Cyber Benchmark Quel niveau de maturité du marché ? - March 2022 Gérôme BILLOIS
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Cyber Benchmark
Quel niveau de maturité du marché ?
March 2022
Gérôme BILLOIS
Clément JOLLIET
Partner
Consultant senior
gerome.billois@wavestone.com
clement.jolliet@wavestone.com
(+33) 6 10 99 00 60
(+33) 6 46 14 80 12
@gbillois
Wavestone, indépendance et croissance
Pure player
indépendant
418 M€
+3 500
collaborateurs
15 bureaux
dans 9 pays
© WAVESTONE 2
⁄ Sécurité Cloud &
Next-Gen
Un leader indépendant en
INNOVANT ⁄ Identité Numérique
cybersécurité & DOER
⁄ Gestion des risques Radars RSSI
et conformité & Start-ups
⁄ Secteur financier
LIBÉRER PARTENAIRE ⁄ Manufacturing &
L’INNOVATION PAR CŒUR DE Industrie 4.0
MÉTIER
LA CONFIANCE ⁄ IoT & Smart Benchmark sectoriel
Products
⁄ Direction générale
Une équipe de plus de 700
consultants et experts au CONFIANCE & ⁄ Réponse à incident
service de plus de 1000
EXPERTISE
clients
CyberLab
⁄ Hacking éthique
US | UK | FR | BE | CH | LU | HK | MA © WAVESTONE 3
Une analyse de maturité en profondeur
basée sur le benchmark Wavestone
Une nouvelle approche s’appuyant sur les référentiels internationaux
NIST CSF et ISO 27001/2
Une innovation clé : l’évaluation de la
distribution de la maturité sur chaque Protection
Sécurité
physique /
sujet majeur, incluant les contrôles des données
matérielle
organisationnels et technologiques Gestion des Sécurité des
Résilience
actifs applications
~200 Identity &
Gouvernance
Access
questions
Management
Une approche fiable : données Système de
Gestion des
collectées par Wavestone à travers des risques
Sécurité des
réseaux
contrôle
industriel
évaluations de maturité directement chez
75+
nos clients sur les 3 dernières années organisations
Sécurité
opérationnelle 16 thèmes
Gestion des Sécurité du
tiers Workplace
Cloud
Une base de données de plus de 75
organisations parmi les plus grandes Détection Réaction
organisations : industrie, services, finance,
énergie, secteur public… Représentant plus
de 3 000 000 comptes utilisateurs !
© WAVESTONE 4
Wavestone Cyber-Benchmark : vue d’ensemble
54.4 55.4
51.8
44.8
42.5 43.3
36.9
Note de maturité
globale
46
/100
Finance Energie Industrie Services Public Infrastructures Non
critiques réglementées
Des différences
La moyenne est à La réglementation
importantes
peine atteinte a un impact positif
entre les secteurs
© WAVESTONE 5
Les organisations consacrent en moyenne 6,1%
du budget IT à la cybersécurité
Moyenne du budget IT Actuellement, c’est principalement les
dédié à la sécurité secteurs les moins matures qui
investissent le plus
Industrie 7%
Troisième quartile Premier quartile Public 6.6%
1% 13.0%
Finance 5.8%
Programmes cyber majeurs Energie 5.5%
Total des investissements sur 3 ans
Services 4%
Finance Industrie Les services financiers sortent de la phase de remédiation et
100 – 800 M€ 15 – 80 M€ sont aujourd’hui en fonctionnement normal avec moins de
programme cyber dédié. Les autres secteurs concentrent encore
leurs efforts grâce à des programmes de transformation spécifiques.
Il faut prendre en compte que le pourcentage du budget investi varie beaucoup en fonction des
investissements passés et de l'équilibre financier entre les projets et la production
© WAVESTONE 6
Les équipes cyber se développent rapidement : de
nombreuses ont doublé de taille récemment
Nombre moyen d’employés
1/ Finance
pour une personne dédiée à la cyber
373
1/ Energie
946
1/ 1/
1448
Services
1714
1/
1798 Industrie
1/ Public
2274 Distribution
Dans le contexte actuel de pénurie de compétence,
les ressources humaines devraient être une priorité en 1er quartile 3ème quartile
matière d’attractivité et de rétention. Les standards
1/ 1/
cyber internationaux ne prennent majoritairement pas
en compte ces questions.
385 1625
© WAVESTONE 7
Quelle est la MATURITÉ du marché sur les axes cyber ?
IDENTIFIER PROTÉGER DÉTECTER RÉPONDRE RECONSTRUIRE
46% 47% 46% 45% 40%
Les piliers NIST sont aujourd’hui homogènes,
témoignant de l’investissement important réalisés ces
dernières années sur les thèmes « détecter » et
« répondre ».
Le sujet de la reconstruction est le moins mature.
© WAVESTONE 8
Quelle est la MATURITÉ du marché sur les axes cyber ?
Maturity level Les réussites
En progression
Les points durs
La vue du niveau de maturité pour chaque “boîte à moustache”: Maximum / 1st quartile / Médiane / 3rd quartile / Minimum.
1 point = 1 point de contrôle dans notre évaluation de maturité © WAVESTONE 9
Comment le
MARCHÉ est-il protégé
face aux dernières
cyberattaques ?
46.2%
de résilience globale contre les
RANSOMWARE
© WAVESTONE 10FACE AUX RANSOMWARES :
30% DES ORGANISATIONS SONT EN SITUATION CRITIQUE
À partir des dernières attaques cyber gérées par le CERT-Wavestone, nous avons sélectionné
31 mesures anti-ransomware et évalué la maturité de nos clients sur chacune d’elles
NIVEAU MOYEN DES CLIENTS
SERVICES
WAVESTONE: 46.2%
FINANCIERS
INDUSTRIE
MOYENNE DES GRANDES
ENERGIE ENTREPRISES (TYPE CAC40)
54.5%
PUBLIC
30% DES ORGANISATIONS
SERVICES
CONSIDÉRÉES EN SITUATION
0% MATURITY LEVEL 100% CRITIQUE
© WAVESTONE 11EDR & MFA, une majorité d’organisations a réussi,
il n’y a plus de raison d’attendre !
La couverture des outils
des organisations ont commencé à
Endpoint Detection &
ENDPOINT 51% déployer une solution EDR sur leurs
actifs Response est de 67% en
moyenne
0% 50% 100%
La couverture de
des organisations ont
l’authentification multi-
61% commencé à déployer du MFA
pour les utilisateurs facteurs pour les utilisateurs
est de 63% en moyenne
IDENTITY & 0% 50% 100%
ACCESS
La couverture du
MANAGEMENT
des organisations ont l’authentification multi-
71 % commencé à déployer du
MFA pour les admin.
facteurs pour les
administrateurs est de
76% en moyenne
0% 50% 100%
© WAVESTONE 12La sécurisation de l’Active Directory est en cours, mais
changer les pratiques et l’architecture reste un défi majeur
Des outils dédiés ont été déployés La sécurité de l'administration
mais la surveillance intégrée de l’Active Directory reste une
fait toujours défaut. activité complexe
73% des 63% des
organisations organisations
disposent de
réalisent des 30% des comptes dédiés
tests organisations ont
d’intrusion et restreints
une infrastructure
chaque année pour les tâches
dédiée aux tâches
sur leur AD 40% des administratives à
45% disposent
24% ont administratives du
organisations ont haut risque
intégré ces tier-0
d'outils avancés des postes de (tier-0)
outils dans le
et spécialisés travail dédiés aux
SOC
pour surveiller tâches
leur AD d'administration à
haut risque (tier-0)
© WAVESTONE 13La résilience reste encore un sujet clé difficile à traiter, en
particulier en ce qui concerne les tests opérationnels
Des investissements 10% des organisations ont testé
leur plan de réponse à un incident
importants dans la avec leurs fournisseurs clés
gestion de crise…
17% des organisations ont
82% des organisations ont au moins testé leur plan de résilience sur
partiellement défini, partagé et appliqué un l'ensemble de la chaîne de
processus de gestion de cybercrise
valeur (métier / informatique)
53% des organisations ont un ensemble
complet d'outils dédiés à la gestion de
crise: outils de vidéoconférence, dossier avec des investissements majeurs
de suivi partagé, manuel et répertoire de en cours dans le secteur financier
crise … et pour 25% d’entre eux, ces
outils résistent aux cybercrises !
47% des organisations organisent
régulièrement des exercices de …cachant des difficultés
simulation de cybercrises
réelles concernant les tests
de résilience opérationnelle
© WAVESTONE 14DECOUVREZ
vos
prochains
CHALLENGES
© WAVESTONE 15Sécurité des applications et des données : plusieurs défis liés
au volume des actifs concernés (38.8% & 38.3% de maturité)
Sécurité des applications
60% 72% des organisations ont
50% implémenté un Web
44% 42% Application Firewall (WAF)
40% 39%
40% 36% 36% 34%
31%
20%
Des difficultés sont observées
sur les sujets du cycle de vie
0% des applications: agile,
Web apps Patch Vulnerability Audit & API Security by Source code Legacy IT asset
security mngt mngt control security Design integrity mngt disposition DevSecOps, CI/CD, SBOM…
En raison des réglementations,
Sécurité des données
le sujet présente un bon niveau
80% de maturité
62%
60%
44%
38% 38%
40% 35%
32% 57% des organisations n’ont
25% pas investi dans un outil externe
20% de détection de fuite de
données, pourtant facile à
0% mettre en œuvre
Personal data Data in Data classification External Data leakage Data classification Data
identification motion – Structured data leakage prevention – Unstructured data desensitization
detection
© WAVESTONE 16Le Cloud est un sujet clé concentrant des investissements
importants mais qui atteint seulement 36.1% de maturité
Surveillance et détection du Cloud Administration du Cloud
53% L'accès se fait par un bastion
47%
12%
des organisations
envoient les journaux Authentification multi-facteur (MFA) pour 46%
du Cloud à leur SOC des organisations les comptes d’administration.
(4% ont des règles comptent uniquement
sur les alertes de leur Console Cloud accessible depuis
de détection n'importe où, à l'aide d'un login
42%
spécifiques) fournisseur Cloud et d'un mot de passe.
Conformité du Cloud
des organisations des organisations
vérifient corrigent
60% automatiquement la
conformité du Cloud à
4% automatiquement les
problèmes de conformité
l’aide d’outils du Cloud
© WAVESTONE 17La sécurité des systèmes industriels a une
maturité globale de 34.1%
Quelques points encourageants
des organisations ont
des organisations utilisent des
commencé à déployer une
pare-feux pour séparer les
50% organisation dédiée à la 66% réseaux d'entreprise des
cybersécurité sur leur
réseaux industriels
périmètre industriel
et
des organisations ont
mis en place une
50% Zone Démilitarisée
(DMZ)
… et un thème clé à risque des organisations ne
contrôlent pas leurs
pour le futur : la sécurité 50% exigences en matière de
des tiers sécurité avec des tiers
© WAVESTONE 18Un rapide aperçu des tendances actuelles du Les sujets clés
marché… de nombreuses autres données à explorer ! pour 2022
GESTION RH
RELATION AVEC LE
COMITÉ EXÉCUTIF
z
GESTION DES
TIERS
ZERO TRUST
AUTOMATISATION
SÉCURITÉ DES
PRODUITS
© WAVESTONE 19Quelle est votre posture ?
Réalisez votre propre évaluation
Plusieurs analyses différentes
Résilience aux
Standards internationaux: Maturité sur les sujets
attaques les plus
NIST and ISO 2700X clés
récentes
Pour aller plus loin
Intégration à la plateforme
Vue par niveau de Citalid pour une approche
Vue par entité
risque cible quantitative des risques
Gestion de programme alignée à votre évaluation
et progression annuelle de la menace
© WAVESTONE 20Gérôme BILLOIS M +33 (0)6 10 99 00 60
Partner gerome.billois@wavestone.com
Clément JOLLIET M +33 (0)6 46 14 80 12
Senior Consultant clement.jolliet@wavestone.com
riskinsight-wavestone.com
@Risk_Insight
securityinsider-wavestone.com
@SecuInsider wavestone.com
@wavestone_Vous pouvez aussi lire
