http://pwc.to/XU3jJo
L’Enquête « Global State of Information Security Survey 2013 » sur l’état général la sécurité de l’information a été publiée par PwC, CIO magazine et CSO magazine. Elle a été réalisée via internet du 1er février 2012 au 15 avril 2012. Plus de 9 300 CEO, CFO, CISO, CIO, CSO, vice présidents, et directeurs des technologies et sécurité de l’information de 128 pays étaient invités par mail à répondre à l’enquête.
Etude PwC sur l'intérêt des investisseurs pour l’Afrique (avril 2015)
Etude PwC sur la sécurité de l'information (2013)
1. www.pwc.com/giss2013
Global State of Information
Security Survey® 2013
Tendances et enjeux de la sécurité de l’information
30 janvier 2013
2. Global state of information Security Survey ® 2013 en chiffres
Etude mondiale menée en 2012
par PwC en partenariat avec « CIO
magazine » et « CSO magazine » Plus de 9 300 réponses de
PDG, Directeurs Financiers, DSI,
RSSI et responsables IT et
sécurité, répartis dans 128 pays
Plus de 40 questions relatives à
la sécurité de l’information
511 réponses pour la France
Global State of Information Security Survey® 2013 • Tendances et enjeux de la sécurité de l’information 30 janvier 2013
PwC
3. Le terrain de jeu : contexte de la
sécurité aujourd’hui.
Global State of Information Security Survey® 2013 • Tendances et enjeux de la sécurité de l’information 30 janvier 2013
PwC 1
4. Section 1 – Le terrain de jeu : contexte de la sécurité aujourd’hui.
Une puissance de traitement qui double tous les 1,5 ans et
permet l’accès à des traitements nouveaux …
Efficacité des calculs, calculs par KWh, 1945–2010 Une croissance
1e+16
SiCortex SC5832 exponentielle prévue par
Calculs par KWh, échelle logarithmique
1e+15
1e+14
Dell Dimension 2400
IBM PS/2 E&
la loi de Moore…
SUN SS1000 x8
1e+13 486/25 and 486/33 desktops
« Le nombre de transistors incorporés
Apple Macintosh
1e+12 Dell Optiplex Gxi
dans un processeur va doubler tous les 24
IBM PC IBM PC/XT
1e+11
Crau I
Compaq Deskpro 386/20e mois environ »
1e+10 IBMN PC/AT
DEC PDP – 11/20 Apple IIe Gordon Moore, Co-fondateur d’Intel, 1965
1e+9
Commodore 64
1e+8 SDS 920
Altair 8800
1e+7
1e+6 Univac III R2 = 0.983
1e+5
1e+4
Univac I
Univac II
… qui n’est pas près de
1e+3
EDVAC
s’arrêter.
1e+2
ENIAC
1e+1 « L’idée est qu’à capacité de traitement
1e+0 constant, la quantité d’énergie requise va
1945 1950 1955 1960 1965 1970 1975 1980 1985 1990 1995 2000 2005 2010
être divisée par deux tous les ans et demi »
Jonathan Koomey, Stanford University, 2011
Sources: The Economist; Intel; MIT Technology Review, 2011
Global State of Information Security Survey® 2013 • Tendances et enjeux de la sécurité de l’information 30 janvier 2013
PwC 2
5. Section 1 – Le terrain de jeu : contexte de la sécurité aujourd’hui.
… une explosion des données dans le monde numérique…
80% des données n’existaient 1,8 Zetaoctet
pas il y a deux ans Quantité d’information créée et
répliquée en 2011
Digital Universe study, IDC, 2011
Capacités mondiales de stockage
4,00E+14
2007
Disque durs PC
3,50E+14 Analogique : 18,86 Exaoctet
Numérique : 276,12 Exaocter DVD / Blu-ray
Capacité de stockage, Go
3,00E+14
Bande numérique
2,50E+14 Disques durs de serveurs et
7,9 Zetaoctet
mainframe
1986 CD et mini disques Estimation de la quantité
2,00E+14 Analogique : 2,62 Exaoctet
Disques durs portables d’information qui sera créée et
Numérique : 0,02 Exaoctet
1,50E+14 Baladeurs numériques, mémoire
répliquée en 2015
flash Digital Universe study, IDC, 2011
1,00E+14 Autre médias numériques
Bande vidéo analogique
5,00E+13
Papier, films, cassettes audios,
vinyl 1 Zetaoctet = 1 000 Exaoctet
0,00E+00
1986 1993 2000 2007 = 1 000 millard de Go
Source: The World’s Technological Capacity to Store, Communicate, and Compute Information, Martin Hilbert and Priscila López, 2011
Global State of Information Security Survey® 2013 • Tendances et enjeux de la sécurité de l’information 30 janvier 2013
PwC 3
6. Section 1 – Le terrain de jeu : contexte de la sécurité aujourd’hui.
… et des coûts traitements et de stockage qui baissent
régulièrement.
Producer Price Index sur les biens
Evolution des coûts de stockage, 2005–2012
informatiques, 1998–2011
2 400 20
2 200
Index, Juin 2007 = 100
2 000
1 800 Ordinateurs portables et PDAs 15
Coût au Go, $
1 600
1 400
1 200 10
1 000 Ordinateurs fixes
800
5
600
400
200 0
Jun 2007 = 100
0 2005 2006 2007 2008 2009 2010 2011 2012
1998 2000 2005 2010
Le Producer Price Index (PPI) mesure la
variation moyenne dans le temps des prix de 0,66 $ / Go
vente reçus par les producteurs nationaux de Estimation des coûts de stockage à
marchandises et de services, en tenant compte horizon 2015
des améliorations de la qualité
Sources: United States Department of Labor, Bureau of Labor Source: Digital Universe study, IDC, 2011
Statistics; Analyse PwC
Global State of Information Security Survey® 2013 • Tendances et enjeux de la sécurité de l’information 30 janvier 2013
PwC 4
7. Section 1 – Le terrain de jeu : contexte de la sécurité aujourd’hui.
Une nouvelle ère de mobilité et de connectivité.
Smartphone et tablette, les terminaux de demain pour les entreprises
Nombre d’appareils communiquant sur un
réseau, en milliards, 2005—2015 « Nous sommes aujourd'hui au seuil d'une
18 quatrième phase dans l'évolution d’Internet [...]
Nombre d’appareils, milliards
16
un espace de réseau où des milliards de systèmes
embarqués intelligents se connectent à des
14
systèmes d’informations plus larges, et entre eux,
12 sans intervention humaine »
10 Intel, 2009
8
6 « Nous entrons dans une nouvelle ère en matière
4 de connectivité, où nous verrons la prolifération
2 de milliards d'appareils connectés dans le monde.
0
La plupart de cette croissance providenra des
2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 échanges entre machines »
Ordinateurs Consommateurs & Loisirs Jim Morrish, Machina Research, 2009
Automobile, Marine, Aviation Industrie & Automatisation
Médicale
Communication
Sources : Intel; John Gantz, The Embedded Internet: Methodology and Findings, IDC, Janvier 2009; Machina Research
Global State of Information Security Survey® 2013 • Tendances et enjeux de la sécurité de l’information 30 janvier 2013
PwC 5
8. Section 1 – Le terrain de jeu : contexte de la sécurité aujourd’hui.
Quelques nouveaux usages : l’essor des réseaux sociaux…
Nombre d’utilisateurs actifs de Facebook, Twitter et LinkedIn, Janvier 2003–Juillet 2011
800
Facebook
700
« En 2007, la présence sur les réseaux sociaux TCAC (07-11): 115%
représentait 1 minutes sur 12 passées en lignes, alors
Nombre d’utilisatieurs (millions)
qu’aujourd’hui, cela représente 1 minutes sur 6 ».
600
ComScore, Juillet 2011
500
400
LinkedIn
300 Mai 2003
Facebook
Fév. 2004
200 Twitter Twitter
Juil. 2006 TCAC (07–11): 151%
100 LinkedIn
TCAC (07–11) : 73%
0
Jan 2003 Jan 2004 Jan 2005 Jan 2006 Jan 2007 Jan 2008 Jan 2009 Jan 2010 Jan 2011
Sources : Facebook; LinkedIn; Twitter; recherche et analyse PwC
Global State of Information Security Survey® 2013 • Tendances et enjeux de la sécurité de l’information 30 janvier 2013
PwC 6
9. Section 1 – Le terrain de jeu : contexte de la sécurité aujourd’hui.
… et des changements de paradigme avec le Cloud
Computing, permettant la consumérisation des traitements
et du stockage.
TCAC TCAC
Taille du marché mondial du cloud, milliards de US$, 2008–2020 2008 – 2011 –
Estimation 2011 2020
250 241,6
233,8 Total 42,9% 21,9%
221,2
203,6
Cloud privé 6,1% 8,2%
200
Taill du marché, milliards de US$
179,5
150,2 Cloud privé virtuel 66,4% 27,5%
150
118,2
Cloud Public 63,6% 22,6%
100 87,4
61,8 « Peu importe les estimations
utilisées, il est clair que le cloud
50 40,8 computing est la ‘prochaine
27,0
14,0 18,4
grande révolution’ des
technologies
0
2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020 Wall Street Journal, 2011
Sources : ‘Sizing The Cloud’, Forrester, 2011; Analyse PwC
Global State of Information Security Survey® 2013 • Tendances et enjeux de la sécurité de l’information 30 janvier 2013
PwC 7
10. Section 1 – Le terrain de jeu : contexte de la sécurité aujourd’hui.
La réduction constante des coûts de stockage, de traitements
et télécoms, et la généralisation de la virtualisation ont porté
l’émergence de nouveaux usages sur les technologies.
Hausse des capacités de Cloud Computing
traitement
Explosion de données Mobilité
numériques Un essor des
usages liés aux Bring Your Own
nouvelles Device
Essor des moyens de technologies
communication
Big Data
Accroissement de l’agilité
Réseau
par la virtualisation
Sociaux
Global State of Information Security Survey® 2013 • Tendances et enjeux de la sécurité de l’information 30 janvier 2013
PwC 8
11. Section 1 – Le terrain de jeu : contexte de la sécurité aujourd’hui.
Les évolutions sur les technologies sont portées par les
priorités d’investissement des dirigeants…
Changements anticipés par les CEO dans les 12 prochains mois
Stratégies de croissance / rétention / 17% 51% 31%
fidélisation de la clientèle
Stratégies de gestion des talents 23% 54% 23%
Augmentation des investissements dans 25% 54% 21%
les technologies
Structure organisationnelle 26% 52% 22%
Augmentation des capacités de R & D et
32% 50% 17%
d'innovation
Pas de changement Quelques changements Un changement majeur
Source : 16th Annual Global CEO Surevy, 2013, PwC
Question: Dans quelle mesure anticipez vous des changements au sein de votre entreprise au cours des 12 prochains mois?
Global State of Information Security Survey® 2013 • Tendances et enjeux de la sécurité de l’information 30 janvier 2013
PwC 9
12. Section 1 – Le terrain de jeu : contexte de la sécurité aujourd’hui.
.. se reflètent dans les dépenses en technologies de
l’information au niveau mondial…
3,6 trillions de dollars
Dépenses en technologies de l’information en 2012, soit
une augmentation de 3% par rapport à 2011. Celles-ci sont
estimées à 4,1 trillions de dollars en 2016.
Gartner , IT spending, janvier 2013
Global State of Information Security Survey® 2013 • Tendances et enjeux de la sécurité de l’information 30 janvier 2013
PwC 10
13. Section 1 – Le terrain de jeu : contexte de la sécurité aujourd’hui.
… et permettent de répondre aux attentes des entreprises…
Agilité
Collaboration
Innovation
Accès à de nouveaux
marchés par la
Changements sur les numérisation
opérations avec l’essor du
multicanal
Réponse aux
comportement des clients
et des employés
Global State of Information Security Survey® 2013 • Tendances et enjeux de la sécurité de l’information 30 janvier 2013
PwC 11
14. Section 1 – Le terrain de jeu : contexte de la sécurité aujourd’hui.
Cependant, ces évolutions technologiques ont également une
incidence directe sur la sécurité de l’information.
Plus de données à protéger
Des actifs plus nombreux et plus
complexes à sécuriser
Des systèmes plus connectés, plus
mobiles et plus ouverts
Le terrain de jeu de la sécurité ne cesse de s’accroître et renforce
l’asymétrie avec les attaquants
Global State of Information Security Survey® 2013 • Tendances et enjeux de la sécurité de l’information 30 janvier 2013
PwC 12
15. Section 1 – Le terrain de jeu : contexte de la sécurité aujourd’hui.
2 dirigeants sur 3 identifient les cyberattaques comme un
scénario pouvant avoir des impacts négatifs sur leur
organisation.
Scénarios qui, selon les CEO, auront les impacts les plus importants sur leur organisation
Troubles sociaux majeurs dans le pays dans
75%
lequel vous êtes basé
Récession aux USA 67%
Cyberattaque ou perturbation majeure d'Internet 63%
Catastrophe naturelle perturbant un hub majeur
56%
de commerce / fabrication
Eclatement de la zone Euro 53%
Tensions militaires ou commerciales influant sur
53%
l'accès aux ressources naturelles
Crise sanitaire (par exemple pandémie virale,
52%
crise de la sécurité alimentaire / eau)
Croissance du PIB de la Chine inférieure à 7,5%
51%
par an
Source : 16th Annual Global CEO Surevy, 2013, PwC
Question : Dans quelle mesure votre organisation pourrait faire face aux scénarios suivants, s’ils survenaient dans les 12 prochains mois ?
(répondants ayant répondu “impact négatif”)
Global State of Information Security Survey® 2013 • Tendances et enjeux de la sécurité de l’information 30 janvier 2013
PwC 13
16. Section 1 – Le terrain de jeu : contexte de la sécurité aujourd’hui.
Leon Panetta, secrétaire de la Défense des Etats-Unis,
Cybersecurity to the Business Executives for National
Security, New York City, October 11, 2012
« Je sais que quand les gens pensent à la cybersécurité aujourd'hui, ils
s'inquiètent des hackers et des criminels qui rôdent sur Internet, volent
l'identité des gens, volent aux entreprises des informations sensibles, volent
même des secrets de sécurité nationale. Ces menaces sont réelles et elles
existent aujourd'hui.
Mais un plus grand danger - le plus grand auquel nous sommes confrontés
dans le cyberespace va au-delà du crime et va au-delà du harcèlement. Une
cyberattaque perpétrée par les États-nations de groupes
extrémistes violents peut être aussi destructrices que l'attaque
terroriste du 9 septembre 2011. Une attaque cyber-terroriste aussi
destructrice pourrait pratiquement paralyser le pays. »
Global State of Information Security Survey® 2013 • Tendances et enjeux de la sécurité de l’information 30 janvier 2013
PwC 14
17. Section 1 – Le terrain de jeu : contexte de la sécurité aujourd’hui.
Cette prise de conscience renforcée se traduit par des
montants consacrés par les entreprises à la sécurité en
hausse constantes…
14%
Part des dépenses informatiques consacrées à la sécurité
en 2010. Ce ratio n’était que de 8,2% en 2007.
Forrester, The Evolution Of IT Security, 2010 To 2011
11,36 milliards de dollars
Sommes consacrée en 2011 par les Etats-Unis pour la protection
des données classifiées.
Report on Cost Estimates for Security Classification Activities for Fiscal Year 2011
500 milliards de dollars
Fourchette basse des dépenses mondiales en sécurité.
Estimation PwC
Global State of Information Security Survey® 2013 • Tendances et enjeux de la sécurité de l’information 30 janvier 2013
PwC 15
18. Section 1 – Le terrain de jeu : contexte de la sécurité aujourd’hui.
… et les nouvelles menaces, notamment la cybercriminalité,
ne sont pas prêtes de stopper cette tendance.
60 milliards de dollars
Dépenses mondiales dans le domaine de la cybersécurité en 2011, avec
une progression de 10% par ans durant les 3 à 5 prochaines années.
Marché de la cybersécurité : entreprises qui fournissent des produits et / ou services à des fins
défensifs ou offensifs à travers sur les domaines de l'informatique, des télécommunications et de
l’industrie
PwC, CyberSecurity M&A
Marché des infrastructure de sécurité en milliards de dollars 2012–2016
100
90
80
Milliards de $
70 Logiciels de sécurité
60
50 Services de sécurité
40
30
Equipement de sécurité
20
réseau d'entreprise
10
0
2012 2016
Source : Forecast Overview: Security Infrastructure, Worldwide, 2010-2016’, Gartner, 2012
Global State of Information Security Survey® 2013 • Tendances et enjeux de la sécurité de l’information 30 janvier 2013
PwC 16
19. Section 1 – Le terrain de jeu : contexte de la sécurité aujourd’hui.
Quelques chiffres sur la sécurité au niveau mondial.
5,5 milliards d’attaques bloquées en 2011
Celles-ci étaient de 3 milliards en 2010.
Symantec, Website security threat report, mai 2012
294 milliards d’emails échangés
par jour dans le monde
Radicati Group, 2010
68 % d’emails en 2012 étaient des spams
Ce chiffre est en retrait par rapport au taux de 90% de 2010.
Symantec Intelligence report, 2012
Global State of Information Security Survey® 2013 • Tendances et enjeux de la sécurité de l’information 30 janvier 2013
PwC 17
20. Section 1 – Le terrain de jeu : contexte de la sécurité aujourd’hui.
Comment se positionnent les DSI sur ces tendances
technologiques et sur la sécurisation de leur SI ?
Sécurité = priorité n°1 des DSI
Selon plusieurs études, la sécurité reste la principale priorité
des DSI.
Global State of Information Security Survey® 2013 • Tendances et enjeux de la sécurité de l’information 30 janvier 2013
PwC 18
21. Pour beaucoup d’entreprises, la sécurité est
devenue un jeu auquel il est presque
impossible de gagner.
Les règles ont changé et les opposants –
anciens et nouveaux – sont armés de
compétences expertes sur les technologies, et
les risques sont plus importants que jamais.
22. La France reste de manière
inquiétante largement en retrait par
rapport au monde sur les dispositifs
de sécurité qu’elle met en œuvre.
Global State of Information Security Survey® 2013 • Tendances et enjeux de la sécurité de l’information 30 janvier 2013
PwC 20
23. Section 2 – La France reste de manière inquiétante largement en retrait par rapport au monde sur les dispositifs de sécurité qu’elle met en œuvre.
Fleur Pellerin, Ministre délégué chargée de l’économique
numérique
« […] très forte dépendance de notre économie et de notre société à
l’égard des infrastructures de télécommunications. Dans les sondages,
nos concitoyens placent l’accès aux réseaux mobiles et Internet au premier
plan de leurs préoccupations en matière de services et d’usages, devant
l’électricité ou le gaz. »
Global State of Information Security Survey® 2013 • Tendances et enjeux de la sécurité de l’information 30 janvier 2013
PwC 21
24. Section 2 – La France reste de manière inquiétante largement en retrait par rapport au monde sur les dispositifs de sécurité qu’elle met en œuvre.
Au niveau mondial, les répondants ont moins de
connaissance sur leurs données qu’il y a 3 ans, et la France, si
elle rattrape son retard, reste en retrait.
France Monde
24% 39%
Inventaire exact des 24% 35%
données 21% 29%
28% 31%
Inventaire exact d'où 22% 40%
sont collectées,
transmises et 22% 39%
stockées les données 23% 33%
personnelles des
employés et clients 24% 34%
0% 10% 20% 30% 40% 0% 10% 20% 30% 40%
2009 2010 2011 2012
Question 38 : « Quel importance vos entreprise accorde à la protection des types d’information suivantes ? » Question 11 : « Quelles mesures de
protection des données personnelles votre organisation a-t-elle en place actuellement ? »
49 %
des entreprises réalisent une évaluation des menaces et des
vulnérabilités.
Global State of Information Security Survey® 2013 • Tendances et enjeux de la sécurité de l’information 30 janvier 2013
PwC 22
25. Section 2 – La France reste de manière inquiétante largement en retrait par rapport au monde sur les dispositifs de sécurité qu’elle met en œuvre.
Le taux d’adoption d’outil technologique évolue plus vite que
sa sécurisation.
France Monde
Possède une stratégie de sécurité pour 24% 43%
le Cloud 30% 45%
Possède une stratégie de sécurité pour 26% 32%
les appareils mobiles 36% 38%
Possède une stratégie de sécurité des 24% 37%
medias sociaux 29% 44%
Possède une stratégie de sécurité 26%
31%
spécifique à l'utilisation des appareils 29%
35%
personnels (BYOD)
0% 10% 20% 30% 40% 0% 10% 20% 30% 40% 50%
2011 2012
Question 14 : Question 11 : « Quelles processus de protection de la sécurité des informations votre organisation a en place actuellement ? »
(Extrait des réponses possibles – le total dépasse 100%)
88 %
des consommateurs utilisent leur appareils personnels pour
des raisons à la fois personnelles et professionnelles.
PwC, Consumer privacy: What are consumers willing to share? Juillet 2012
Global State of Information Security Survey® 2013 • Tendances et enjeux de la sécurité de l’information 30 janvier 2013
PwC 23
26. Section 2 – La France reste de manière inquiétante largement en retrait par rapport au monde sur les dispositifs de sécurité qu’elle met en œuvre.
Les politiques de sécurité deviennent moins robustes et
limitent leur champ d’application, avec, en France, un champ
d’application moindre qu’au niveau mondial, et ce depuis
plusieurs années.
60% Monde
59%
50% 53% 53%
51%
49% 48%
40%
42% 42%
38% 38% 39% 38%
35% 37% 36%
30% 33% 32% 33%
32%
29%
20% 24% 23% 22%
16%
10%
0%
Sauvegarde et Administration Sécurité des Traces et Revue régulière Sécurité Inventaire des Classification de
restoration / des utilisateurs applications surveillance des utilisateurs physique actifs / gestion la valeur métier
continuité et des accès des actifs des données
d'activité
2010 2011 2012
Question 32 : « Lesquels des éléments suivants sont inclus dans votre politique de sécurité ? » (Extrait des réponses possibles)
Global State of Information Security Survey® 2013 • Tendances et enjeux de la sécurité de l’information 30 janvier 2013
PwC 24
27. Section 2 – La France reste de manière inquiétante largement en retrait par rapport au monde sur les dispositifs de sécurité qu’elle met en œuvre.
Au niveau mondial, l’utilisation de technologies clés de
protection a repris son déclin après une hausse l’année
dernière. La France suit la même tendance mondiale, tout en
restant structurellement à des niveaux plus bas d’utilisation.
90% Monde
80%
83%
70%
72% 72% 71%
60%
62%
58% 57% 57% 59%
50% 54% 52%
53% 53% 53%
47% 46% 48% 47%
40% 44% 45% 43% 43%
39%
30% 36%
20%
10%
0%
Détection de code Outils de détection Outils de découverte Outils de scan des Outils de prévention Outils de corrélation
malicieux (spyware & d'intrusion des systèmes non vulnérabilités des pertes de donnés des événements de
adware) autorisés (DLP) sécurité
2009 2010 2011 2012
Question 15 : « Quelles technologies de protection de la sécurité de l’information votre organisation a-t-elle en place actuellement ? » (Extrait des
réponses possibles)
Global State of Information Security Survey® 2013 • Tendances et enjeux de la sécurité de l’information 30 janvier 2013
PwC 25
28. Section 2 – La France reste de manière inquiétante largement en retrait par rapport au monde sur les dispositifs de sécurité qu’elle met en œuvre.
Une majorité des répondants pensent avoir inculqué une
culture de la sécurité de l’information efficace dans leur
organisation.
France 24% 39% 63% confiants
Monde 29% 39% 68% confiants
0% 10% 20% 30% 40% 50% 60% 70% 80%
Très confiant Plutôt confiant
Question 35 : « Quel est le niveau de confiance quant à la propagation d’une culture de la sécurité de l’information au sein de votre organisation ? »
Global State of Information Security Survey® 2013 • Tendances et enjeux de la sécurité de l’information 30 janvier 2013
PwC 26
29. Section 2 – La France reste de manière inquiétante largement en retrait par rapport au monde sur les dispositifs de sécurité qu’elle met en œuvre.
Même si une large majorité des répondants ont confiance
dans l’efficacité de leurs dispositifs de sécurité, celle-ci
s’effrite d’année en année.
80% 87% France 80% 83% 82%
Monde
74% 72% 71%
60% 65% 63% 63% 60%
55%
40% 40%
20% 20%
0% 0%
Confiant (Très confiant ou Plutôt confiant) Confiant (Très confiant ou Plutôt confiant)
2008 2009 2010 2011 2012
Question 41 : « Quel est le niveau de confiance quant à l’efficacité de vos activités de sécurité de l’information ? »
Global State of Information Security Survey® 2013 • Tendances et enjeux de la sécurité de l’information 30 janvier 2013
PwC 27
30. Souvent, les comportements sur la sécurité
ne suivent pas une roadmap rationnelle.
Illustration ? L’optimisme prédomine parmi
les dirigeants, même si les données ne
supportent pas nécessairement ce sentiment.
31. Des incidents en hausse en France
comme au niveau mondial, mais
leurs impacts semblent marquer un
recul après 4 ans de progression.
Global State of Information Security Survey® 2013 • Tendances et enjeux de la sécurité de l’information 30 janvier 2013
PwC 29
32. Section 3 – Des incidents en hausse en France comme au niveau mondial, mais leurs impacts semblent marquer un recul après 4 ans de progression.
Jean-Marie Bockel, sénateur du Haut-Rhin, rapport sur la
cyberdéfense « Cyberdéfense : un enjeu mondial, une priorité
nationale »
« Notre dispositif connaît d'importantes lacunes. La France ne dispose pas de
protection et de systèmes de détection des attaques informatiques des
opérateurs d'importance vitale. Il s'agit d'un enjeu majeur pour notre sécurité.
[…] La France est aujourd'hui menacée par un 'pillage' de son
patrimoine diplomatique, économique, scientifique et culturel. »
Global State of Information Security Survey® 2013 • Tendances et enjeux de la sécurité de l’information 30 janvier 2013
PwC 30
33. Section 3 – Des incidents en hausse en France comme au niveau mondial, mais leurs impacts semblent marquer un recul après 4 ans de progression.
Le nombre des incidents de sécurité repart à la hausse, en
France comme au niveau mondial.
1 entreprise sur 4
a connu plus de 10 incident de sécurité
en 2012
14% des entreprises
ne savent pas combien d’incidents elles
ont subi
31% des entreprises
on subit un temps d’arrêt total de plus de
8 heures sur 2012 suite aux incidents
Question 17 : « Nombre d’incidents de sécurité sur les 12 derniers mois. » Question 23 : « Temps d’arrêt total sur les 12 derniers mois résultant
d’un incident de sécurité (indisponibilité des services / applications / réseaux) »
Global State of Information Security Survey® 2013 • Tendances et enjeux de la sécurité de l’information 30 janvier 2013
PwC 31
34. Section 3 – Des incidents en hausse en France comme au niveau mondial, mais leurs impacts semblent marquer un recul après 4 ans de progression.
Les impacts financiers des incidents sont en net retrait après
un niveau stable pendant 2 ans.
11%
Perte financières
Impact des
incidents
sur les
entreprises
9% 9%
Vol de propriété Compromission de
intellectuelle l’image de marque
Question 21 : « Comment votre organisation a-t-elle été affectée par les incidents de sécurité ? » (Extrait des réponses possibles)
Global State of Information Security Survey® 2013 • Tendances et enjeux de la sécurité de l’information 30 janvier 2013
PwC 32
35. Section 3 – Des incidents en hausse en France comme au niveau mondial, mais leurs impacts semblent marquer un recul après 4 ans de progression.
Des estimations indépendantes indiquent que les impacts
financiers sont en hausse.
En 2011 en France, on estimait à 2,55 millions d'euros le coût moyen d’une
violation de données, soit 16 % de plus qu’en 2010, avec un coût moyen par
donnée piratée de 122 euros, soit 13 % de plus qu’un an plus tôt. Celui-ci
intègre à la fois les frais de gestion des incidents, de veille sur les moyens de
paiement dont la sécurité a été compromise, etc.
« Intégrer l’assurance dans la gestion des risques liés à la sécurité des
données », Hiscox
Global State of Information Security Survey® 2013 • Tendances et enjeux de la sécurité de l’information 30 janvier 2013
PwC 33
36. Section 3 – Des incidents en hausse en France comme au niveau mondial, mais leurs impacts semblent marquer un recul après 4 ans de progression.
2011-2012 : Rétrospectives sur les cas de piratage majeurs de
l’année
Source : Dashlane.com
Global State of Information Security Survey® 2013 • Tendances et enjeux de la sécurité de l’information 30 janvier 2013
PwC 34
37. Section 3 – Des incidents en hausse en France comme au niveau mondial, mais leurs impacts semblent marquer un recul après 4 ans de progression.
Tony Hsieh, CEO de Zappos.com, suite à une cyberattaque
sur leur base de données client.
« Nous avons passé plus de 12 ans à bâtir notre réputation,
marque, et confiance auprès de nos clients. Il est douloureux pour
nous de faire autant de pas en arrière en raison d'un incident isolé.
Je suppose que le seul point positif est que la base de données qui stocke les
cartes de crédit de nos clients critiques et d'autres données de paiement n‘ont
pas été affectée ou accessibles. »
Global State of Information Security Survey® 2013 • Tendances et enjeux de la sécurité de l’information 30 janvier 2013
PwC 35
38. Section 3 – Des incidents en hausse en France comme au niveau mondial, mais leurs impacts semblent marquer un recul après 4 ans de progression.
Steve Sordello, CFO de Linkedin, suite à la fuite plus de 6,5
millions de mots de passe.
Steve Sordello a annoncé lors des présentations des résultats de 2e trimestre
2012 que les travaux de forensic ont coûté entre 500 000 et 1 millions
de dollars, et la société investirait entre 2 et 3 millions de dollars
pour améliorer la sécurité.
Global State of Information Security Survey® 2013 • Tendances et enjeux de la sécurité de l’information 30 janvier 2013
PwC 36
39. Les budgets repartent à la hausse en
France, mais ne sont pas orientés par
des besoins sécurité.
Global State of Information Security Survey® 2013 • Tendances et enjeux de la sécurité de l’information 30 janvier 2013
PwC 37
40. Section 4 – Les budgets repartent à la hausse en France, mais ne sont pas orientés par des besoins sécurité.
Après un creux entre 2008 et 2010, l’augmentation des
budgets continue de progresser en France et s’aligne sur les
niveaux mondiaux.
France
60%
44%
50% des entreprises en France
45%
déclarent que leurs budgets
40% 42% 41% sécurité sont tirés par les
30% 33%
conditions économiques.
29%
Les deux autres facteurs
20%
19% principaux, l’impact sur l’image
10% de l’entreprise (27%) ou la
conformité réglementaire (26%),
0%
2007 2008 2009 2010 2011 2012 se classent loin derrière.
Question 8 : « Par rapport à l’année dernière, les dépenses en termes de sécurité sur les 12 prochains mois vont : » (total des réponses
« augmenter de 0 à 10% », « augmenter de 11 à 30% », « augmenter de plus de 30% » )
Global State of Information Security Survey® 2013 • Tendances et enjeux de la sécurité de l’information 30 janvier 2013
PwC 38
41. Les critères pour identifier les
leaders mettent en avant des
opportunités d’amélioration pour un
grand nombre d’entreprises.
Global State of Information Security Survey® 2013 • Tendances et enjeux de la sécurité de l’information 30 janvier 2013
PwC 39
42. Section 5 – Les critères pour identifier les leaders mettent en avant des opportunités d’amélioration pour un grand nombre d’entreprises.
Les répondants se considèrent principalement, au niveau
mondial comme en France, comme disposant d’une stratégie
efficace et proactifs dans son exécution.
Monde
50%
40% 43% 42%
30%
27% 25%
20%
15% 16% 16%
10% 14%
0%
Avant-gardiste Stratège Tacticien Pompier
2011 2012
Avant-gardiste Nous avons une stratégie efficace en place et nous sommes proactifs dans son exécution
Stratège Nous sommes meilleurs dans la bonne définition de la stratégie que dans son exécution
Tacticien Nous sommes meilleurs pour « faire avancer les choses » que dans la définition d’une stratégie efficace
Pompier Nous n’avons pas de stratégie en place et nous sommes en mode réactif
Question 28 : « Quelle description correspond le mieux à l'approche de la sécurité de l’information de votre entreprise ? »
Global State of Information Security Survey® 2013 • Tendances et enjeux de la sécurité de l’information 30 janvier 2013
PwC 40
43. Section 5 – Les critères pour identifier les leaders mettent en avant des opportunités d’amélioration pour un grand nombre d’entreprises.
Seulement 8% de répondants sont de véritables leaders.
Monde
8%
42%
0% 10% 20% 30% 40% 50%
Leaders Avant-gardistes
Critères permettant d’identifier les leaders :
1. Disposent d’une stratégie globale de sécurité de l’information
2. Ont une fonction au niveau du top management en charge de la sécurité
3. Ont mesuré et revu l’efficacité du dispositif de sécurité de l’information sur l’année précédente
4. Disposent d’une connaissance des incidents de sécurité ayant touché l’organisation
Global State of Information Security Survey® 2013 • Tendances et enjeux de la sécurité de l’information 30 janvier 2013
PwC 41
44. Section 5 – Les critères pour identifier les leaders mettent en avant des opportunités d’amélioration pour un grand nombre d’entreprises.
En quoi ces leaders sont différents ?
Tous les
Leaders répondants
Pensent que les dépenses sécurité vont augmenter l’année prochaine 74% 45%
Emploient un RSSI ou équivalent 90% 42%
Intègrent la sécurité des initiatives majeurs au lancement des projets 45% 25%
Les dépenses sécurité sont complètement alignés avec les objectifs 50% 30%
commerciaux de l’entreprise
Sont confiants quant à la propagation des bonnes pratiques de sécurité de 94% 68%
l’information
Ont un cadre de travail intégrant la conformité, l’utilisation des données 92% 60%
personnelles, la sécurité et le vols des identités
Ont une stratégie dédiée à la sécurité mobile 57% 44%
Utilisent les outils de détection de codes malicieux 86% 71%
Utilisent les outils de prévention d’intrusion 78% 59%
Ont revu ou mesuré l’efficacité de la politique de sécurité 100% 49%
Ne connait pas le nombre d’incidents de sécurité sur les 12 derniers mois 2% 14%
Global State of Information Security Survey® 2013 • Tendances et enjeux de la sécurité de l’information 30 janvier 2013
PwC 42
45. Quelles implications pour votre
entreprise ?
Global State of Information Security Survey® 2013 • Tendances et enjeux de la sécurité de l’information 30 janvier 2013
PwC 43
46. Section 6 – Quelles implications pour votre entreprise ?
Ce que vous pouvez faire pour améliorer votre performance.
La sécurité des informations aujourd’hui est un jeu impliquant des compétences et des stratégies
avancées. Avec pour conséquence l’insuffisance des modèles de sécurité de la précédente
décennie.
Une sécurité efficace implique un nouveau modèle de pensée. La survie de votre entreprise implique
que les responsables de la sécurité comprennent, préparent et réagissent rapidement aux menaces
de sécurité.
Les entreprises qui cherchent à renforcer leur dispositif de sécurité doivent :
• Implémenter une stratégie basée sur une évaluation globale des risques, et aligner leurs
investissements en sécurité avec les risques identifiés ;
• Comprendre quelles sont les informations de l’entreprise, qui elles pourraient intéresser, et
quelques tactiques leurs adversaires pourraient utiliser pour les obtenir ;
• Comprendre que les besoins relatifs à la sécurité des informations – et bien entendu les stratégies
globales pour faire des affaires – a atteint un tournant ;
• Embrasser un nouveau mode de pensée dans lequel la sécurité et à la fois un moyen de
protéger les données et une opportunité pour créer de la valeur pour l’entreprise.
Global State of Information Security Survey® 2013 • Tendances et enjeux de la sécurité de l’information 30 janvier 2013
PwC 44