Commander les dossiers d'études

DOSSIERS Cyberisques News Renseignements:  Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.  

84 % des incidents de cybersécurité liés au facteur humain

84 % des incidents de sécurité informatique sont liés au facteur humain,

alors que seulement la moitié des budgets est consacrée

à ce type de menaces

 

- Résultats de l’étude menée lors de la RSA Conference

et présentée lors du Gartner Identity & Access Management Summit 2014 par BalaBit

L’étude eCSI de BalaBit souligne le fait qu’il est désormais nécessaire d’ajuster le budget sécurité

à hauteur des menaces liées au facteur humain.

Source Editeur/ Paris, le 02 avril 2014 - BalaBitITSecurity (www.balabit.com), acteur majeur sur le marché des solutions dédiées à la gestion de logs et à la surveillance des comptes à privilèges, a présenté les résultats de son dernier rapport eCSI lors du Gartner Identity & Access Management Summit 2014. L’étude a été menée auprès de 300 participants lors de la récente RSA® Conference à San Francisco. Les résultats de cette enquête montrent que 84 % des incidents de sécurité informatique sont liés au facteur humain (erreur humaine, attaques sophistiquées internes ou externes, etc.). En terme de budget, l’étude souligne également que les dépenses sont assez équilibrées entre : les 55 % du budget consacrés à la gestion du risque humain et les 45 % consacrés à l’infrastructure.

Ainsi, les entreprises concentrent toujours leurs ressources dédiées à la sécurité informatique à la sécurité des infrastructures et aux facteurs de risque externe. Les personnes interrogées ont classé les principaux facteurs de risque, en fonction du budget consacré :

  • 30 % privilégient la menace externe, au-dessus de tous les autres risques

  • 28 % ont déclaré que les dysfonctionnements du système sont parmi les risques les plus importants

  • 17 % ont cité les attaques automatiques (injection SQL, DDoS, etc.)

Alors que la protection dédiée aux erreurs humaines et aux hackers internes est une priorité budgétaire absolue pour seulement une petite minorité des personnes interrogées : respectivement 13 % et 12 %.

Pourtant, en terme d’évaluation du coût potentiel de la menace, les résultats sont différents :

  • 51 % des personnes interrogées ont déclaré que les erreurs humaines provoquent la plus grande perte financière

  • Seulement 18 % pour la menace externe

  • 15 % pour la menace interne

  • 9 % pour les dysfonctionnements du système et 7 % pour les attaques automatiques

« La plus grande incohérence que notre étude ai permis de révéler est que les professionnels de l’IT savent clairement que les erreurs humaines causent 51 % de leurs pertes alors qu’en terme de budget, seulement 13 % d’entre eux placent le risque lié au facteur humain en haut de la liste et 40 % des personnes interrogées placent les erreurs humaines comme la menace la moins importante. Si les entreprises souhaitent dépenser leur budget de sécurité informatique de manière logique, il est temps de palier à cette contradiction », commente Zoltán Györkő, CEO de BalaBit IT Security.

BalaBit a également demandé aux participants de la RSA Conference d’estimer, jusqu’à combien le niveau de la sécurité informatique de leur entreprise pouvait être réduit pour satisfaire les besoins des utilisateurs à privilèges : 83 % des personnes interrogées ont répondu que leur niveau de sécurité était réduit (19 % fortement, notablement à 32 % et modérément à 32 %), pour satisfaire les utilisateurs privilégiés.

« En raison de leur manque de flexibilité, les solutions de contrôle d’accès ne sont souvent pas en mesure de prévenir les incidents mais empêchent les utilisateurs de travailler efficacement. La surveillance peut être un outil efficace contre les risques de sécurité liés au facteur humain, que la source soit interne ou externe. Les risques liés au facteur humain peuvent être considérablement diminués par la détection et le blocage des activités suspicieuses des utilisateurs. Les alertes et la surveillance en temps réel sont inévitables pour les comptes à privilèges, qui disposent de droits d’accès, de modification ou de suppression des informations sensibles de l’entreprise. Il n’est pas étonnant que leurs profils soient la cible principale des hackers. Un taux plus élevé de détection est plus dissuasif que le contrôle passif et plus favorable aux entreprises », ajoute Zoltán Györkő.

 

BONUS:

www.balabit.com

 http://www.crn.com/slide-shows/security/300072593/verizon-data-breach-report-10-most-common-security-incidents-of-the-past-10-years.htm

 

SYNTHESE DES CYBER-MENACES EN 2013 SELON KASPERSKY LAB

 

Bulletin de Kaspersky sur la sécurité en 2013. 

 

3.12.2013 | étude réalisée par Costin Raiu et David Emm

Principaux événements de 2013
1. Nouvelles campagnes de cyberespionnage "anciennes"
2. L'émergence des cybermercenaires
3. Hacktivisme et fuites
4. Ransomware
5. Programmes malveillants pour appareils nomades et (in)sécurité des magasins d'applications
6. Attaque de type "watering hole" (trou d'eau)
7. Nécessité de renforcer le maillon le plus faible de la chaîne de sécurité
8. Effritement de la vie privée : Lavabit, Silent Circle, NSA et la perte de confiance
9. Vulnérabilités et codes d'exploitation 0jour
10. Les hauts et les bas des crypto-devises. Comment les bitcoins dirigent le monde
Conclusions et prévisions : 2014, année de la confiance
L'heure est à nouveau venue de nous pencher sur les événements clés qui ont défrayé la chronique en 2013 au niveau des menaces. Revenons d'abord sur les événements, qui selon nous, allaient marquer l'année à venir en fonction des tendances observées en 2012.

Lire la suite...

Patrick Pailloux nommé directeur technique de la DGSE

Patrick Pailloux, directeur général de l'Agence nationale de sécurité des systèmes d'information (Anssi)  a été nommé aujourd'hui en Conseil des ministres directeur technique de la Direction générale de la sécurité extérieure (DGSE).
Patrick Pailloux a été nommé sur proposition du ministre de la Défense, précise le communiqué du Conseil. Il remplace  Bernard Barbier, qui a quitté ce poste il y a un mois, après sept ans et demi, pour rejoindre Sogeti, filiale à 100% du groupe de conseil et services informatiques Capgemini (cf http://www.cyberisques.com/). Bernard Barbier qui évoquait dans Cyber Risques News son parcours à la DGSE en ces termes  après que l'agence française se soit rendue propriétaire d'undans les années 80 d'un Cray One «  C'était une bonne idée, une machine qui coûte plus d'une centaine de millions et qui a été amortie un mois après mon arrivée  ».  Le même Bernard Barbier qui résume sa mission en tant que directeur technique de la DGSE avec cette phrase  "codée" :  « la direction technique, comprenez l'analyse après traitement massif de données   sensibles ».
Après les révélations cet été des programmes d'écoute de la NSA dont le programme PRISM, la DGSE doit se montrer vigilante face a un «  partenaire  » et aussi un «  concurrent  » telle que la NSA. L'Agence amééricaine doit gérer actuellement plusieurs dossiers en plus de PRISM  : écoutes abusives de décideurs dont Angela Merkel la chancelière allemande, suspension de SWIFT, Snowden... La DGSE doit aussi "surveiller" les agissements des agences russes comme le SVR qui se renforce en Méditerranée avec l'envoi de sous-marins et chinoises avec les régiments de "chen  diyu" (poissons d'eau profonde) qui  chassent les secrets industriels et militaires.  

La direction technique est la plus importante des cinq directions de la DGSE avec plus de 2.000 personnes (sur un total de 5.000) et gère le budget le plus important de l'agence française de renseignements extérieurs. Elle est chargée des interceptions de télécommunications à l'extérieur de la France, de l'imagerie satellitaire, de la cryptologie dans le cadre de la lutte anti-terroriste et du soutien technique de l'ensemble de la DGSE. La direction technique emploie à elle seule 2000 personnels civils et

Lire la suite...

TOP ARTICLES: Le plus consulté

 

FIC 2016: Tendances et perspectives 

2016-FIC-Petit-Format

 

Les données sont le carburant de la transformation numérique de nos sociétés. Elles irriguent désormais l’ensemble des réseaux et systèmes d’information et, à travers eux, des activités humaines. Les chiffres donnent le vertige : 144 milliards de mails sont échangés dans le monde chaque jour, 30 gigaoctets sont publiés chaque seconde, 800 000 nouveaux sites web apparaissent quotidiennement, la quantité d’informations disponibles double tous les deux ans…. avec seulement 42 % de la population mondiale connectée.
 
Malgré cette croissance exponentielle, les données restent un capital fragile. Il faut en effet susciter les conditions de leur création, puis les entretenir, les enrichir, les transformer, les valoriser et les protéger pour en faire une source de progrès pour l’Homme. Les défis sont donc multiples. Au plan stratégique, tout d’abord : le primat accordé par l’Union européenne aux données personnelles serait-il donc incompatible avec le « business » de la donnée ? Au plan juridique, également : comment concilier l’imbrication croissante des données et l’application de la notion de propriété ? Au plan sécuritaire, enfin : comment créer le climat de confiance propice au développement de nouveaux usages pour le citoyen, l’entreprise, la collectivité territoriale, l’Etat ?
 
Avec cette 8ème édition consacrée à la sécurité des données et à la protection de la vie privée, le FIC se veut donc plus que jamais une enceinte ouverte, participative, associant représentants de la société civile, offreurs de services et de solutions de sécurité et de confiance, utilisateurs finaux, monde public et sphère académique. La confiance se construit ensemble !
 
 
 

 

L'édition 2016

 

Le Forum International de la Cybersécurité s’inscrit dans une démarche de réflexions et d’échanges visant à promouvoir une vision européenne de la cybersécurité. Dans la continuité du marché unique numérique et du projet de règlement sur la protection des données personnelles, le FIC est l’évènement européen de référence réunissant tous les acteurs de la confiance numérique.
Pour animer cette démarche, le FIC s’appuie sur :
  • Le Salon, pour communiquer, se valoriser, recruter, nouer & entretenir des contacts
  • Le Forum, pour échanger avec des experts, se perfectionner et partager les retours d’expérience
  • L’Observatoire pour poursuivre les échanges tout au long de l’année, approfondir les thématiques et faire vivre son réseau

 

Pour lire l'intégralité de l'article abonnez-vous. Renseignements: 

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

 

 

 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires