Etude PwC / Iron Mountain: qui est responsable des données dans les entreprises européennes ?

Selon une étude rendue publique aujourd'hui par Iron Mountain, pour 46% des entreprises européennes, la responsabilité des risques liés aux informations est de l’unique ressort des services IT

 

(Source Communication Corporate) Paris, le 16 septembre 2014. La quantité croissante d'informations, sous de multiples formats différents, ainsi que la complexité de gérer la question de savoir qui peut accéder à quelles informations et quand, où et comment, impliquent des risques considérables pour les entreprises. Assigner la responsabilité de la protection des informations aux personnes appropriées est un facteur clé de prévention contre les risques de pertes d’information, et permet de garantir à la fois que les personnes appropriées sont impliquées et que des responsables performants ont été désignés pour coordonner la réponse appropriée de l'entreprise.

Et pourtant, selon notre dernière étude1, 46 % des entreprises européennes (45% pour la France) déclarent que le responsable principal de ces risques est leur directeur de la Sécurité au sein du service des Technologies de l'information.
Une telle pratique pouvait éventuellement être appropriée autrefois, mais les risques liés à la gestion des informations sont aujourd'hui un enjeu à facettes multiples couvrant divers domaines et types de risques, qu'il s'agisse du personnel ou des procédures, des comportements ou des pratiques professionnelles, à tel point que la responsabilité de ces risques devrait désormais toujours être assignée à l'échelon le plus élevé de la hiérarchie, chacun des employés ayant quant à lui un rôle individuel à jouer en matière de protection des informations de l’entreprise.
Par exemple, le PDG d'une chaîne de magasins aux États-Unis a démissionné moins de cinq mois après qu’il fut découvert que cette entreprise avait été victime d’une violation de données majeure. La saga de cette violation de données, a entraîné la perte d'environ 40 millions de numéros de cartes de paiement et d'informations personnelles susceptibles de concerner 70 millions de clients, a entraîné cette entreprise dans une tourmente sans précédent depuis la révélation de cette violation. Les conséquences de cet incident sont très nombreuses : des dizaines de procès, plusieurs audiences devant une commission du Congrès américain, une chute spectaculaire de l'action en bourse et un impact négatif sur la notoriété de l’entreprise immesurable.
Ceci démontre une fois de plus à quel point il est important que la direction générale supervise ce domaine et assume personnellement la responsabilité de la mise en place et du contrôle de procédures de sécurité performantes.
« L’enjeu de la gestion des informations doit être porté à l'attention de la hiérarchie, y compris les dirigeants de l'entreprise et le conseil d'administration, afin qu'une stratégie de contrôle des risques liés à la gestion des informations et de protection des informations ait sa place au sein du principe général de fonctionnement économique et des processus décisionnels de chaque entreprise. Les risques liés à la gestion des informations ne peuvent plus être définis comme étant exclusivement un défi du ressort du service des Technologies de l'information », s’exprime Marc Delhaie, PDG Iron Mountain France et Suisse.

(1) Pour cette étude, PwC a interrogé les dirigeants et cadres supérieurs de 600 entreprises européennes et 600 entreprises nord-américaines, entre 250 et 2 500 employés, ainsi que ceux de 600 grandes entreprises de moins de 100 000 personnes des deux continents, des secteurs des cabinets juridiques, des services financiers, des assurances, de la fabrication industrielle, du génie civil, de l’énergie et de l’industrie pharmaceutique.

 

BONUS: 

http://www.ironmountain.fr/~/media/A9A97B967DCA49718A5B779074F3FDA5.pdf

Selon une utre étude d'Iron Mountain, un peu moins de la moitié des entreprises conservent encore toutes leurs données sur site:

Paris, le 21 août 2014. Dès lors que des données sont confidentielles, sensibles, stratégiques, fréquemment utilisées, soumises à des réglementations strictes, récentes, potentiellement utiles pour l’entreprise ou ne serait-ce que d’un volume raisonnable, 46 % des DSI tiennent à les conserver, à portée de main, sur du matériel qu’ils peuvent voir, toucher et contrôler. C’est ce que nous révèle une nouvelle étude européenne d’Iron Mountain.
Ces professionnels de l’IT qui redoutent de voir les données quitter l’entreprise, pour le
Cloud notamment, portent aujourd’hui le surnom de ‘server hugger’, selon l’expression
introduite en 2011 par Forrester
. De la série d’entretiens menée par Iron Mountain avec des
responsables IT en France, en Allemagne, aux Pays-Bas, en Espagne et au Royaume-Uniii, il
ressort que si cette mentalité reste répandue, et souvent justifiée, les choses commencent à
évoluer.
Environ un tiers (37 %) des personnes interrogées ont recours à la fois au Cloud et à des
solutions locales de stockage sur bandes et disques, et 8 % prévoient d’utiliser le Cloud
d’ici 12 à 24 mois. Cet intérêt croissant pour le Cloud s’explique d’une part par l’explosion
des volumes de données disponibles, mais aussi par une plus grande confiance vis-à-vis de la
sécurité et des promesses du Cloud. Mais certains secteurs restent encore frileux, comme la
santé, la fabrication industrielle et les services financiers.

Le rôle du RSSI dans la transformation digitale

Le rôle du RSSI dans la transformation digitale


Marc Ayadi - Associé IT AdvisoryMarc Ayadi - Associé IT Advisory | Technologie et innovation |

 

Communication Entreprise: 12 mai 2014
En collaboration avec François Vergez, Directeur au sein de l’activité IT Risk.

Il y a un peu plus de vingt ans, une équipe de chercheurs du National Center for Supercomputing Applications (NCSA) de l’Université de l’Illinois lançait le tout premier navigateur de l’histoire du Web. Difficile d’imaginer qu’à l’époque la toile ne comptait pas plus de 200 sites. Depuis, plusieurs vagues de transformation digitale ont déferlé sur nos vies, changeant jusqu’à notre façon de penser, communiquer et consommer.
A tout instant, il est ainsi possible d’accéder à une information depuis le monde entier, d’envoyer un e-mail à ses collègues, clients ou amis, ou bien encore de faire ses courses depuis son ordinateur, son mobile ou sa tablette. Autant d’évolutions qui se sont vu solder par d’importants changements de comportements de nos clients. Si les entreprises ont pris la mesure de ces ruptures, toutes ne sont pas égales en matière d’adaptation. Certaines ont su faire preuve d’agilité et s’insérer dans la vague des différentes innovations technologiques qui ont jalonné la dernière décennie : dématérialisation, banque en ligne, télé-procédures, télé-administration, signature électronique, archivage électronique, commerce en ligne, etc.
Aujourd’hui les premiers signes annonciateurs du prochain tsunami numérique sont déjà perceptibles. Les nouveaux usages des réseaux sociaux arrivent sur le devant de la scène tandis que le Cloud Computing et la Big Data occupent déjà le terrain. Pour les entreprises pionnières de ces secteurs, il y a là de belles opportunités à saisir. Mais qui dit opportunités dit aussi risques, et certaines organisations qui n’ont pas suffisamment sécurisé leurs systèmes d’information en font aujourd’hui les frais.
Face au piratage, aucun système n’est totalement insubmersible
En dépit d’une certaine prise de conscience des risques et des conséquences de la cybercriminalité, nombreuses sont les entreprises qui n’ont toujours pas cerné l’ampleur des risques associés aux mutations qui ont cours dans l’écosystème numérique. Aucun système, aussi performant soit-il, n’est « hacker-proof ». De la NSA aux entreprises du CAC 40, en passant par la PME régionale, tout le monde est logé à la même enseigne. Un phénomène d’une ampleur telle qu’il s’est même invité à la table des discussions du Forum économique mondial qui chiffre les pertes pour l’économie mondiale à 2 200 milliards d’euros d’ici à 2020.
La question n’est donc pas de savoir si vous serez victime d’une cyber-agression, car vous le serez forcément, mais plutôt de savoir comment vous vous y serez préparé.
Faites rimer sécurité et proactivité
L’ennemi absolu du Responsable de la Sécurité des Systèmes d’Information (RSSI) est la confiance excessive qu’il place dans son dispositif de sécurité. Les firewalls, les antivirus, les systèmes de prévention et de détection des intrusions sont de moins en moins efficaces face aux ressources inépuisables des hackers en matière de piratage. Souvent, les attaques les plus sournoises ne sont pas forcément celles auxquelles on pense. Si les agressions éclair qui consistent à pénétrer furtivement dans un système pour en voler les données et repartir aussi vite continuent de faire grand bruit. Bien plus insidieuses sont celles qui s’inscrivent dans la durée, permettant de siphonner durablement les travaux d’un département R&D ou encore les documents stratégiques d’un pôle marketing ou commercial sans que nul ne s’en aperçoive.
Répondre à ces nouvelles menaces implique un changement de posture important. Il faut agir non plus comme la lance à incendie qui éteint l’incendie, mais plutôt comme le détecteur de fumée qui permettra d’intervenir avant que le feu ne se propage. Et pour cela, il n’y a pas de secrets, il est nécessaire de se doter des moyens qui vous permettront d’accroître vos capacités à capter les signaux faibles, comprendre et identifier l’origine de vos attaques et faire preuve de proactivité. Cela peut passer par la mise en œuvre d’une réelle cyber-intelligence, d’une cartographie des risques et d’une estimation du niveau d’exposition aux cyber-attaques.
Quelle place pour le RSSI ?
Face aux cyber-menaces, le RSSI doit dépasser les exigences de conformité et de standards de gestion du risque pour mettre en place une cyber-stratégie et une cyber-défense exemplaires, en s’appuyant sur quatre grands piliers : préparer, répondre, recouvrer et défendre. Au vu de l’importance des enjeux, ces missions exigent des réponses élaborées en partenariat avec la Direction Générale et les métiers et la DSI.


Si vous souhaitez échanger sur les outils à mettre en place pour renforcer vos dispositifs http://dviews.deloitte-france.fr/

  

IBM: criminalité financière, chaque année 3500 milliards de dollars


IBM lance un nouveau logiciel et des services de conseil pour aider les entreprises à résoudre les problèmes de fraude et de criminalité financière qui leur coûtent chaque année 3500 milliards de dollars


Source Editeur / Paris, France - le 20 mars 2014 - IBM annonce aujourd'hui un nouveau logiciel ainsi qu’un ensemble de services de conseil pour aider les organisations à mieux tirer parti des solutions Big Data & Analytics afin d’économiser les 3500 milliards de dollars ($3,5 trillion) perdus chaque année à cause de la fraude et des crimes financiers. Grâce à une expertise commerciale et à une analyse de pointe, les entreprises peuvent adopter une approche holistique pour traiter les pertes financières causées par la fraude, tout en protégeant la valeur de leur marque.

IBM lance son initiative "Smarter counter fraud" mettant à profit l'expertise de plus de 500 consultants spécialistes de la fraude, 290 brevets en lien avec ce sujet et 24 milliards de dollars investis dans les domaines du Big Data et de l’Analytique (logiciels et services) depuis 2005. Ce projet démontre l'expertise Big Data & Analytics mais également Cloud d'IBM et son soutien aux organisations publiques et privées pour anticiper, identifier et enquêter sur les activités frauduleuses.

La fraude en quelques chiffres clés:

· Les organisations publiques et privées perdent 3500 milliards de dollars chaque année à cause de la fraude et de la criminalité financière

· Chaque seconde, 12 nouveaux consommateurs sont victimes de cyber crimes et chaque jour aux Etats-Unis, l'industrie de la santé perd à elle seule 650 millions de dollars à cause de la fraude médicale.
· D'ici 2016, Gartner prédit que 25% des plus grandes entreprises multinationales utiliseront le Big Data et l'Analytique pour la sécurité ou la détection des fraudes contre 8% aujourd'hui.
· Un rapport de Javelin Strategy and Research de 2013 a démontré que le vol d'identité avait augmenté d'1 million de cas en 2012, touchant ainsi 12,6 millions de personnes, et entraînant une perte de 21 milliards de dollars.

Source: www.ibm.com/smartercounterfraud

 

Selon FireEye et Mandiant dans 97% pas de protection efficace des entreprises contre les cyber-attaques de type APT

Une étude menée conjointement par FireEye et Mandiant révèle que dans 97% des cas, les produits traditionnels de cyber-sécurité ne réussissent pas à protéger efficacement les entreprises contre les cyber-attaques de nouvelle génération

 

Source Communication FireEye:

Paris, le 4 juin 2014 - FireEye (NASDAQ:FEYE), le spécialiste de la lutte contre les cyber-attaques de nouvelle génération, publie aujourd'hui son rapport «La ligne Maginot de la cybersécurité : l’évaluation du modèle de cyber-défense en conditions réelles.Première étude de ce genre, ce rapport s’est intéressé aux données analysées par les solutions de sécurité de FireEye, lors d’attaques menées sur 1.217 entreprises à travers le monde. Ces entreprisesont été testées entre octobre 2013 et mars 2014, avant d’être protégées parla plate-formeFireEye. Cette enquête fournit un état des lieux unique surla manière dontles produits de sécuritéactuelsfonctionnent en conditions réelles. Elle conclut queles pare-feubasés sur les signatures, les systèmes de prévention des intrusions (IPS), les passerelles Web, sandbox, ou encore les solutions anti-virus (AV), et diverses combinaisons deces outils, ne parviennent pas àbloquer efficacement les attaques dans97% desentreprises qui les déploient.

« La dure réalité est que les menaces avancéesainsi que leurs auteurs, sont aujourd’hui de nature uniques et qu’ils évoluent très rapidement, ce qui signifie qu'ils ne peuvent être identifiésetarrêtés tels qu’ils apparaissent dans la nature », déclare David DeWalt, Président du Conseil d'Administration et CEO de FireEye. « Les résultats obtenus avec les entreprises qui testentnos produits dans le monde entier, démontrent qu'il existeun besoin très précis de solutionsspécialementconçues pour détecter et se protéger contre les attaques avancées de nouvelle génération. Et, comme les hackers trouvent sans cesse de nouvelles manières de se dissimuler, notre capacité à identifier les multiplesvecteurs qu'ils utilisent pour mener leurs attaques, aidera nos clients à garderune longueur d'avance sur les cyber-criminels ».

Les principaux enseignements du rapport :

·       La quasi totalité(97%)des entreprisesa été compromise, ce qui signifie qu’au moins unattaquanta pu contourner toutes les couches de l'architecture de sécurité

·       Plusd'un quart (27%) des entreprises ont fait l’expérience d’attaques s’appuyant sur les outilset les tactiques qui caractérisent les auteurs des menaces avancées (APT).

·       Les trois quarts desentreprises avaient des communications actives de command-and-controlindiquant que les assaillants avaient le contrôle des systèmescompromis etrecevaient déjà des données de leur part.

·       Même après qu’une entreprise ait été piratée, les hackers continuent de la compromettreplus d'une foispar semaine (1,6 fois) en moyenne.

·       En moyenne, les logiciels d’exploitation des hackers et les téléchargementsdes malwares permettent de contourner respectivement 1,51et 122fois les couches de sécurité.

Le rapport détaillel'ampleur des attaques ciblées avancéeset dans quelle mesure elles sont efficaces contre les moyens de cyber-défenses traditionnels. 348 testeurs ont également pris part à cette enquête, offrant une vue d'ensemble del'architecturede sécurité et une comparaison entre éditeurs sur leur manière de protéger les différentes couches d’une architecture classiquedecybersécurité.

En outre,"Ligne Maginot" délivre une analysecomplètedes laboratoires de FireEye, expliquant pourquoi les hackersdéjouent si facilementles solutions de sécurité actuelles, comment ils procèdent, et comment ils évoluent. Le rapport intègre également des conseils des analystes de FireEye pour adapter les budgetsde sécuritéaux menaces réellesd'aujourd'hui.

BONUS: L’intégralité du rapport est disponible sur demande ou via: http://www2.fireeye.com/real-world-assessment.html.

 

 

Formation et Prévention des Cyber Crises par Thales et Civipol / L'approche de CASSIDIAN en prévention

  Thales et Civipol lancent la première formation "Gestion des cyber crises" pour dirigeants et cadres 


Thales et Civipol s’unissent pour proposer aux dirigeants et cadres la formation « Gestion de cyber crises » afin de découvrir les multiples facettes d’une menaces complexe, encore nouvelle, et difficile à appréhender. 

Lire la suite...

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires