La cybersécurité est-elle seulement une affaire de protection ? - Étude EY sur la sécurité de l'information 2018-2019

 
La cybersécurité est-elle seulement une affaire de protection ? - Étude EY sur la sécurité de l'information 2018-2019
La cybersécurité
est-elle seulement une
affaire de protection ?
Étude EY sur la sécurité
de l’information 2018-2019
La cybersécurité est-elle seulement une affaire de protection ? - Étude EY sur la sécurité de l'information 2018-2019
Étude EY sur la sécurité de l’information 2018-2019

2
La cybersécurité est-elle seulement une affaire de protection ? - Étude EY sur la sécurité de l'information 2018-2019
Étude EY sur la sécurité de l’information 2018-2019

Édito
                         Marc Ayadi
                        Associé EY Consulting, Leader Cyber Western Europe & Maghreb

Cette année encore, les cyberattaques n’ont                 Ce mouvement coïncide avec l’entrée en vigueur
jamais été aussi nombreuses et sophistiquées.               du nouveau texte européen sur la protection
                                                            des données personnelles (RGPD n°2016/679),
Le coût moyen d’une cyberattaque a brisé le                 qui incite les entreprises à être plus vigilantes et
plafond des 3 millions de dollars. Près de deux             proactives et dispose que les régulateurs auront
milliards de dossiers contenant des informations            désormais le pouvoir d’appliquer des sanctions
personnelles ont été compromis entre janvier                financières pouvant aller jusqu’à 4% du chiffre
2017 et mars 2018, et des millions d’identités              d’affaires mondial annuel en cas de violation
ont été volées, nuisant aux finances et à la                délibérée ou de négligence.
réputation d’entreprises dont le principal moteur
de croissance était la relation de confiance bâtie          S’il n’est pas toujours possible de prévenir et
en particulier avec leurs clients.                          de repousser toutes les attaques, nous devons
                                                            continuer à travailler ensemble afin d’imaginer
La transformation digitale de l’entreprise,                 des solutions toujours plus innovantes pour
le développement galopant des nouvelles                     pouvoir prévenir en amont et détecter les actes
technologies et la prolifération des appareils              malveillants, pour être en mesure de fournir une
mobiles exposent les entreprises à de nouveaux              réponse rapide et efficace, et avoir une longueur
risques, de plus en plus difficiles à cartographier.        d’avance sur les pirates.
Les données personnelles et sensibles sont
devenues la cible privilégiée des pirates. Plus             Nous sommes heureux d’annoncer que cette
aucune entreprise, quel que soit son secteur                année plus de 1 400 organisations ont pris part
d’activité, n’est à l’abri.                                 à notre enquête mondiale. Nous vous remercions
                                                            d’avoir pris le temps de répondre au sondage.
Ce constat, souvent martelé, commence à                     Vos réponses nous ont permis de collecter
trouver un écho favorable dans les entreprises qui          de nouvelles informations et d’avoir une vue
allouent cette année un budget plus important               d’ensemble sur les cybermenaces qui pèsent sur
à la cybersécurité et ont pris conscience de la             les entreprises, les clients et les fournisseurs.
vulnérabilité que représentent leurs employés               Elles nous permettent également de continuer
mal informés. L’heure est à la formation et à la            à investiguer et développer des solutions sur
sensibilisation.                                            mesure pour chaque entreprise, afin de participer
                                                            à la construction d’un monde plus sûr.

                                                            Bonne lecture !

                                                                                                               3
La cybersécurité est-elle seulement une affaire de protection ? - Étude EY sur la sécurité de l'information 2018-2019
Étude EY sur la sécurité de l’information 2018-2019

        Quelques chiffres clés

                      6,4 milliards                                                                 3,62 millions
                      C’est le nombre d’e-mails frauduleux envoyés                                  C’est le coût moyen en dollars d’une atteinte
                      tous les jours à travers le monde.1                                           à la sécurité des données en 2017.2

                      1 464                                                                         2 millions
                      C’est le nombre de fonctionnaires                                             C’est le nombre d’identités volées utilisées
                      d’un État australien qui ont pour mot de passe                                pour commenter la réforme de la neutralité
                      « Password123 ». 3                                                            du Net aux États-Unis.4

                               1 946 181 599
                               C’est le nombre de documents contenant des informations personnelles et sensibles compromis
                               entre janvier 2017 et mars 2018.5

                          550 millions                                                      729 000 $
                                                                                            C’est la somme perdue par un homme d’affaires
                          C’est le nombre d’e-mails d’hameçonnage
                                                                                            lors d’une arnaque combinant deux types
                          envoyés en une seule campagne début 2018.6
                                                                                            d’hameçonnage : du catphishing et du whaling.7

1
    Dark Reading, 27 août 2018. [www.darkreading.com/endpoint/64-billion-fake-emails-sent-each-day/d/d-id/1332677]
2
    Ponemon Institute, juillet 2017. [www.ponemon.org/blog/2017-cost-of-data-breach-study-united-states]
3
    The Washington Post, 22 août 2018. [www.washingtonpost.com/technology/2018/08/22/western-australian-government-officials-used-password-their-password-
    cool-cool]
4
    Naked Security, 24 mai 2018. [nakedsecurity.sophos.com/2018/05/24/2-million-stolen-identities-used-to-make-fake-net-neutrality-comments/]
5
    Chronology of Data Breaches, mai 2018. [www.privacyrights.org/data-breaches]
6
    Dark Reading, 26 avril 2018. [www.darkreading.com/vulnerabilities---threats/new-phishing-attack-targets-550m-email-users-worldwide/d/d-id/1331654]
7
    SC Media, 28 décembre 2017. [www.scmagazine.com/home/resources/email-security/australian-loses-1-million-in-catphish-whaling-scam]

    4
La cybersécurité est-elle seulement une affaire de protection ? - Étude EY sur la sécurité de l'information 2018-2019
Étude EY sur la sécurité de l’information 2018-2019

Sommaire

01   Protéger

02   Optimiser

03   Croître

04   Méthodologie

                                                                5
La cybersécurité est-elle seulement une affaire de protection ? - Étude EY sur la sécurité de l'information 2018-2019
Étude EY sur la sécurité de l’information 2018-2019

01 Protéger

    Les questions à se poser
    >   Quelles données devons-nous protéger en priorité ?

    >   Quels sont nos points faibles en matière de sécurité ?

    >   À quelles menaces devons-nous faire face ?

    >   Quels cybercriminels pourraient nous viser ?

    >   Notre sécurité a-t-elle déjà été compromise ?

    >   Notre protection est-elle à la hauteur de celle de nos concurrents ?

    >   Quelles sont nos obligations légales ? Les respectons-nous ?

6
La cybersécurité est-elle seulement une affaire de protection ? - Étude EY sur la sécurité de l'information 2018-2019
Étude EY sur la sécurité de l’information 2018-2019

1. Gouvernance

   55%
   des entreprises n’intègrent pas
                                                53%
                                                des entreprises ont revu
                                                                                                  65%
                                                                                                  des entreprises envisagent
   de volet de cyberprotection                  leur budget à la hausse                           une augmentation du budget
   dans leurs stratégies.                       cette année.                                      l’année prochaine.

2. Quels sont les enjeux ?
Les 10 informations les plus convoitées                                 Les 10 plus grosses menaces
par les cybercriminels                                                  pesant sur les organisations

 1. Informations sur l’utilisateur                                      1. Hameçonnage
 2. Données financières                                                 2. Malware
 3. Plans stratégiques                                                  3. Cyberattaques (déstabilisation)
 4. Informations sur un membre du conseil d’administration              4. Cyberattaques (vol d’argent)
 5. Mots de passe                                                       5. Fraudes
 6. Informations de R&D                                                 6. Cyberattaques (vol d’adresse IP)
 7. Informations de fusion-acquisition                                   7. Spam
 8. Propriété intellectuelle                                            8. Attaques internes
 9. Propriété intellectuelle non-brevetée                               9. Catastrophes naturelles
10. Informations sur les fournisseurs                                  10. Espionnage

3. Protection
Les tierce-parties augmentent considérablement les risques. Seules 15% des
entreprises ont mené des actions pour prévenir ces menaces.

                                                                                                  34%
Les grandes entreprises sont plus avancées que les petites en matière de protection.
35% d’entre elles ont un programme de cyberprotection à jour, tandis que seulement
un quart des petites entreprises peuvent en dire autant.

                                                                                                  des entreprises considèrent les
                                                                                                  employés négligents et mal informés
                                                                                                  comme étant leur plus importante
                                                                                                  source de vulnérabilité.

                                                                                                                                        7
La cybersécurité est-elle seulement une affaire de protection ? - Étude EY sur la sécurité de l'information 2018-2019
Étude EY sur la sécurité de l’information 2018-2019

4. Failles de sécurité
Failles découvertes via :

N’ont connu aucun incident significatif
Division opérationnelle

Centre d’opérations et de sécurité (SOC)                         16%
                                                                       24%
                                                                                         46%
                                                                                                                        49%
                                                                                                        des répondants ne disposent pas d’un
                                                                                                        Security Operation Center (SOC)
Tierce-partie                                              8%                                           qu’il soit au sein de l’entreprise,
Autre                                                    6%                                             outsourcé ou hybride.

                            41%                     ont un programme de gestion des
                                                    vulnérabilités formel et à mis à jour.

                            Le niveau de maturité des capacités de gestion des vulnérabilités
                                                                                                                        28%
                            s’est accru ces dernières années, mais reste encore perfectible.            Seuls 28% des répondants estiment
                            Le maintien à jour de ces programmes en matière de couverture               disposer de capacités formelles et à
                            du parc et de gestion des mises en œuvre des correctifs restent             jour en matière de stratégie de veille
                            les principaux challenges pour les organisations.                           (cyber threat intelligence).

                            47%                                                                                         20%
                                                   des répondants affirment disposer
                                                   d’un programme de réponse aux
        11001010110010101
        11001010110010101
        01011PASSWORD101
        11001010110010101
        11001010110010101
        11001010110010101

                                                   incidents formel et à jour.

                            Le niveau de maturité des capacités de réponse aux incidents
                                                                                                        des répondants n’ont pas de
                            est relativement élevé au sein des organisations ayant déjà subi
                                                                                                        programme de détection des
                            des incidents de sécurité ou soumises à des règlementations
                                                                                                        intrusions. Le niveau de maturité des
                            spécifiques. Cependant, pour être pleinement efficaces, les
                                                                                                        capacités de détection reste perfectible
                            capacités de réaction doivent être adossées à des capacités de
                                                                                                        et hétérogène selon les secteurs
                            détection efficaces.
                                                                                                        d’activités et la taille des organisations.

                               Les prochaines étapes
                               • Inscrire la cybersécurité dans l’ADN de l’entreprise et en faire une partie intégrante
                                 de sa stratégie.

                               • Éduquer et sensibiliser aux techniques de hameçonnage ainsi qu’aux malwares.
                                 S’appuyer sur la technologie pour effectuer des simulations d’attaques.

                               • Étendre la stratégie de cybersécurité à tout l’écosystème de l’entreprise :
                                 les cybercriminels peuvent-ils profiter de la vulnérabilité de nos partenaires ?
                                 Voulons-nous continuer à travailler avec des partenaires vulnérables ? Comment
                                 pouvons-nous les aider ?

                               • Augmenter les budgets de sécurité en amont (plutôt qu’après les incidents) et se
                                 concentrer sur la détection des menaces et la gestion des crises, afin de réduire
                                 considérablement les risques.
 8
La cybersécurité est-elle seulement une affaire de protection ? - Étude EY sur la sécurité de l'information 2018-2019
Étude EY sur la sécurité de l’information 2018-2019

Focus sectoriels

                     Santé                                                                       Énergie

Les données relatives à la santé sont d’une valeur inestimable        • Gouvernance. 57% des entreprises de ce secteur ont
sur le dark web. Par conséquent, les organismes de santé sont           augmenté leur budget pour lutter contre la cybercriminalité au
une cible privilégiée des cybercriminels. Un organisme de               cours des 12 derniers mois, et 68% vont l’augmenter au cours
santé sur trois a été victime d’une cyberattaque, et un sur dix         des 12 prochains mois.
a payé une rançon.
                                                                      • Quels sont les enjeux ?15% des entreprises du secteur
• Gouvernance. La moitié des entreprises du secteur de la santé         considèrent que les données personnelles de leurs clients
  disent avoir augmenté le budget alloué à la cybersécurité au          figurent parmi les données plus recherchées par les
  cours des 12 derniers mois, et 66% prévoient d’en faire de            cybercriminels. 14% d’entre elles considèrent que les plans
  même au cours des 12 prochains mois.                                  stratégiques de l’entreprise ont cependant plus de valeur, et
                                                                        27% pensent que le hameçonnage a eu pour conséquence
• Quels sont les enjeux ?17% des entreprises du secteur                d’augmenter leur exposition aux risques.
  considèrent que les données personnelles de leurs clients
  figurent parmi les données les plus recherchées par les             • Protection. 29% des entreprises de ce secteur déclarent que
  cybercriminels. 25% d’entre elles expliquent que les malwares         leur exposition aux risques a augmenté à cause d’employés
  ont augmenté leur exposition aux risques.                             négligents ou mal informés. 28% mettent en cause une
                                                                        architecture ou des contrôles de sécurité archaïques.
• Protection. 33% des entreprises de ce secteur pensent que
  leur exposition aux risques a augmenté à cause d’employés           • Failles. 42% des entreprises du secteur de l’énergie disent ne
  négligents ou mal informés.                                           pas avoir eu d’incidents majeurs en matière de cybersécurité
                                                                        au cours des derniers mois.
• Failles. Seules 18% des entreprises du secteur de la santé sont
  convaincues de pouvoir détecter une attaque sophistiquée.

                                                                                                                                        9
La cybersécurité est-elle seulement une affaire de protection ? - Étude EY sur la sécurité de l'information 2018-2019
Étude EY sur la sécurité de l’information 2018-2019

02 Optimiser
     Les questions à se poser
     >   Quelle est notre stratégie en matière de cybersécurité ?

     >   Quelle est notre appétence au risque ?

         Avons-nous identifié les tâches à faible valeur ajoutée ?
     >   Pourrions-nous les exécuter plus efficacement et à moindre coût ?

         De quelle manière les nouvelles technologies telles que l’automatisation,
     >   l’intelligence artificielle et l’analyse de données peuvent-elles nous aider ?

         Que pouvons-nous arrêter de faire pour réduire les risques ?
     >   Comment pouvons-nous réinvestir les ressources libérées ?

10
Étude EY sur la sécurité de l’information 2018-2019

1. Où en sommes-nous aujourd’hui ?

 8%                                           38%
                                                                                                Les ressources financières et
                                                                                                humaines sont les principaux enjeux
                                                                                                des entreprises : 30% d’entre elles
  Seules 8% des entreprises déclarent          déclarent qu’elles ne réussiraient               rencontrent des difficultés pour
  avoir des programmes de cybersécurité        pas à détecter une cyberattaque                  embaucher et 25% doivent compter
  qui répondent à leurs besoins.               sophistiquée.                                    avec des restrictions budgétaires.

2. Investissements prioritaires
Priorités d’amélioration du système de sécurité lorsque des failles sont détectées : les entreprises gèrent-elles ces défis
de manière adéquate ?

                                                                                                                         Non          Oui
                                                         73%                                                                   76%
            62%                                                                 64%
                               68%
                                                                                                     49% 51%
     38%                                                                  36%
                         32%
                                                  27%
                                                                                                                         24%

Identification de la      Gestion             Communication            Communication              Investigations            Retour
 faille de sécurité      de la crise             interne                  externe                   de sécurité          à la normale

                                                     • L’architecture de leur système de sécurité
Étude EY sur la sécurité de l’information 2018-2019

3. Gestion interne ou externe ?
Quelles tâches du centre de gestion des incidents sont gérées en externe ?

Surveillance de la sécurité du réseau en temps réel                            48%

Enquête sur les incidents                                            25%

                                                                                                  72% 40%
Investigations digitales et des malwares                                         51%

Collecte de renseignements sur les incidents                                      54%

Analyse des renseignements sur les incidents                                  46%

Conception et mise en œuvre de tests de sécurité
                                                                                                  72% des grandes entreprises ont
                                                                            40%                   un centre de gestion des incidents
(protection et résilience)
                                                                                                  contre 40% des petites et moyennes
Évaluation des failles et de leur gestion                                  39%                    entreprises.

Tests d’intrusion dans le système                                                        75%

4. Documenter les incidents
                                                                                                     11001010110010101
                                                                                                     11001010110010101
                                                                                                     11001010110010101
                                                                                                     11001010110010101
                                                                                                     11001010110010101
                                                                                                     11001010110010101

 23%
 Les entreprises de plus petite taille
                                                5%
                                                 Seuls 5% des répondants affirment
                                                                                                  17%
                                                                                                  présentent des rapports
 vont devoir évoluer rapidement dans             communiquer sur les conséquences                 sur ce qui pourrait être amélioré.
 ce domaine dans la mesure où 23%                financières des cyberattaques qu’elles
 d’entre elles ne génèrent toujours pas          subissent.
 de rapports sur la sécurité, comparé à
 16% des plus grandes entreprises.

                        Les prochaines étapes
                        • Développer les compétences analytiques pour améliorer la détection des menaces et
                          sensibiliser le conseil d’administration à la cybersécurité.

                        • Externaliser les fonctions d’investigations pour augmenter la réactivité de
                          l’organisation lorsqu’une faille est détectée.

                        • Concentrer les investissements sur les dispositifs les plus efficaces et répartir
                          équitablement les ressources entre ce qui peut être fait en interne et ce qui doit être
                          délégué en externe.

                        • Garder un esprit critique sur les opérations de sécurité (qu’avons-nous déjà fait, quels
                          sont les problèmes et où se trouvent-ils ?) afin d’améliorer la compréhension des
                          menaces et rester dans l’action.

12
Étude EY sur la sécurité de l’information 2018-2019

Focus sectoriels

                    Biens de consommation                                     €
                    et distribution                                                              Services financiers

• Où en sommes-nous aujourd’hui ? Seulement 8% des                   • Où en sommes-nous aujourd’hui ? Seules 6% des entreprises
  entreprises interrogées pensent que leur infrastructure               de ce secteur déclarent que leur infrastructure informatique
  informatique remplit les exigences de l’entreprise, et 29%            répond aux besoins de l’entreprise. 65% prévoient de
  pensent qu’elles doivent l’améliorer ou qu’elles ne répondent         mettre en place les dispositifs nécessaires pour l’améliorer.
  pas à ses besoins. Plus de la moitié des entreprises (55%)            Cependant 31% de ces entreprises avertissent que la pénurie
  prévoient d’améliorer leur infrastructure informatique.               de ressources qualifiées est un obstacle à l’amélioration des
• Investissements prioritaires. Plus de 10% des processus               dispositifs de cybersécurité.
  liés à la sécurité de l’information ne sont pas assez matures
                                                                      • Investissements prioritaires. Les entreprises de ce secteur
  dans les domaines suivants : architecture, gestion de
                                                                        sont inquiètes du manque de maturité de infrastructures
  l’infrastructure, sensibilisation, gestion des risques, gestion
                                                                        informatiques dans les domaines suivants : l’architecture, la
  des incidents, politique et standards de sécurité, surveillance,
                                                                        gestion d’actifs et les rapports de sécurité.
  sécurité des logiciels, et gestion confiée à un tiers.

• Gestion interne ou externe ? Bien que de nombreuses tâches         • Gestion interne ou externe ? 59% des entreprises du secteur
  restent gérées en externe, 42% des entreprises de ce secteur          des services financiers ont leur propre centre de gestion
  possèdent leur propre centre de gestion des incidents. 80%            des incidents en interne : seuls les tests d’intrusion et les
  délèguent les tests d’intrusion à des entreprises externes,           investigations sécurité sont gérés en externe.
  64%, la collecte des renseignements, 60%, la surveillance
  de la sécurité du réseau en temps réel, 57%, l’analyse des
                                                                      • Documenter les incidents. Seulement 16% des entreprises du
  renseignements.                                                       secteur déclarent que les rapports concernant la sécurité des
                                                                        informations répondent à leurs besoins. Malgré la faiblesse de
• Documenter les incidents. Seules 13% des entreprises de ce            ce pourcentage, elles sont plus avancées dans ce domaine que
  secteur affirment que les rapports concernant la sécurité des         les entreprises d’autres secteurs.
  informations répondent à leurs attentes.

                                                                                                                                        13
Étude EY sur la sécurité de l’information 2018-2019

03 Croître
     Les questions à se poser
     >   Notre chaîne d’approvisionnement est-elle sécurisée ?

     >   Pouvons-nous en sécuriser les nouveaux maillons dès leur conception ?

         Quelle place doit occuper la cybersécurité dans le plan de transformation de
     >   l’entreprise ?

         Comment faire de la protection des données et de la vie privée un avantage
     >   concurrentiel ?

         La cybersécurité est-elle suffisamment abordée lors des conseils
     >   d’administration ?

         Comment nos cadres supérieurs se l’approprient-ils ? Font-ils preuve de
     >   leadership sur les sujets qui concernent la cybersécurité ?

         L’ensemble de notre écosystème est-il pris en compte dans notre stratégie
     >   de défense ?

14
Étude EY sur la sécurité de l’information 2018-2019

1. Suivi stratégique
                                              Le conseil d’administration/exécutif comprend-il pleinement les enjeux de
                                              la sécurité des informations pour évaluer les cyberrisques et les mesures
                                              préventives nécessaires ?

 18%
                                                              3%

                                                25%
                                                                                             Oui
                                                                            39%
                                                                                             Compréhension limitée
 des entreprises interrogées déclarent
                                                                                             Non, mais essaie de s’améliorer
 que la sécurité de l’information
 influence la stratégie de leur                                                              Non, et ne cherche pas à s’améliorer
 entreprise au quotidien.
                                                        31%

2. Leadership

  60%
  des entreprises déclarent que
                                               40%
                                               Dans 40% des entreprises, le
  la personne responsable de la                directeur informatique est également
  cybersécurité ne siège pas au conseil        responsable de la cybersécurité.
  d’administration.

3. Révolution numérique
Top 3 des risques associés à l’utilisation croissante des appareils mobiles au sein de l’entreprise

Utilisateurs peu conscients des risques et habitudes des utilisateurs                            29%
Perte d’un appareil électronique                                                                 27%
Piratage d’un appareil                                                             11%

                                                                                                                                    15
Étude EY sur la sécurité de l’information 2018-2019

                                             4. Nouvelles technologies
                                              Priorité d’investissements en 2018

                                                                                                                52%
                                               Cloud computing                           11%
                                                                                                      37%
                                                                                                          38%

8%
                                               Analytics                                 11%
                                                                                                                50%
                                                                                                     33%
                                               Informatique mobile                           16%
des entreprises estiment que les                                                                                52%
smartphones ont augmenté le risque                                                                 25%
de failles de sécurité.                        Objets connectés                                     27%
                                                                                                            48%
                                                                                              18%
                                               Automatisation                                         37%
                                                                                                        45%
                                                                                             16%
                                               Machine learning                                       36%
                                                                                                            48%

4%
                                                                                             15%
                                               Intelligence artificielle                                  39%
                                                                                                           43%
                                                                                             15%
se déclarent inquiètes du                      Biométrique                                                41%
développement des objets connectés.                                                                        44%
                                                                                             14%
                                               Blockchain                                                   48%
                                                                                                      37%

                                                  Priorité élevée          Priorité faible           Priorité moyenne

                     Les prochaines étapes
                     • Considérer la cybersécurité comme un élément clef de la stratégie de l’entreprise.

                     • Inscrire la cybersécurité à l’ordre du jour de l’ensemble des conseils d’administration et
                       des comités non-exécutifs à venir.

                     • Faire de la cybersécurité un pilier de la stratégie de transformation de l’entreprise, son
                       succès étant intimement lié à la confiance qu’accorderont ou non les clients à son alter
                       ego numérique.

                     • Investir dans les nouvelles technologies, à l’instar des cybercriminels, notamment dans
                       l’intelligence artificielle. Résister à la tentation de réduire vos investissements dans ce
                       domaine clef.

16
Étude EY sur la sécurité de l’information 2018-2019

Focus sectoriel

       Technologies, médias et télécommunications (TMT)

     • Suivi stratégique. Plus de la moitié des entreprises du secteur
       TMT (53%) affirment que la sécurité de l’information fait partie
       intégrante de leur stratégie d’entreprise.

     • Leadership. 47% des entreprises du secteur TMT déclarent
       que la personne en charge de la sécurité de l’information fait
       partie du conseil d’administration ou du comité exécutif.

     • Révolution numérique. 16% des entreprises du secteur TMT
       estiment que leur risque d’exposition au risque a augmenté
       au cours des 12 derniers mois à cause des smartphones, des
       objets connectés et des réseaux sociaux.

     • Nouvelles technologies. Les entreprises du secteur
       ont l’intention d’augmenter leur budget cybersécurité
       en investissant dans les nouvelles technologies, et plus
       particulièrement dans le Cloud computing qui représente 52%
       de l’augmentation budgétaire.

                                                                                   17
Étude EY sur la sécurité de l’information 2018-2019

04 Méthodologie
  La 21e édition de l’enquête mondiale sur la cybersécurité          Dans cette étude, les grandes entreprises sont définies comme
  menée par EY s’appuie sur la participation de près de 1 400        étant celles qui ont un revenu annuel égal ou supérieur à
  professionnels et experts de la cybersécurité à travers le         un milliard de dollars. Ce groupe représente un tiers des
  monde et issus de 20 secteurs d’activité différents.               répondants. Les petites entreprises sont définies comme celles
  Les réponses à cette vaste consultation ont été recueillies        ayant un revenu annuel de moins d’un milliard de dollars.
  entre avril et juillet 2018.                                       Ce groupe représente les deux tiers des répondants.

 Zone géographique                                                    Secteur d’activité

                                                                      Automobile et transports                                   8%
       17%
                                                                      Banques et marchés
                                                                                                                               18%
                                           EMEIA                      de capitaux
                                           Japon                      Biens de consommation
                            49%                                                                                                19%
                                           Amériques                  et distribution
 29%                                       Asie-Pacifique             Secteur public                                             9%

                                                                      Santé                                                      3%
             4%                                                       Assurance                                                  6%

                                                                      Sciences de la vie                                         2%

                                                                      Médias et divertissements                                  4%
 Nombre de salariés                                                   Mines et métaux                                            2%

                                                                      Pétrole et gaz                                             3%
 PME : moins de 500                                         29%
                                                                      Énergies et utilities                                      5%
 ETI : de 500 à 5 000                                       40%
                                                                      Services professionnels                                    3%
 GE : plus de 5 000                                         31%
                                                                      Immobilier                                                 4%

                                                                      Technologies                                               8%

                                                                      Télécommunications                                         4%

                                                                      Gestion d’actifs                                           2%

 18
ey.com/fr

                                                                                         © 2018 EY Advisory. Tous droits réservés. Studio graphique France 1801SG047. ED None
                                                            Comment
                                                            sécuriser
                                                            un monde en
                                                            libre accès ?
                                                            Avec EY, entrez dans l’ère
                                                            de la transformation
                                                            #TransformativeAge

* Une question pertinente. Une réponse adaptée. Un monde qui avance.
EY | Audit | Conseil | Fiscalité & Droit | Transactions

EY est un des leaders mondiaux de l’audit, du conseil, de la fiscalité et
                                                                                             Contacts
du droit, des transactions. Partout dans le monde, notre expertise et la
qualité de nos services contribuent à créer les conditions de la confiance                   Marc Ayadi
dans l’économie et les marchés financiers. Nous faisons grandir les talents                  Associé EY Consulting, Cyber Leader
afin qu’ensemble, ils accompagnent les organisations vers une croissance                     Western Europe & Maghreb
pérenne. C’est ainsi que nous jouons un rôle actif dans la construction                      +33 1 46 93 73 92
d’un monde plus juste et plus équilibré pour nos équipes, nos clients                        marc.ayadi@fr.ey.com
et la société dans son ensemble.

EY désigne l’organisation mondiale et peut faire référence à l’un ou                         Pascal Antonini
plusieurs des membres d’Ernst & Young Global Limited, dont chacun                            Associé EY Consulting, Cyber Data Privacy leader
est une entité juridique distincte. Ernst & Young Global Limited,                            Western Europe & Maghreb
société britannique à responsabilité limitée par garantie, ne fournit
                                                                                             +33 1 46 93 70 34
pas de prestations aux clients. Retrouvez plus d’informations sur notre
organisation sur www.ey.com.                                                                 pascal.antonini@fr.ey.com

© 2018 Ernst & Young Advisory.
                                                                                             Laurent Peliks
Tous droits réservés.
                                                                                             Associé EY Consulting, Cyber Transformation & Resilience leader
Studio BMC France - 1810BMC034.                                                              Western Europe & Maghreb
SCORE France N° 2018-070.                                                                    +33 1 46 93 86 03
Crédits photos : Getty.                                                                      laurent.peliks@fr.ey.com
ED : NONE

Document imprimé conformément à l’engagement d’EY de réduire son empreinte                   Fabrice Groseil
sur l’environnement.
                                                                                             Associé France EY Consulting, SOC leader
Cette publication a valeur d’information générale et ne saurait se substituer à un conseil
                                                                                             Western Europe & Maghreb
professionnel en matière comptable, fiscale ou autre. Pour toute question spécifique,
vous devez vous adresser à vos conseillers.                                                  +33 1 46 93 71 65
                                                                                             fabrice.groseil@fr.ey.com
ey.com/fr

                                                                                             Olivier Patole
                                                                                             Directeur Associé EY Consulting, Cyber Intelligence Services leader
                                                                                             Western Europe & Maghreb
                                                                                             +33 1 46 93 78 71
                                                                                             olivier.patole@fr.ey.com
Vous pouvez aussi lire
DIAPOSITIVES SUIVANTES ... Annuler