Sécurité des Systèmes d’Information
Le pragmatisme et l’innovation
de PwC à votre
service
*connectedthinking
Réduire les risques par une meilleure mise en œuvre des politiques de sécurité IT Global State of Information Security Survey®, baromètre 2008
1. Introduction 2. Synthèse
3. Pilotage de la dépense « sécurité » 4. Tendances et thèmes saillants
5. Points d’attentions : méconnaissance des métriques fondamentales 6. Data Loss Prevention : un sujet à suivre
7. Résultats généraux par zones géographiques 8. Focus industries
9. Conclusion, questions et réponses
Sommaire
Introduction
1. Introduction 2. Synthèse
3. Pilotage de la dépense « sécurité » 4. Tendances et thèmes saillants
5. Points d’attentions : méconnaissance des métriques fondamentales 6. Data Loss Prevention : un sujet à suivre
7. Résultats généraux par zones géographiques 8. Focus industries
9. Conclusion, questions et réponses
Méthodologie
Le « Global State of Information Security 2008 » est une étude mondiale menée par PricewaterhouseCoopers et CIO magazine.
Interviews réalisées via internet au 2
ndsemestre 2008 auprès de :
• Plus de 7 000 personnes
• Dans 119 pays
• CEO, CFO, COO, CIO, CISO, CTO, CSO
• Dont 500 personnes en France représentant tous les secteurs d’activité.
Edition 2009 : lancement de l’étude prochainement, votre participation est la bienvenue
1. Introduction
6 PricewaterhouseCoopers
Echantillon
Moyen($100M -
$1Billion US) 17%
Ne savent pas 13%
Sans but lucratif/Gouv./Edu.
12%
Petit(< $100M US) 38%
Important (>
$1Billion US) 20%
1. Introduction
Equipes IT &
Sécurité (Management) 34%
Equipes IT &
Sécurité (Autres) 33%
DSI, RSSI 12%
DG, DAF 16%
Compliance /Risk/Privacy 5%
Fonctions des personnes interrogées Taille des entreprises sondées selon leurs revenus
Echantillon
Europe 27%
Moyen orient/Afrique 2%
Amérique du nord 39%
Amérique du sud 15%
Asie 17%
1. Introduction
Secteurs d’activité des entreprises sondées Répartition géographique
Technologie; 12%
Engineering/
Construction, 4%
Produit de consommation/Détail; 6%
Télécommunications/Médi as/Loisirs; 6%
Autres; 6%
Santé; 6%
Gouvernement; 8%
Industries manufacturières; 8%
Services financiers; 9%
Organisation à but non lucratif/Education; 10%
Consulting/
Professional Services, 12%
8 PricewaterhouseCoopers
Echantillon
Technologie; 7%
Engineering/
Construction, 4%
Produit de consommation/Détail; 5%
Télécommunications/Médi as/Loisirs; 5%
Autres; 8%
Santé; 4%
Gouvernement; 12%
Industries manufacturières; 15%
Services financiers; 8%
Organisation à but non lucratif/Education; 7%
Consulting/
Professional Services, 12%
1. Introduction
Secteurs d’activité (France) Secteurs d’activité (Europe)
Technologie; 10%
Energie; 2%
Engineering/
Construction, 4%
Produit de consommation/Détail; 5%
Télécommunications/Médi as/Loisirs; 10%
Autres; 8%
Santé; 4%
Gouvernement; 8%
Industries manufacturières; 10%
Services financiers; 8%
Organisation à but non lucratif/Education; 8%
Consulting/
Professional Services, 12%
2. Synthèse
1. Introduction 2. Synthèse
3. Pilotage de la dépense « sécurité » 4. Tendances et thèmes saillants
5. Points d’attentions : méconnaissance des métriques fondamentales 6. Data Loss Prevention : un sujet à suivre
7. Résultats généraux par zones géographiques 8. Focus industries
9. Conclusion, questions et réponses
10 PricewaterhouseCoopers
Si la présente édition du baromètre met en exergue des progrès significatifs notamment sur un plan technologique, il n’en reste pas moins que :
• Près de 41 % des entreprises ne disposent pas d’une stratégie de sécurité.
• 35 % d’entre elles ne savent pas dire s’il ya eu au cours des 12 derniers mois des incidents de sécurité.
• 42 % d’entre elles ne peuvent déterminer les causes des incidents de sécurité.
De plus, l’identification et l’évaluation des risques, qui sont des éléments majeurs permettant
déterminer la pertinence et l’efficience du dispositif de gestion de la sécurité de l’information, n’est conduit que par 55% des entreprises.
Si 59% des organisations déclarent avoir une stratégie de sécurité pour leur système
d’information, leurs priorités d’investissement, leur organisation, et leur connaissance des enjeux restent inégales et elles sont donc vulnérables.
2. Synthèse
On constate globalement pour cette édition 2008 :
Une maturité technologique des entreprises, de plus en plus équipées :
– 59% des décideurs déclarent avoir mis en œuvre une « stratégie globale de sécurité du système d’information » (contre 57% l’an passé) et les progrès en matière d’infrastructure et d’outils technologiques sont réels :
• 55% des entreprises disposent de bases de données chiffrées (45% en 2007), 63% possèdent des logiciels de détection d’intrusion (contre 59% en 2007)
• Les firewalls de protection des postes utilisateurs sont en augmentation également (67% cette année contre 62% l’année dernière)
– Elles sont également de plus en plus nombreuses à accompagner leurs collaborateurs grâce à des formations de sensibilisation (54%, soit 12 points de plus qu’en 2007)
– Par ailleurs, près d’une organisation sur deux (44%) déclare prévoir d’accroître son budget de sécurité dans l’année à venir
2. Synthèse
12 PricewaterhouseCoopers
Une faiblesse persistante dans l’exécution des politiques de sécurité et la connaissance des risques :
– 57% des organisations de ne mesurent pas la conformité opérationnelle aux directives de sécurité,
– Elles ne sont que 22% à disposer des métriques leur permettant d’évaluer leur niveau de sécurité et de produire les indicateurs de pilotage nécessaires, notamment en matière de conformité,
– Et seule, une organisation sur cinq en moyenne conduisent des analyses de risques et de vulnérabilité.
2. Synthèse
La sous-estimation d’un enjeu de taille dans un contexte d’économie globalisée : la sécurité de l’information
– L’internationalisation, la mobilité des données et des personnes, l’interconnexion généralisée font de l’information l’actif le plus précieux de l’entreprise, mais aussi le plus menacé
Quelques chiffres illustrent le manque de visibilité des entreprises quant à la valeur de leurs informations :
elles ne sont que 22% à déclarer garder une trace des organisations externes utilisant leurs données et informations.
Seulement 24% estiment que l’évaluation de la valeur de leurs données fait partie intégrante de leur politique de sécurité.
Enfin, 30% avouent ne jamais classer leurs informations selon leur niveau de risque.
– Tandis qu’elles disposent de plus en plus d’équipements, les entreprises restent étonnamment peu clairvoyantes quant aux risques encourus :
• 36% des personnes interrogées ne sont pas « sûres » du nombre de dysfonctionnements de sécurité que leur organisation a pu rencontrer ces 12 derniers mois.
• Ce chiffre est même plus élevé dans les marchés traditionnels (40% aux USA, 36 % en Europe) que dans les pays émergents (28% en Amérique du Sud, 25% en Asie).
2. Synthèse
3. Pilotage de la dépense « sécurité »
1. Introduction 2. Synthèse
3. Pilotage de la dépense « sécurité » 4. Tendances et thèmes saillants
5. Points d’attentions : méconnaissance des métriques fondamentales 6. Data Loss Prevention : un sujet à suivre
7. Résultats généraux par zones géographiques 8. Focus industries
9. Conclusion, questions et réponses
Dépenses « sécurité » : la transformation fait jeux égal avec la conformité comme un des principaux moteurs de dépense
57%
46% 44%
40%
0%
10%
20%
30%
40%
50%
60%
Plan de Continuité d'Activité/DRP
Conformité aux politiques internes
Conformité réglementaire Changement
3. Pilotage de la dépense « sécurité »:
des changements subtils mais significatifs
16 PricewaterhouseCoopers
Pilotage de la dépense « sécurité » : persistance des divergences en matière de priorités pour le management
Quel est le principal besoin métier qui nécessite d’importants investissements en matière de sécurité?
Les DG, DAF et même les DSI citent en premier le Plan de Continuité d’Activité/DRP.
Les RSSI, eux, citent en premier les besoins liés à la conformité réglementaire.
Conformité réglementaire PCA/DRP
RSSI DSI
DAF DG
3. Pilotage de la dépense « sécurité »:
des changements subtils mais significatifs
Alignement des investissements « sécurité » avec les objectifs métiers : écart significatif (16 pts) ressenti par les RSSI
16 pts.
10 pts.
-2 pts.
0 pts.
Ecart
22%
21%
30%
34%
Les investissements de sécurité sont
« totalement alignés » avec les objectifs métiers
38%
31%
28%
34%
Les politiques de sécurité sont
« totalement alignées » avec les objectifs métiers
RSSI DSI
DAF DG
3. Pilotage de la dépense « sécurité »:
des changements subtils mais significatifs
18 PricewaterhouseCoopers
Dépenses « sécurité » en 2008 : augmentation des budgets
La grande majorité des sondés (74 %) indiquent que les budgets 2008 en matière de « sécurité » augmenterons légèrement ou seront équivalents à ceux de 2007.
44%
30%
5%
21%
0%
5%
10%
15%
20%
25%
30%
35%
40%
45%
50%
Hausse Stagnation Baisse Ne savent pas
3. Pilotage de la dépense « sécurité »:
des changements subtils mais significatifs
4. Tendances et thèmes saillants
1. Introduction 2. Synthèse
3. Pilotage de la dépense « sécurité » 4. Tendances et thèmes saillants
5. Points d’attentions : méconnaissance des métriques fondamentales 6. Data Loss Prevention : un sujet à suivre
7. Résultats généraux par zones géographiques 8. Focus industries
9. Conclusion, questions et réponses
20 PricewaterhouseCoopers
Le levier technologique : chiffrement
L’étude révèle une progression importante du déploiement de nouveaux mécanismes de sécurité de prévention et de détection.
Parmi ces mécanismes de sécurité, on constate une forte progression de l’utilisation des mécanismes de chiffrement.
4. Tendances et thèmes saillants
Les personnes interrogées indiquent une forte progression dans la mise en œuvre de technologies de chiffrement de leurs données – non seulement de leurs
ordinateurs portables mais aussi de leurs bases de données, partages de fichiers, bandes de sauvegardes et médias
amovibles.
45%
37%
40%
37%
28%
55%
48%
50%
47%
40%
0% 10% 20% 30% 40% 50% 60%
Bases de données Partages de
fichiers Ordinateurs
portables Bandes de sauvegarde
Médias amovibles
2007 2008
Le levier technologique : technologies Web/Internet
L’étude montre en effet une nette progression, non seulement dans la sécurisation des flux Web
(sécurisation des transactions et mise en place de filtres de
contenus), mais aussi dans la sécurisation des Webservices et des navigateurs Web.
51%
48%
55%
48%
69%
58%
66%
58%
0% 20% 40% 60% 80%
Filtres de contenus Certification de site Web Navigateurs sécurisés Sécurité des Webservices
2007 2008
4. Tendances et thèmes saillants
22 PricewaterhouseCoopers
D’importants investissements ont par ailleurs été effectués dans d’autres technologies :
40%
52%
59%
33%
51%
62%
68%
42%
0% 20% 40% 60% 80%
Outils de découverte d'équipements non autorisés Outils de prévention d'intrusion
(IPS)
Accès distant sécurisé via VPN
Sécurité des équipements sans-fil
2007 2008
Le levier technologique : autres
4. Tendances et thèmes saillants
Processus et organisation : une progression au ralenti
L’engouement pour les technologies n’a cependant pas été accompagné d’une implication
équivalente envers les autres domaines clés de la sécurité : en particulier les processus sécurité critiques et les facteurs humains qui permettent de les mettre en œuvre.
44%
29%
52%
48%
51%
36%
51%
50%
0% 10% 20% 30% 40% 50% 60%
Utilisation d'un processus centralisé de gestion de l'information Utilisation de plusieurs niveaux d'authentifications Vérification des références des employés Mise à disposition d'une équipe dont le rôle est de surveiller l'utilisation d'Internet et des données de l'entreprise par les
employés
2007 2008
4. Tendances et thèmes saillants
5. Points d’attentions : méconnaissance des métriques fondamentales
1. Introduction 2. Synthèse
3. Pilotage de la dépense « sécurité » 4. Tendances et thèmes saillants
5. Points d’attentions : méconnaissance des métriques fondamentales 6. Data Loss Prevention : un sujet à suivre
7. Résultats généraux par zones géographiques 8. Focus industries
9. Conclusion, questions et réponses
Nombre d’incidents de sécurité : une persistance dans la faible identification des incidents
Cette année, 35 % des sondés indiquent qu’ils n’arrivent pas à quantifier le nombre d’incidents de sécurité survenus.
4. Points d’attentions : méconnaissance des métriques fondamentales
Nombre d’incidents de sécurité survenus au cours des 12 derniers mois
27
22
25 19
16 18
14 12 13
10 11 11
29
40
35
0 10 20 30 40 50
2006 2007 2008
Aucun 1 à 2 3 à 9 Plus de 10 Ne savent pas
%
19
26
17 19
10
13
9 9
45
32
0 10 20 30 40 50
2007 2008
Aucun 1 à 2 3 à 9 Plus de 10 Ne savent pas
%
Focus France
26 PricewaterhouseCoopers
Typologie des incidents de sécurité : une sophistication accrue des attaques, exploitant des failles combinées
44 % des incidents de sécurité ne sont pas identifiés.
Par ailleurs, une tendance est à observer : l’augmentation sensible des attaques
applicatives (seule cause d’incident à augmenter en 2008).
Une professionnalisation des attaques …
14 18 17
18 16
15 23
20
16 15
45 44
0 10 20 30 40 50
2007 2008
Attaque applicative Exploitation d'informations Attaque système Attaque réseau
Social engineering Inconnu
%
4. Points d’attentions : méconnaissance des métriques fondamentales
24
16
16 17 15
15
30 29
7 8
41
45
0 10 20 30 40 50
2007 2008
Attaque applicative Exploitation d'informations Attaque système Attaque réseau
Social engineering Inconnu
%
Focus France
Sources des incidents de sécurité : Près de la moitié des menaces non identifiées
Les principales sources d’incidents sont encore attribuées aux employés (anciens et actuels) et aux « hackers ».
L’étude de cette année met cependant en exergue un point important : avec l’apparition de la réponse « ne savent pas » au sein de ce sondage, on remarque que presque la moitié des personnes interrogées (42 %) ne peuvent identifier l’origine de leurs incidents de sécurité.
48
34
21
16 41
28
0
42
0 10 20 30 40 50
2007 2008
Employé Ancien employé
Hacker Ne savent pas
%
4. Points d’attentions : méconnaissance des métriques fondamentales
49
42
14
8 36
18
41 44
0 10 20 30 40 50
2007 2008
Employé Ancien employé
%
28 PricewaterhouseCoopers
Impacts métiers : sous-estimation
Une majorité des personnes interrogées soulignent que l’occurrence d’incidents de sécurité se traduit par des impacts « sérieux » l’activité.
Toutefois, en raison du nombre important de sondés n’étant pas au fait du nombre d’incidents ayant touché leur entreprise et de leur cause d’occurrence, l’impact réel des incidents de sécurité sur l’activité pourrait être fortement sous-estimé (44% des incidents non
identifiés).
39
30 27
21
0 10 20 30 40 50
2008 Pertes financières
Vol de propriété intellectuelle Marque / Réputation compromise Fraude
%
4. Points d’attentions : méconnaissance des métriques fondamentales
(Total non égal à 100. Les sondés devaient en effet sélectionner toutes les réponses applicables.)
27
31
16
20
0 10 20 30 40 50
2008 Pertes financières
Vol de propriété intellectuelle Marque / Réputation compromise Fraude
%
Focus France
6. Data Loss Prevention : un sujet à suivre
1. Introduction
2. Pilotage de la dépense « sécurité » 3. Pilotage de la dépense « sécurité » 4. Tendances et thèmes saillants
5. Points d’attentions : méconnaissance des métriques fondamentales 6. Data Loss Prevention : un sujet à suivre
7. Résultats généraux par zones géographiques 8. Focus industries
9. Conclusion, questions et réponses
30 PricewaterhouseCoopers
6. Data Loss Prevention
Points clés : Implication du management et stratégie globale de sécurité
Moins de 6 personnes interrogées sur 10 indiquent que leur entreprise ont nommé un RSSI ou dispose d’une stratégie de sécurité.
C’est un point critique : les entreprises dotés d’une forte implication du management en termes de sécurité et d’une stratégie de sécurité globale sont en effet moins vulnérables aux incidents de sécurité (brèches et indisponibilités).
60% 56% 57% 59%
0%
10%
20%
30%
40%
50%
60%
Nomment un RSSI Disposent d'une politique globale de sécurité 2007 2008
Conformité aux directives de sécurité : absence de mesure de la conformité opérationnelle
Plus de 7 personnes interrogées sur 10 affirment qu’ils sont confiants dans le respect des procédures par les utilisateurs de leur entreprise. Cependant, la plupart ne mesurent pas la conformité opérationnelle aux directives de sécurité.
40%
44%
0%
10%
20%
30%
40%
50%
Mesure la conformité opérationnelle 2007 2008
5. De la conformité au DLP
32 PricewaterhouseCoopers
Protection des données personnelles : insuffisance des moyens de protection
Les risques liés à la perte de données personnelles sont significatifs, essentiellement dans le domaine de la protection de l’image de marque et de l’exposition médiatique.
Malgré ce constat, le développement de moyens de protection appropriés reste insuffisant.
22%
28%
33%
44% 41%
21% 25%
36%
47%
37%
0%
10%
20%
30%
40%
50%
Nomment un RSSI Auditent par des tiers les moyens de protection des données personnelles
Disposent d'un inventaire à jour des données personnelles
(employés et clients)
Revoient régulièrement la politique de protection
des données personnelles
Exigent des tiers qu'ils se conforment à la politique de protection
des données personnelles 2007 2008
5. De la conformité au DLP
Contrôle d’accès : des progrès mais encore un long chemin à parcourir
L’étude montre que moins de la moitié des entreprises disposent de mécanismes robustes de gestion des identités (IdM) et de contrôles d’accès.
47%
42%
28%
22%
15%
55%
48%
35%
27%
19%
0%
10%
20%
30%
40%
50%
60%
Dépôt de données
utilisateurs centralisé Outils de surveillance
de l'activité utilisateur Authentification unifiée
(SSO) Processus automatisé de désactivation de
compte
Biomètrie
2007 2008
5. De la conformité au DLP
34 PricewaterhouseCoopers
Partenaires et tiers : beaucoup d’entreprises ne réalisent pas qu’elles sont responsables des données traitées et hébergées chez des tiers
Moins de 37% des répondants exigent des tiers qu’ils se conforment à leur politique de protection des données et seuls 43 % ont défini des politiques de sécurité applicables à leurs partenaires avec les moyens de contrôles afférents (en plus des clauses d’audit).
La plupart des personnes interrogées sont “un peu” (53 %) ou “pas du tout” (10 %) confiants dans la sécurité mise en œuvre par leurs partenaires ou fournisseurs.
43%
37%
28%
22%
0%
10%
20%
30%
40%
50%
Disposent de standards de sécurité à destination des
partenaires, clients, fournisseurs et vendeurs
Exigent des tiers qu'ils se conforment à la politique de
protection des données personnelles
Auditent les tiers manipulant les données personnelles
d'employés/clients
Disposent d'un inventaire à jour des tiers manipulant des
données sensibles 2008
5. De la conformité au DLP
Data Loss Prevention : un sujet à suivre
Près de 4 personnes interrogées sur 10 indiquent que leur entreprise dispose d’un plan de DLP ou prévoit d’un mettre en œuvre dans les 12 prochains mois.
29%
10%
0%
10%
20%
30%
40%
50%
Disposent d'un DLP Prévoient de mettre en œuvre un DLP dans les 12 prochains mois
5. De la conformité au DLP
7. Résultats généraux par zones géographiques
1. Introduction
2. Pilotage de la dépense « sécurité » 3. Pilotage de la dépense « sécurité » 4. Tendances et thèmes saillants
5. Points d’attentions : méconnaissance des métriques fondamentales 6. Data Loss Prevention : un sujet à suivre
7. Résultats généraux par zones géographiques 8. Focus industries
9. Conclusion, questions et réponses
Analyse comparée des pratiques de sécurité : les pratiques de sécurité de l’Asie sont maintenant comparables à celles de l’Amérique du nord
7. Résultats généraux par zones géographiques (2/2)
A mériq ue d u no rd ; 6 4 % A mériq ue d u no rd; 3 6 %
A mériq ue d u no rd ; 52 %
A mériq ue d u no rd ; 6 2 % A mériq ue d u no rd ; 4 6 %
A mérique d u sud ; 4 3 % A mériq ue d u sud ; 3 6 %
A mériq ue d u sud ; 56 % A mérique d u sud ; 4 0 %
A mérique d u sud ; 4 0 %
Euro p e; 54 % Euro pe; 3 4 %
Euro p e; 58 % Euro p e; 4 8 %
Euro pe; 3 3 %
A sie; 6 4 % A sie; 3 9 %
A sie; 6 3 % A sie; 57%
A sie; 54 %
F rance; 52 % F rance; 3 2 %
F rance; 6 3 % F rance; 4 2 %
F rance; 2 2 %
Dispose d’une stratégie globale de sécurité
Effectue au moins une évaluation de risque annuelle
Emploie un RSSI Dispose d’un PCA/PSI Contrôle la conformité de la mise
en œuvre de la PSSI par les utilisateurs
38 PricewaterhouseCoopers
7. Résultats généraux par zones géographiques (2/2)
A mériq ue d u no rd; 3 5%
A mériq ue d u no rd ; 2 9 %
A mériq ue d u no rd ; 4 4 % A mérique d u no rd ; 4 0 %
A mériq ue d u no rd ; 55%
A mériq ue d u sud ; 3 2 % A mériq ue d u sud ; 3 0 % A mériq ue d u sud ; 2 9 % A mériq ue d u sud ; 2 8 %
A mériq ue d u sud ; 51%
Euro pe; 3 2 % Euro p e; 2 7%
Euro p e; 2 9 %
Euro pe; 3 6 %
Euro p e; 4 9 %
A sie; 3 7%
A sie; 2 9 %
A sie; 4 5%
A sie; 2 5%
A sie; 6 1%
F rance; 3 3 % F rance; 13 %
F rance; 2 8 % F rance; 3 2 %
F rance; 3 5%
0% 10% 20% 30% 40% 50% 60% 70%
Dispose d’un dispositif de gestion des identités
Met en œuvre un dispositif de DLP (data Loss protection) Sensibilise ses utilisateurs à la
sécurité
Ne sait pas quels incidents de sécurité ont eu lieu Analyses de vulnérabilités, des
logs, etc.
Amérique du nord Amérique du sud Europe Asie France
8. Focus industries
1. Introduction
2. Pilotage de la dépense « sécurité » 3. Pilotage de la dépense « sécurité » 4. Tendances et thèmes saillants
5. Points d’attentions : méconnaissance des métriques fondamentales 6. Data Loss Prevention : un sujet à suivre
7. Résultats généraux par zones géographiques 8. Focus industries
9. Conclusion, questions et réponses
40 PricewaterhouseCoopers
Banque et assurance
9. Focus industrie
• Sensibilisations des acteurs métiers et I.T.
• Etendre les pratiques de protection de la vie privée au personnel
• Renforcer les processus et les moyens de réponse aux incidents
• Améliorer l’intégration de la sécurité en amont des projets et des développements
• Processus
1. Gestion des identités
2. Sécurité des systèmes amovibles/mobiles 3. Evaluations de risques (externe)
4. Contrôle de conformité et privacy 5. Externalisation de la sécurité
• Technologie
1. Firewalls applicatifs, individuels
2. Gestion des identités – commissionnements et décommissionnements automatiques
3. Confidentialité des médias amovibles/systèmes mobiles 4. Data leakage prevention tools
5. Systèmes de prévention des intrusions
• 66 % des répondants déclarent ne pas disposer d’un inventaire des données traitées par des tiers
• 24 % utilisent des systèmes biométriques afin de renforcer le contrôle d’accès
• 31 % des organisations n’exigent pas que leurs employés se conforment aux politiques de protection des données personnelles
• 67 % des répondants impliquent les métiers et l’IT sur les questions de sécurité du S.I.
Points saillants
Agenda 2009 du RSSI Axes d’amélioration issus de l’étude
Sélection de métriques de sécurité
Energie
9. Focus industrie
•Renforcer la coopération entre les métiers, IT et la conformité
•Mettre en place un processus de gestion des identités
•Adresser les processus de sécurité critiques tels que l’IdM et le BCP/DRP
•Renforcer le processus de gestion des incidents
• Processus, organisation 1. Gestion des identités
2. Sécurité des systèmes amovibles/mobiles 3. BCP/DRP
4. Contrôle de conformité et privacy
• Technologie
1. Gestion des identités
2. Confidentialité des médias amovibles/systèmes mobiles 3. Systèmes de prévention des intrusions
• 33 % des répondants déclarent ne pas contrôler la sécurité des matériels
• 67 % utilisent des systèmes de contrôle d’accès spécifiques pour les postes de travail
• 67 % des organisations n’exigent de leurs tiers qu’ils se conforment à leur politique en matière de protection de la vie privée
• 34 % des répondants affirment avoir été alerté d’un incident par un employé (50 % en 2007, augmentation des analyses des issues des journaux d’évènements)
Points saillants
Agenda 2009 du RSSI Axes d’amélioration issus de l’étude
Sélection de métriques de sécurité
42 PricewaterhouseCoopers
Technologie
9. Focus industrie
•Sensibiliser les acteurs métiers et I.T.
•Formaliser les règles de sécurité
•Renforcer le processus de gestion des incidents
•Renfoncer la prise en compte de la sécurité dans les développements
• Processus, organisation
1. Pas de point de focus particulier (progression homogène et contenue sur l’ensemble des sujets)
• Technologie
1. Firewalls applicatifs, individuels 2. Authentification forte
3. Chiffrement des pc portables
4. Sécurité des systèmes mobiles et des communications
5. DLP
• 46 % des répondants déclarent ne pas disposer d’un BCP/DRP
• 68 % des répondants déclarent ne pas avoir intégré la protection de la propriété intellectuelle au sein de leur politique de sécurité (PSSI)
• 33 % des organisations disposent de processus et de mécanismes de lutte contre la fuite d’information (Data Leakage Protection)
• 50 % des répondants intègrent la problématique de protection des données, fuite et destruction des informations au sein de leur PSSI
Points saillants
Agenda 2009 du RSSI Axes d’amélioration issus de l’étude
Sélection de métriques de sécurité
Aéronautique et Défense
9. Focus industrie
• Renforcer l’alignement des dépenses avec les besoins métiers
• Renforcer la mise en œuvre de moyens de BCP/DRP
• Mettre en place une approche risque de la sécurité
• Renforcer l’intégration de la sécurité à la gestion des risques et à la conformité
• Renforcer les processus de réponse sur incidents
• Processus, organisation 1. Gestion des identités
2. Sécurité des systèmes amovibles/mobiles 3. Evaluations de risques (externe)
4. Renforcement des contrôles
5. Sécurité lors du décommissionnement des matériels
• Technologie
1. Systèmes biométriques
2. SSO
3. IDM
4. Sécurité des données
• 37 % des répondants ont mis en place des moyens de sécurité VOIP
• 53 % des entreprises déclarent augmenter leur budget sécurité (contre 37% en 2007)
• 51 % des personnes sondés déclarent avoir mis en place des solutions de corrélation d’évènements
• 65 % des entreprises ont défini des standards techniques de protection des systèmes nomades (contre 50 % en 2007)
Points saillants
Agenda 2009 du RSSI Axes d’amélioration issus de l’étude
Sélection de métriques de sécurité
44 PricewaterhouseCoopers
Industrie manufacturière
9. Focus industrie
•Sensibiliser les acteurs métiers et I.T.
•Adresser les processus de sécurité critiques (sécurité des médias amovibles, contrôle de la conformité à la PSSI)
•Evaluer et superviser la mise en œuvre de la PSSI
•Intégrer les problématiques de conformité et de protection de la vie privée avec la sécurité
• Processus, organisation
1. Standard de sécurité pour les médias amovibles/mobilité 2. Sécurité des systèmes de communication sans fil
3. Evaluation des risques 4. Tests d’intrusion
5. Réflexions autour de l’externalisation de la sécurité
• Technologie
1. Firewalls personnels 2. SSO, authentification forte
3. IDM
4. Sécurité des médias amovibles
5. Outil de détection de systèmes connectés et non autorisés
6. DLP
• 27 % des répondants ont mis en place un dispositif de protection contre la perte des données (DLP)
• 40 % des entreprises n’utilisent pas d’outils de gestion des correctifs de sécurité
• 68 % des personnes sondés déclarent ne pas disposer d’un inventaire des données clients et salariés
• 50 % des répondants déclarent avoir mesuré la mise en œuvre opérationnelle de la politique de sécurité au cours des 12 derniers mois
Points saillants
Agenda 2009 du RSSI Axes d’amélioration issus de l’étude
Sélection de métriques de sécurité
8. Focus industries
1. Introduction
2. Pilotage de la dépense « sécurité » 3. Pilotage de la dépense « sécurité » 4. Tendances et thèmes saillants
5. Points d’attentions : méconnaissance des métriques fondamentales 6. Data Loss Prevention : un sujet à suivre
7. Résultats généraux par zones géographiques 8. Focus industries
9. Conclusion, questions et réponses
46 PricewaterhouseCoopers
« L’étude montre clairement une prise de conscience large des dirigeants des questions relatives à la sécurité des systèmes d’information.
Leur réponse se traduit par des investissements importants en matière d’infrastructures, de technologie et d’outils de plus en plus avancés.
Pour autant, au-delà des outils technologiques, l’enjeu est aujourd’hui de définir les bonnes pratiques et les processus adaptés pour protéger et sécuriser l’information, et plus seulement les systèmes ».
9. Conclusion
Pour en savoir plus…
Contacts :
Philippe Trouchaud (philippe.trouchaud@fr.pwc.com) + 33 1 56 57 61 31
Frédéric Solvet (frederic.solvet@fr.pwc.com) + 33 1 56 57 53 29
Sofiane-Maxime Khadir (sofiane-maxime.khadir@fr.pwc.com) + 33 1 56 57 78 81
Notre site internet : www.pwc.fr/advisory
Pour télécharger l’étude : www.pwc.fr/giss2008
© 2008 PricewaterhouseCoopers Advisory France. All rights reserved. "PricewaterhouseCoopers" refers to the PricewaterhouseCoopers global network or other member firms of the network, each of which is a separate and independent legal entity. *connectedthinking is trademark of PricewaterhouseCoopers LLP (US).