majuscules et minuscules, chiffres et symboles spéciaux — et utilisez un mot de passe unique pour chaque site. Les gestionnaires de mots de passe sont d’un grand secours dans ce but.

·      Authentification : vérifiez que toute personne accédant à un compte soit vraiment qui elle prétend être ; l’utilisation de plusieurs facteurs est préférable

·      Autorisation : assurez-vous que les employés ont exclusivement accès aux données dont ils ont besoin

·      Audit : surveillez tous les accès

·      Alerte : analysez l’activité à la recherche d’abus potentiels

.     Assurez-vous que les employés utilisent des plateformes sécurisées et autorisées

.     Concentrez-vous sur l’équilibre entre productivité et sécurité : les employés ont besoin d’une expérience de travail moderne qui ne fasse pas courir de risques aux données de l’entreprise.

L’occasion pour les particuliers de faire de même. Voici 6 conseils pratiques pour mettre en ordre son ordinateur et faire le grand ménage de printemps.

.            Sauvegarde des fichiers. Les utilisateurs ont tendance à conserver des fichiers importants et en grande quantité sur leur système sans jamais les stocker. Or, si le système « crash », toutes ces données seront perdues.  La solution la plus simple et efficace est alors de stocker les données les plus sensibles sur un disque dur externe.

.            Nettoyage du registre du système. Le système accumule de nombreux fichiers temporaires au cours de sa vie, surtout en surfant sur Internet.

Pour qu’il fonctionne plus rapidement, la suppression de ces fichiers est alors indispensable. Il existe plusieurs outils pour supprimer les anciennes entrées de registre (sur les PC) comme le fait de vider sa corbeille régulièrement, de supprimer les fichiers temporaires Internet et les cookies, ainsi que son historique de navigation. CCleaner est un outil connu gratuit qui peut effectuer ces tâches, néanmoins une plateforme de sécurité complète telle que Kaspersky PURE 3.0 contient des outils pour nettoyer son PC qui pourront réaliser la même opération tout en protégeant également le système.

.            Défragmentation du disque dur. Il s’agit d’une option sur les systèmes Windows qui augmente la vitesse et l’efficacité du système. Sur Windows 8, cette fonctionnalité se trouve dans « Fichiers » en cherchant « défragmenteur », sur une ancienne version de Windows dans « Programme », «Accessoires », et ensuite « Outils système ». L’utilisation du défragmenteur de disque prend un certain temps et oblige de laisser son PC « au repos ». Il est donc préférable de lancer la défragmentation quand l’utilisateur est absent de chez lui ou lorsque qu’il effectue d’autres activités.

.            Suppression des programmes inconnus.  Il y a de grandes chances pour qu’au fil du temps, les programmes inutilisés s’accumulent sur le système. Mais ces programmes occupent de l’espace sur le disque et ralentissent tout le système. Sur Windows, l’opération à suivre est la suivante : cliquer dans le panneau de configuration, puis sélectionner « Ajouter/supprimer des programmes ». Examiner la liste – sélectionner les programmes inutilisés cette année pour les supprimer. Sur Mac, ouvrir le LaunchPad, et déplacer les icônes des applications inutilisées dans la corbeille.

.            Changement des  mots de passe. Il s’agit d’une étape importante à effectuer régulièrement qui peut-être couplée à la mise à jour du système. Le mot de passe idéal doit être long et compliqué : le mélange des lettres et symboles non-alphanumériques permet de complexifier les mots de passe. Le classique « 123456 » est à éviter ! L’accumulation de mots de passe différents et complexes rend difficile leur mémorisation, l’utilisation d’un gestionnaire de mots de passe facilite grandement cette tâche.

.            Installation des mises à jour des programmes. Il est nécessaire de réaliser régulièrement les mises à jour car celles-ci contiennent les derniers patchs de sécurité. Les versions plus anciennes ont plus de risque d’être exploitées par des pirates informatiques qui trouvent des faiblesses dans les programmes dépassés. Sur Windows, cliquer sur le bouton « démarrer » puis se rendre dans le panneau de configuration, cliquer sur « tous les programmes » et ensuite sur « Windows Update ». C’est ici que se trouvent l’ensemble des mises à jour pour l’ordinateur. La dernière étape est de cliquer sur « rechercher des mises à jour » afin de savoir si l’ordinateur est bien à jour.

Cybersécurité, Entreprise, Logiciels, Particuliers, Piratage, Virus

Etude mondiale sur la sécurité de l’information

Alors que 71% des entreprises affirment avoir toute confiance dans leur système de sécurité de l’information, seules 8% d’entre elles disposent d’une organisation adaptée aux nouvelles menaces informatiques.

Selon la 15ème étude « Global State of Information Security Survey 2013 »  de PwC et CIO Magazine, la sécurité de l’information reste un enjeu majeur pour les entreprises à travers le monde. Les cyberattaques sont même plus redoutées par les dirigeants que l’éclatement de la zone euro ou les catastrophes naturelles.

2012 a ainsi vu s’accroître le nombre d’incidents dans ce domaine. 27% des dirigeants interrogés en France affirment avoir connu plus de 10 incidents de sécurité l’an passé, contre 21% en 2011.  Au total, 62% des répondants français déclarent avoir connu au moins un incident de sécurité en 2012.

Avec l’émergence de nouvelles technologies, les menaces liées à la sécurité de l’information ne cessent de croître. PwC estime à 500 milliards de dollars la fourchette basse des dépenses mondiales de sécurité dans le monde. Si les budgets des entreprises françaises sont en hausse – 45% des entreprises françaises prévoient d’augmenter leurs dépenses en sécurité de l’information (vs 41% en 2011), ils ne permettent pas de proposer une réponse adaptée à ces nouvelles menaces informatiques.

Les nouvelles technologies augmentent les risques à gérer pour les entreprises…

Cloud computing, réseaux sociaux, 3G, appareils mobiles… Les nouveaux outils technologiques se sont multipliés et complexifiés lors de ces dernières années. En effet, entre 2007 et 2011, Facebook a multiplié par 115% son nombre d’utilisateurs, quand Twitter l’a vu croître de 151% sur la même période[1]. Le cloud computing devrait continuer sa progression : le marché global du Cloud computing sera 20 fois plus important en 2020 qu’en 2008.

Avec ces nouvelles pratiques, deux nouveaux risques émergent pour les entreprises, notamment le Bring Your Own Device (BYOD), qui consiste pour les salariés à utiliser leurs outils personnels au travail, et les réseaux sociaux, sur lesquels de plus en plus de collaborateurs postent des informations concernant leur entreprise.

Et parmi les menaces les plus redoutées des dirigeants, les cyberattaques sont considérées comme le troisième scénario ayant le plus d’impact sur leur organisation, bien avant le potentiel éclatement de la zone euro ou une catastrophe naturelle, selon l’étude annuelle de PwC « CEO Survey » lancée à Davos.

… mais celles-ci ne savent pas sécuriser ces nouvelles menaces.

Si l’adoption des nouveaux outils technologiques croît de manière exponentielle, leur sécurisation est beaucoup plus lente : seules 30% des entreprises françaises interrogées possèdent une stratégie de sécurité pour le Cloud, et seules 35%  ont mis en place une stratégie de sécurité spécifique à l’utilisation des appareils personnels (BYOD).

L’enquête de PwC révèle la difficulté des entreprises à gérer l’utilisation de leurs données. Si 80% des directeurs de sécurité interrogés affirment que la protection des données de leurs clients et de leurs salariés est un enjeu important pour leur entreprise, ils ne sont que 31%  à savoir exactement où les données personnelles de leurs clients et collaborateurs sont collectées, transmises et stockées – et seulement 23% en France. Ce décalage est d’autant plus risqué que selon une étude récente[2] de PwC, 73% des consommateurs interrogés affirment être prêts à partager des informations personnelles avec des entreprises mais 87% souhaitent contrôler la quantité d’information partagée.

 « Le “combat” des entreprises pour la sécurité de l’information est devenu complètement asymétrique.  La surface d’exposition des entreprises aux attaques informatiques ne cesse de croître, et il suffit à un attaquant de trouver une faille – le maillon le plus faible dans la surface exposée –  pour pénétrer dans les systèmes d’information et dérober des informations sensibles. Les règles ont changé, et les adversaires – anciens et nouveaux – se sont armés de compétences d’experts en technologie. Les risques encourus n’ont jamais été aussi élevés pour les entreprises » explique à Datasecuritybreach.fr Philippe Trouchaud, associé PwC, spécialiste de la sécurité informatique.

Un niveau de confiance des entreprises démesuré par rapport à la faiblesse des moyens mis en œuvre

Paradoxalement, alors que les menaces n’ont jamais été aussi fortes pour les entreprises, les dirigeants interrogés restent extrêmement confiants en France et dans le monde. En 2012, 63% des sondés en France, et 71% dans le monde affirment ainsi avoir toute confiance en l’efficacité de leurs systèmes de sécurité de l’information. Or, PwC n’a identifié que 8% des entreprises interrogées comme « leader », celles ayant su s’adapter, mettre en place la stratégie et les savoir-faire adaptés pour vaincre les nouvelles menaces.

L’étude montre aussi que seules 49% des entreprises réalisent une évaluation des menaces et des vulnérabilités.

« Cette confiance des entreprises dans leur système de protection semble démesurée. » commente à Data Security Breach Philippe Trouchaud. « Etant donné l’environnement actuel de menace élevée, les entreprises ne peuvent plus se permettre de jouer à un jeu de hasard. Elles doivent s’adapter à de nouvelles règles du jeu, qui exigent des niveaux de compétences plus élevés, des outils plus performants et une nouvelle stratégie pour gagner. »

Les budgets dédiés à la sécurité de l’information sont en faible hausse

Les budgets dédiés à la sécurité de l’information augmentent en France, mais faiblement. En 2011, 41% des entreprises françaises interrogées prévoyaient d’augmenter leur budget, elles sont 45% à le prévoir en 2012. Les entreprises françaises ont ainsi rattrapé le niveau mondial, qui lui accuse un net retrait, passant de 51% de dirigeants anticipant une hausse de leur budget sécurité en 2011 à 45% en 2012. Ce recul s’explique en grande partie par le contexte économique tendu.

En effet, presque la moitié des répondants (46%) classent les conditions économiques comme le principal facteur orientant les dépenses de sécurité. En France, le poids comparatif des conditions économiques dans l’orientation des budgets est encore plus net, puisque 44% des dirigeants interrogés expliquent que leur choix budgétaire en matière de sécurité de l’information est réalisé en fonction des conditions économiques, loin devant le risque pour l’image de l’entreprise – 27%.

Méthodologie « Global State of Information Security Survey 2013

L’Enquête « Global State of Information Security Survey 2013 » sur l’état général la sécurité de l’information a été publiée par PwC, CIO magazine et CSO magazine. Elle a été réalisée via internet du 1er février 2012 au 15 avril 2012. Plus de 9 300 CEO, CFO, CISO, CIO, CSO, vice présidents, et directeurs des technologies et sécurité de l’information de 128 pays étaient invités par mail à répondre à l’enquête.