FOCUS MAROC CYBERSÉCURITÉ - PWC GLOBAL STATE OF INFORMATION SECURITY SURVEY 2018 - PWC AU MAROC
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Cybersécurité
PwC Global State of
Information Security®
Survey 2018
FOCUS MAROC
Avril 2018
Renforcer la société digitale contre les chocs cyber
© 2018 PricewaterhouseCoopers France et Pays Francophones d’Afrique
PwC Global State of Information Security® Survey 2018 : Renforcer la société digitale contre les chocs cyber
FOCUS MAROC
Remerciements
Je tiens à exprimer mes remerciements :
- aux 50 entreprises ayant participé à l’enquête,
- à tous ceux qui ont contribué à sa diffusion en relayant notamment nos posts sur les réseaux
sociaux,
- à M. Mohammed Saad, et aux membres de l’AUSIM, dont le soutien a permis de mobiliser des
répondants complémentaires,
- à toutes les équipes PwC qui ont veillé à la construction et à la réussite de cette enquête, en
particuler Jérémy Dubourg, Sanaa Tahid, et Camille Taste,
- à M. Stéphane Henry, pour nous avoir autorisé à utiliser la photographie figurant sur la page de
garde,
Nabil Kettani
Associé, PwC au Maroc
2
PwC Global State of Information Security® Survey 2018 : Renforcer la société digitale contre les chocs cyber
FOCUS MAROC
Sommaire
Introduction 4
Approches stratégiques 8
Contexte Cyber en 2017 13
…pour résumer 19
Vos contacts 20
3
Introduction Présentation générale de l’enquête Cartographie des répondants
PwC Global State of Information Security® Survey 2018 : Renforcer la société digitale contre les chocs cyber
FOCUS MAROC
À propos de l’enquête
• The Global State of Information Security® Survey 2018 est une étude mondiale réalisée par
PwC, CIO et CSO magazine entre le 24 avril et le 26 mai 2017 ;
• Menée depuis 20 ans par PwC et depuis 15 ans en partenariat avec CIO et CSO magazine ;
• Des réponses apportées par les lecteurs et les clients de PwC répartis dans 122 pays ;
• Cette année, pour la 1ère fois, l’enquête a été menée au Maroc
• Les résultats de cette enquête se basent sur les réponses collectées entre le 5 mars 2018 et le 6
avril 2018
• Plus de 40 questions relatives à la sécurité de l’information et aux moyens de protection mis en
œuvre par les entreprises
5
PwC Global State of Information Security® Survey 2018 : Renforcer la société digitale contre les chocs cyber
FOCUS MAROC
Synthèse exécutive
En 2018, 83% des CEOs des grandes entreprises mondiales ont déclaré être inquiets face à la menace
cybersécurité, et classent cette menace à la 4ème position de leur préoccupation (vs. 10ème position en 2017). On
notera que la menace cyber arrive juste derrière 3 préoccupations qui ne sont pas sous contrôle des entreprises,
à savoir : l’excès de règlementation, le terrorisme, et l’incertitude géopolitique.
Dans un contexte où les entreprises Marocaines s’engagent fortement dans la digitalisation et l’ouverture de leur
Système d’Information, où la règlementation de certains secteurs et les Directives nationales exigent un
renforcement des dispositifs en matière de protection des informations sensibles, la cyber sécurité devient un
enjeux majeur pour les entreprises marocaines.
Au sein des entreprises marocaines, cette prise de conscience, se traduit par une phase d’investissement sur les
problématiques de cyber sécurité où la part des budgets alloués par rapport aux budgets IT est plus de deux fois
supérieure à la moyenne mondiale. Cela se traduit également par une augmentation des budgets dédiés à la
cyber sécurité et forte proportion des entreprises marocaines a avoir nommé un Responsable de la Sécurité des
SI.
Pour autant, et malgré un contexte favorable, l’enquête révèle que :
- les entreprises ont globalement encore un chemin significatif à parcourir pour atteindre un niveau de maturité
acceptable au regard des risques à couvrir,
- elles ont désigné un RSSI, mais les dispositifs mis en place sont encore parcellaires, et sont globalement
réactives post incidents ou post audit, et encore trop rarement proactives,
- la Cyber sécurité continue a être perçue comme une problématique technique et non traitée au niveau
stratégique des organisations,
Globalement, les grandes entreprises Marocaines, ont pris la mesure du risque cybersécuritaire et montent dans
la courbe de maturité, alors que la prise de conscience au niveau du management des petites et moyennes
entreprises n’est pas encore au rendez vous.
6
Cette enquête, que PwC réalisera chaque année au Maroc, permettra de suivre l’évolution de ces tendances et de se benchmarker aux tendances mondiales.
PwC Global State of Information Security® Survey 2018 : Renforcer la société digitale contre les chocs cyber
FOCUS MAROC
50 répondants au 10/04/2018
Répondants par taille d’entreprise (chiffre d’affaires)
Répondants par taille d’entreprise (nb d’employés) Répondants par secteurs d’activité
50% INDUSTRY, SERVICES & CONSUMER PRODUCTS
FINANCIAL
24% SERVICES
TELECOM
16% MEDIA &
TECHNOLOGY
10% PUBLIC
SECTOR 7
/ NGOApproches stratégiques Où en sont les organisations dans la définition et la mise en œuvre de leurs stratégie de cybersécurité ? Comment appréhendent elles le rôle de RSSI ? Comment les organisations évaluent leurs investissements en sécurité de l’information ?
PwC Global State of Information Security® Survey 2018 : Renforcer la société digitale contre les chocs cyber
FOCUS MAROC
Où en sont les organisations dans la définition et la mise en
œuvre de leurs stratégie de cybersécurité ?
70% des répondants jugent
que leur stratégie n’est
pas implémentée à une
vitesse suffisante
25% Seul la moitié des
organisations qui ont
défini une gouvernance en
ont approuvé le cadre au
niveau du comité de
direction.
9PwC Global State of Information Security® Survey 2018 : Renforcer la société digitale contre les chocs cyber
FOCUS MAROC
La majorité des entreprises structurées ont désigné un RSSI
souvent rattaché à la DSI
De qui le RSSI relève-t-il directement dans votre organisation ?
“
62%
24%
DSI
Beaucoup de dirigeants +25% par rapport
16% 75%
perçoivent encore la 17% à la moyenne
Direction des risques / Audit Interne
Cybersécurité comme un mondiale
problème purement IT 14%
40% des organisations de nos
Direction Générale / Secrétariat Général
répondants disposaient d’un
8% RSSI en 2017.
27% Seulement
Comité de direction
21% estiment la fonction mature.
Moyenne mondiale
Matt Olsen – IronNet Cybersecurity, 10
US National Counterterrorism CenterPwC Global State of Information Security® Survey 2018 : Renforcer la société digitale contre les chocs cyber
FOCUS MAROC
La part du budget Cybersécurité vs. Budget IT est globalement plus importante
par rapport à la moyenne mondiale
72%
des sondés considèrent que les
budgets cybersécurité restent Moyenne
insuffisants, malgré les mondiale
hausses significatives en 2017.
11% de budget moyen Cyber vs. IT (en 2017)
Des budgets Cyber (en valeur) globalement en hausse en 2017 vs. 2016
- Moyennes & Grandes entreprises : budget en hausse
- Gov / NGO : budgets stables
- Petites entreprises : quelques hausses très significatives (> 200%)
11PwC Global State of Information Security® Survey 2018 : Renforcer la société digitale contre les chocs cyber
FOCUS MAROC
La conformité réglementaire et la transformation du business sont les drivers
principaux des dépenses de cybersécurité
Comment le budget dédié à la cybersécurité de
votre entreprise est – il justifié ?
Alignement avec les bonnes pratiques
Exposition mesurée aux risques
Besoins réglementaires
Jugement professionnel
Besoins exprimés par des partenaires /…
Besoins clients
Mesure d’un retour sur investissement …
Autre
0% 5% 10% 15% 20% 25% 30%
Moyenne mondiale
La majorité des grandes entreprises se montrent proactives et prennent la mesure du risque cybersécurité. La
conformité règlementaire reste cependant le moteur majeur devant la transformation digitale.
Les Petites et Moyennes entreprises restent globalement réactives et ne prennent la mesure du risque cyber
qu’après un incident ou les recommandations d’un audit.
A noter que la Transformation digitale et le risque de vols d’information clients / employés arrivent en tête des
facteurs conduisant les entreprises mondiales à investir dans la Cybersécurité, devant la conformité règlementaire.
12Contexte Cyber en 2017 Comment se matérialisent les cybermenaces ? Dans quelle mesure les organisations sont-elles préparées ? Quels moyens ont-ils prévu de déployer à court terme?
PwC Global State of Information Security® Survey 2018 : Renforcer la société digitale contre les chocs cyber
FOCUS MAROC
Quels sont les types et l’origines des incidents ?
Au Maroc Dans le monde
citent les logiciels malveillants déployés sur les citent l’exploitation de dispositifs mobiles
postes de travail comme premier vecteur 28% (smartphones, tablettes, etc.) comme premier
25% vecteur d’incidents de sécurité en 2017, dépassant
d’incidents de sécurité en 2017
le phishing
Nature des incidents détectés
Logiciel malveillant déployé sur les postes de travail 25% 23%
Equipements de stockage amovibles (clés USB par exemple) exploités
17%
Applications / composant d’infrastructure exposé sur internet compromis ~30% depuis
10% l’interne
Applications / composant d’infrastructure interne non exposé compromis
10%
Exploitation de l’humain (social engineering) 7%
Fuite d’information sous forme papier 5%
Infrastructure d’un partenaire compromise 5%
Données volées /exfiltrées 5%
Équipements mobiles (smartphones, tablettes…) exploités 5% Moyenne mondiale
~30% des attaques proviennent de l’interne
15% ne connaissaient pas la source de l'incident
14PwC Global State of Information Security® Survey 2018 : Renforcer la société digitale contre les chocs cyber
FOCUS MAROC
Globalement peu d’impact d’incidents identifiés
70% des répondants déclarent avoir détecté moins de 50 d’incidents de sécurité*
Nombre d’incidents déclarés par les
entreprises mondiales
au cours des 12 derniers mois
10% déclarent 0 incidents et 6% plus de 50 incidents
2016
2015 Des temps d’arrêts faibles Des pertes financières non chiffrées
2016 50% des entreprises ayant détecté Les pertes financières ne sont
2015
des incidents ne déplorent aucun cependant pas estimées dans la
2016 temps d’arrêt majorité des cas** (seules 11% des
2015
L’autre moitié a subi des arrêts d’une entreprises déclarent être en mesure
durée inférieure à 8 heures de chiffrer les pertes)
Le rapport Trustwave Global Security Report estime que
La grande partie des grandes 71% des attaques ne sont toujours pas détectées.
entreprises au Maroc se
trouvent dans ce segment
41% des répondants en Europe estiment que les pertes financières moyennes
suite à des incidents de sécurité sont entre 45 000 et 450 000 euro
15
* Un incident de sécurité est défini comme tout incident indésirable qui menace un aspect de la sécurité informatique.
** seul deux répondants ont communiqué des pertes financières chiffrées.PwC Global State of Information Security® Survey 2018 : Renforcer la société digitale contre les chocs cyber
FOCUS MAROC
Stratégies, Dispositifs et Moyens mis en œuvre
Moins de 50 % des répondants affirment que ce Plus de 50% des répondants affirment que ce
contrôle est en place dans leur organisation contrôle est en place dans leur organisation
Gouvernance de la
Cybersécurité
50%
48%
Programmes de
sensibilisation et formation
45%
41% Cartographie des données
60%
Plan de gestion de crise Cyber
28% 44%
Process de réponse
à incident
Stratégie de 50%
cybersécurité
38% 50% RSSI
75%
Moyenne mondiale
16PwC Global State of Information Security® Survey 2018 : Renforcer la société digitale contre les chocs cyber
FOCUS MAROC
Comment les organisations évaluent-elles leurs dispositifs de
gestion de la cybersécurité ?
Dispositif de gestion de la cybersécurité
Les entreprises confiantes dans leur
dispositif de cybersécurité n’ont pas 28% des répondants mesurent l’efficacité de leurs
toutes mené une analyse de politiques, processus et procédures de
cybersécurité
risques sur leurs infrastructures
internes et sur leurs prestataires. 28% des répondants pensent que leurs dispositifs de
protection et de détection en matière de
cybersécurité sont efficaces
42% des répondants ont confiance en leur capacité à
répondre à un incident s’il survenait et à gérer
une situation de crise
des répondants dans le monde s’estiment
39% en mesure d’identifier l’origine de 61% des répondants s’estiment en mesure
d’identifier l’origine d’un incident de
l’incident
cybersécurité
17PwC Global State of Information Security® Survey 2018 : Renforcer la société digitale contre les chocs cyber
FOCUS MAROC
Moyens technologiques / processus de détection / protection
prioritaires prévus dans les 12 prochains mois
18PwC Global State of Information Security® Survey 2018 : Renforcer la société digitale contre les chocs cyber
FOCUS MAROC
Pour résumer…
Une problématique pas
suffisamment prise à haut
Un contexte favorable poussant niveau mais qui le deviendra.
les investissements en matière Des capacités
de Cyber sécurité favorisant la réactivité
à la proactivité
Prise de conscience Les impacts des
des enjeux de la incidents de sécurité
cyber sécurité au encore difficilement
Maroc ! quantifiable
19Vos contacts :
Nabil Kettani, Associé Digital & Expérience, PwC au Maroc nabil.kettani@pwc.com
Philippe Trouchaud, Associé Cybersécurité, PwC en France philippe.trouchaud@pwc.com
Jérémy Dubourg, Manager Technology Consulting, PwC au Maroc jeremy.dubourg@pwc.com
À propos de PwC
At PwC, our purpose is to build trust in society and solve important problems. We’re a network of firms in 157 countries with more than 223,000 people who are committed to delivering quality in assurance, advisory and tax services. Find out more
and tell us what matters to you by visiting us at www.pwc.com.
©2018 PwC. All rights reserved. PwC refers to the PwC network and/or one or more of its member firms, each of which is a separate legal entity. Please see www.pwc.com/structure for further details.
The Global State of Information Security® is a registered trademark of International Data Group, Inc.
PwC has exercised reasonable care in the collecting, processing, and reporting of this information but has not independently verified, validated, or audited the data to verify the accuracy or completeness of the information. PwC gives no express or
implied warranties, including but not limited to any warranties of merchantability or fitness for a particular purpose or use and shall not be liable to any entity or person using this document, or have any liability with respect to this document. This report
is for general purposes only, and is not a substitute for consultation with professional advisors.Vous pouvez aussi lire
