Upload
vubao
View
219
Download
0
Embed Size (px)
Citation preview
Cybersécurité : créer les conditions de la confiance dans le monde digital
EY publie les résultats de son étude annuelle sur la cybersécurité. Cette 18ème édition, s’appuie sur une enquête menée auprès de 1755 professionnels provenant de 67 pays, formant un panel composé de DSI, de DAF, de PDG et des responsables de la sécurité de l’information de sociétés issues de 25 secteurs d’activité différents.
Face à la sophistication des cyberattaques et des techniques utilisées par les cybercriminels, les entreprises doivent agir dès maintenant pour contrer les tentatives d’intrusion. Dans un monde de plus en plus digitalisé, où les données ne cessent de prendre de la valeur, l’étude met en évidence le travail qu’il reste à accomplir dans les entreprises : plus d’un tiers d’entre-elles ne s’estime en effet pas capable d’identifier une cyberattaque sophistiquée.
La cybersécurité n’est pas l’affaire d’une seule fonction au sein de l’entreprise, mais relève bel et bien de la responsabilité de tous ses acteurs, aucun service n’étant à l’abri d’une cyberattaque. Malgré des progrès identifiés dans cette étude, on constate que la « règle des 3 A » (Activer, Adapter et Anticiper) reste trop peu appliquée, laissant la plupart des entreprises encore trop vulnérables.
Celles-ci doivent donc poursuivre leur démarche et conserver un temps d’avance sur les cybercriminels. L’utilisation d’une méthode de « défense active » est l’une des clés pour faciliter la transformation de leur système de cybersécurité.
Avant-propos
• Passuffisammentde mesures prises dans l’environnement actuel
• Pas assez d’adaptation au changement
• Une approche proactive trop lente pour neutraliser
Pourquoi votre entreprise est-elle toujours aussi vulnérable ? Se tourner
vers la « défense active »
• Qu’est-ce que la « défense active » ?
• Comment construire une « défense active » ?
• Conduisez votre entreprise sur la voie du progrès
Comment se déroulent les cyberattaques ?
• Identifierdesscénarii catastrophe
• Détecter les signaux faibles
• Pourquoi rester en alerte ?
Quand digital rime avec cyberattaque
• Un environnement digitalisé qui évolue sans cesse
• Quelles menaces et quelles vulnérabilités craindre ?
• Des pistes pour freiner les cyberattaques
Quand digital rime avec cyberattaque
Quand digital rime avec cyberattaque.
Un environnement digitalisé qui évolue sans cesseLe digital a révolutionné l’environnement des entreprises. Porteur de grandes opportunités d’innovation, il s’accompagne aussi d’effets indésirables qui retiennent toujours davantage l’attention des pouvoirs publics et des médias.
Si la perte de données (de clients ou d’utilisateurs) est au cœur des préoccupations des entreprises, le piratage des médias, de l’administration et des systèmes de défense est perçu comme un enjeu de sécurité nationale.
Les entreprises doivent avoir conscience des enjeux de cybersécurité et prendre les mesures nécessaires pour contrer les menaces existantes.
20%des entreprises interrogées ne peuvent mesurer lesdommagesfinancierscauséspar les incidents informatiques qui se sont produits au cours des 12 derniers mois
seront dépensés via smartphone d’ici 2018 (US $).Source : Goldman Sachs 2014
$626mdsdes objets qui seront connectés ne le sont pas encore.Source : Cisco, Rob Soderbury 2013
99%des relations commerciales seront réalisées sans l’interaction d’un humain d’ici 2020.Source : Gartner Group 2011
85%des entreprises n’ont pas confiance en leur capacité à détecter des cyberattaques sophistiquées.Source : EY Global Info Sec Survey 2015
36%des dirigeants pensent que les données devraient être au cœur de toutes les décisions.Source : EY Becoming an analytics-driven organization to create value 2015
81%
Digitalisation : quelles nouveautés ? Les smart devices and services (dispositifs et services intelligents) entraînent des conséquences inattendues et génèrent de nombreuses données. Ils augmentent la vulnérabilité des entreprises et limitent souvent l’implication des humains dans les processus de décision.
Les employés, consommateurs et citoyens qui partagent des informations sur les médias sociaux et pratiquent le BYOD (Bring Your Own Device) n’ont pas pleinement conscience des implications de tels usages sur la confidentialité et la vie privée.
Les organisations stockent de plus en plus de données dans le cloud et chez des tiers. Cette situation attractive présente néanmoins des risques de perte de contrôle, d’augmentation des menaces, compte tenu des impacts de l’écosystème complexe créés par les interconnexions associées à ces technologies.
L’évolution de ces technologies va de pair avec une évolution des comportements humains, dans un sens positif comme négatif.
Les nouvelles législations et réglementations imposent une évolution des processus, qui implique souvent l’apparition de nouvelles vulnérabilités et élargit le périmètre et l’envergure des menaces qui pèsent sur les entreprises.
2 | Cybersécurité:créerlesconditionsdelaconfiancedanslemondedigital
Quelles menaces et quelles vulnérabilités craindre ?Une politique de sécurité effective ne repose pas sur quelques individus, elle doit être transverse et engager tous les acteurs de l’entreprise, des fournisseurs, et autres tierces parties. Tous doivent être responsabilisés et travailler ensemble pour fournir une vision à 360° de la situation. Chaque décision doit être prise au travers du prisme de la cybersécurité.
Pour obtenir une approche efficace, cette politique doit être alignée sur la stratégie, les risques et les priorités de l’entreprise, notamment en se concentrant sur la protection de son patrimoine informationnel. C’est pourquoi il est utile de lister les priorités et de les cartographier.
Les dirigeants de l’entreprise doivent également être prêts à intervenir et à prendre les bonnes décisions en cas d’incident. Il est donc nécessaire pour la direction de mesurer et de définir en amont son appétence aux risques (i.e. niveau de risque qu’ils sont prêts à prendre).
Au cours des 12 derniers mois, quelles menaces* et quelles vulnérabilités** ont augmenté votre exposition au risque ? (Noter tous les éléments, 1 étant la plus forte et 5 la plus faible).
Vulnérabilités
Utilisation des médias sociaux
Utilisation du cloud computing
Utilisation d’appareils mobiles
Mesures de sécurité de l’information ou architectures obsolètes
Accès non autorisés
Employés non sensibilisés ou négligents
Menaces
Catastrophes naturelles (tempêtes, inondations, etc.)
Espionnage industriel
Cyberattaques (vol de propriété intellectuelle ou de données)
Attaques internes (ex : par des salariés mécontents)
Cyberattaques (vold’informationsfinancières)
Cyberattaques pour perturber ou endommager l’entreprise
Fraude
Spams
Attaques zéro-day
Phishing
Logiciels malveillants (ex : virus, cheval de Troie)
Key: 1 2 3 4 5
6% 14% 31% 25% 23%
10% 18% 28% 21% 23%
9% 23% 31% 22% 15%
16% 15% 19% 19% 31%
10% 22% 12% 20% 36%
18% 26% 32% 14% 9%
9% 11% 23% 22% 35%
9% 14% 24% 31%22%
13% 17% 26% 22% 21%
9% 18% 32% 23% 19%
15% 18% 23%19% 25%
15% 18% 19% 19% 29%
19% 19% 12% 22% 28%
9% 19% 36% 22% 13%
16% 16% 17% 19% 32%
19% 25% 29% 16% 12%
16% 18% 30%27% 9%
* « Menace » est définie comme la possibilité d’une action hostile provenant d’acteurs de l’environnement externe.** « Vulnérabilité » est définie comme une exposition à la possibilité d’être attaqué ou lésé.
Cybersécurité:créerlesconditionsdelaconfiancedanslemondedigital | 3
Des pistes pour freiner les cyberattaquesPour mettre en œuvre une politique de cybersécurité adaptée, il est recommandé de s’appuyer sur les grands principes de gestion des risques avec lesquels les entreprises sont souvent plus familières.
Evolution des menaces et vulnérabilités entre 2014 et 2015 :
44% ont le sentiment d’être vulnérables à cause de salariés non sensibilisés, contre 57% en 2014.
44% considèrent que le phishing constitue la plus grande menace, contre 39% en 2014.
Seuls 34% s’estiment vulnérables à cause de systèmes obsolètes, contre 52% en 2014.
43% considèrent que les logiciels malveillants représentent l’une des plus grandes menaces, contre 34% en 2014.
Quand digital rime avec cyberattaque.
42%des entreprises interrogées affirmentquelaconnaissancedetous leurs actifs est nécessaire pour assurerunecybersécuritéefficace
VS
VS
VS
VS
57%
39%
52%
34%
44%
44%
34%
43%
2014 2015
4 | Cybersécurité:créerlesconditionsdelaconfiancedanslemondedigital
Les principes clés de la maîtrise des risques …
… appliqués aux cyber-risques
Déterminer les informations critiquesIdentifierlesactifslesplusvulnérablesauxcyberattaques
Rendre les cyber-risques plus tangiblesDéfinirclairementlesrisquesetlesmétriquesassociées
Aligner la stratégie avec la cartographie des risques existanteRisquesfinanciers,opérationnels,règlementaires,consommateurs, de réputation, etc.
Rendre les cyber-risques pertinents pour chacun des métiersRelier les risques de niveau opérationnel aux divisions opérationnelles et à leurs informations sensibles
Tenir compte de l’appétence aux risques dans les décisions d’investissementsEtablir des priorités d’investissements, autoriser les divisions opérationnelles à prendre localement des décisions éclairées
Intégrer la stratégie aux plans d’activitéEn parallèle de la demande croissante de preuves de la part des régulateurs
Définir une appétence aux risquesDéfinitiond’uneappétenceauxrisquespourchacune des divisions opérationnelles de l’entreprise et des différents types de risques
Adopter une vision globaleCouvrir tous les types de risques, actuels ou à venir
Mesurer et établir des tableaux de bordInclure des éléments qualitatifs et des mesures quantitatives
Se concentrer sur ce qui compte le plusS’aligner sur votre culture d’entreprise et des risques
5
4
3
2
1
Comment se déroulent les cyberattaques ?
Ingénierie sociale avancée (ex : spear phishing, attaque
de « point d’eau »)
Phase de collecte de renseignements durant 6 mois
Parfaite connaissance des faiblesses de l’entreprise – au niveau des personnes,
des processus, des technologies
Impacts sur les décisions stratégiques, les fusions/acquisitions et sur la position concurrentielle
Impact sur la valeurL’entreprise est approchée par des bénéficiaires de l’attaque souhaitant racheter l’entité affectée à une valeur contrainte
Marché La valeur du marché est artificiellement diminuée entraînant l’achat d’actions à une valeur contrainte
Identifier les scénarii catastropheÊtre préparé aux cyberattaques, c’est avant tout avoir une connaissance claire de son environnement (interne et externe) et des dommages potentiels en cas d’incident. Construire des scénarii catastrophe répond à ce besoin, et permet d’établir des priorités parmi les mesures à mettre en place.
Exemple de scénario d’attaque :
Ventes
Altération des chiffres de ventes et du système
de communication provoquant un manque à gagner de 2 à 3% dans la période précédant les reporting trimestriels ou
annuels
Chaînes de distribution
Attaque des chaînes de distribution et de commandes en ligne
conduisant à la dégradation de la production et des
recouvrements de créances. Conséquence : 2 à 3% de
résultat perdu par rapport aux projections
R&D
Vol de projets et de produits à fort potentiel
de développement et à forte marge,
provoquant la perte de ventes et d’avantages
concurrentiels
Comptes fournisseurs
Fraudes récurrentes sur les règlements fournisseurs conduisant à des pertes
financièressechiffrantenmillions de dollars par an.
Perte de données à caractère personnel
conduisant à la perte de confiancedupublic,ainsiqu’à des coûts juridiques
additionnels
Résultatsartificielscontraints >Perte de 30% de valeur comptable
Impact des rumeurs sur les réseaux sociaux >Perte de 50% de la valeur de marché
Les effets cumulés sur une entreprise peuvent être colossaux
Cybersécurité:créerlesconditionsdelaconfiancedanslemondedigital | 7
Sont-ils déjà présents ?Les cybercriminels peuvent passer des mois au sein de votre entreprise pour collecter des informations utiles à une future attaque. S’entourant de précautions, ils optent souvent pour des tactiques de diversion, afin de détourner votre attention de leurs objectifs. Il leur arrive de conserver les
informations volées, mais aussi de les vendre ou de les utiliser, entraînant une plus grande dispersion du risque. Les signes d’infractions étant très subtils, ils ne sont souvent pas signalés par les opérationnels, ce qui rend la détection d’une faille de sécurité particulièrement difficile.
Organisations criminelles 59%
Employés 56%
Hacktivistes 54%
Hackers isolés 43%
Sous-traitants travaillant sur site 36%
Hackers parrainés par des Etats tiers 35%
Fournisseurs 14%
Autres partenaires commerciaux 13%
Clients 12%
Autres 3%
Comment se déroulent les cyberattaques ?
Selon vous, quelle est la plus grande source d’attaques potentielle ?
59% pensent que les organisations criminelles représentent la source d’attaques la plus probable aujourd’hui, contre 53% en 2014.
54% pensent que les hacktivistes représentent l’une des sources d’attaques les plus probables, contre 46% en 2014.
VS
VS
53%
46%
59%
54%
2014 2015
8 | Cybersécurité:créerlesconditionsdelaconfiancedanslemondedigital
Détecter les signaux faiblesÊtre capable de détecter les incidents le plus tôt possible est une étape cruciale. Elle n’est rendue possible qu’à l’aide d’un système radar complet qui couvre un ensemble d’indicateurs et qui peut lancer des alertes en cas de dépassement de certains seuils.
Quelques exemples d’événements qu’un radar devrait détecter :
• Attaques très visibles sans but évident, tel que DDoS (Distributed Denial of Service), ou vol d’informations sans utilisation évidente
• Mouvements inattendus du cours des actions
• Lancement concurrent de nouveaux produits dont la similarité en termes de R&D, de propriété intellectuelle et de date de lancement est frappante
• Opérations de fusions/acquisitions perturbées : offres concurrentes qui présentent des similitudes
• Client ou partenaire au comportement inhabituel
• Employé au comportement inhabituel
• Perturbations opérationnelles sans cause évidente
• Anomalies dans le traitement des paiements ou le système de commandes
• Bases de données client ou utilisateur montrant des informations incohérentes
36%n’ontpasconfianceenleurcapacitéàdétecterdes cyberattaques sophistiquées, contre 56% en2014.C’estuneaméliorationsignificative,mais il faut garder à l’esprit que le niveau de sophistication augmente continuellement
VS56% 36%
2014 2015
Cybersécurité:créerlesconditionsdelaconfiancedanslemondedigital | 9
7%des organisations déclarent avoir un programme de réponse robuste aux incidents
des entreprises interrogées considèrent que la prévention des fuites ou des pertes de données est une priorité majeure dans les 12 prochains mois
56%
des entreprises interrogées considèrent que les risques et menaces internes constituent une priorité moyenne, tandis que 56% déclarent que les salariés représentent l’une des sources les plus probables d’attaques
49%
des entreprises interrogées considèrent les réseaux sociaux comme une priorité faible
50%
Pourquoi rester en alerte ?La révolution digitale impose aux entreprises de se tenir sans cesse sur leurs gardes pour être en mesure de détecter des attaques et de répondre à d’éventuels incidents. Cependant, après plusieurs années de vigilance constante, nombreuses sont les entreprises qui se demandent si leurs investissements seront un jour suffisants.
Certaines d’entre elles pensent avoir résolu le problème grâce des dispositifs permettant de contrer des attaques classiques (comme le phishing par exemple) ou bien de combler les failles les plus importantes (le système de gestion des identités et des accès par exemple). En réalité, la situation peut être en train de se dégrader.
Si la plupart des entreprises ont posé les bases d’une cybersécurité adéquate, elles n’ont pas toutes réalisé que ces mesures ne peuvent constituer que les prémices d’une politique bien plus vaste et proactive, car le monde digital nécessite des investissements continus sur le sujet.
Une entreprise pourra considérer qu’elle a mis en place des mesures de cybersécurité suffisantes lorsqu’elle sera capable de rester en permanence dans les limites de l’appétence aux risques qu’elle aura définies (risk appetite).
Démontrer l’apport des investissements en matière de cybersécurité peut se révéler difficile. Néanmoins, lorsqu’une entreprise atteint un fort degré de maturité en la matière, il lui devient plus aisé de justifier une vigilance continue, en démontrant l’apport et la valeur des investissements : à chaque fois que le centre des opérations de sécurité (SOC) identifie une attaque potentielle, l’évaluation des coûts engendrés par les différents scénarii d’attaques (notamment le moins favorable) permet de justifier les investissements consentis.
49% déclarent qu’une augmentation de 25% de leur budget est nécessaire pour protéger leurs informations les plus sensibles
62% ont prévu un budget identique ou inférieur pour répondre aux incidents
70% ont prévu un budget identique ou inférieur pour la mise en place des dispositifs de sécurité (antivirus, patching, chiffrement, etc.)
84% ont prévu un budget identique ou inférieur pour protéger leur propriété intellectuelle
Comment se déroulent les cyberattaques ?
10 | Cybersécurité:créerlesconditionsdelaconfiancedanslemondedigital
Pourquoi votre entreprise est-elle toujours aussi vulnérable ?
Activer C’est l’étape durant laquelle une entreprise établit une base solide de cybersécurité pour protéger son environnement immédiat. Quelques exemples d’actions :
• Mener une évaluation de la sécurité et construire une feuille de route
• Obtenir le soutien du comité exécutif
• Revoir et mettre à jour les politiques, les procédures et les standards de sécurité
• Mettre en place un Centre des Opérations de Sécurité (Security Operations Center)
• Tester les plans de continuité de l’activité et les procédures de réponse aux incidents
• Concevoir et mettre en place des dispositifs de cybersécurité
Aujourd’hui, les cyber-risques étant devenus plus sophistiqués, deux tâches fondamentales doivent être poursuivies :
• Définir l’écosystème de l’entreprise
• Sensibiliser les salariés à la cybersécurité
Les « 3 A » (Activer, Adapter et Anticiper) sont les trois piliers d’une démarche proposée par EY pour accroître la maturité des entreprises en matière de cybersécurité.
Pourquoi votre entreprise est-elle toujours aussi vulnérable ?
Où en sont les entreprises en 2015 ?
Pas suffisament de mesures prises dans l’environnement actuel
Pourcentage de répondants qui pensent que leur fonction « sécurité de l’information » répond parfaitement aux besoins de l’entreprise
VS13% 12%
Pourcentage de répondants qui n’ont pas de programme IAM*
VS42% 47%
Pourcentage de répondants qui n’ont pas de SOC*
VS12% 18%
Pourcentage de répondants qui pensent que leur fonction « sécurité de l’information » répond partiellement aux besoins, mais qui tentent de l’améliorer
VS63% 67%
2014 2015 IAM * = Identity and Access Management programSOC * = Security Operations Center
12 | Cybersécurité:créerlesconditionsdelaconfiancedanslemondedigital
Adapter Considérant que les mesures fondamentales de sécurité vont devenir moins efficaces au fil du temps, cette étape se concentre sur le caractère changeant de l’environnement. Elle met en lumière les actions nécessaires pour que les entreprises puissent tenir le rythme face aux exigences et aux évolutions du marché.
Aujourd’hui, pour les entreprises, s’adapter c’est :
• Concevoir un programme de transformation pour améliorer leur maturité en matière de cybersécurité, en utilisant une aide externe, afin d’accélérer sa mise en place, d’introduire les meilleures pratiques et d’assurer la gestion du projet
• Décider de ce que l’on maintient en interne et de ce que l’on externalise
• Définir une matrice RACI (Responsible Accountable Consulted Informed ou matrice des responsabilités) pour la cybersécurité
Où en sont les entreprises en 2015 ?
Pas assez d’adaptation au changement
54%des entreprises n’ont pas de rôle dédié aux technologies émergentes et à leur impact au sein de leur fonction sécurité
Pourcentagederépondantsquiaffirmentquelemanquederessourcesqualifiéesestunfreinàlacontributiondela fonction sécurité et à l’apport de valeur
VS53% 57%
Pourcentage de répondants qui envisagent d’investir davantage dans la transformation de leurs systèmes de sécurité...
VS25% 28%
VS64% 61%
2014 2015
... ou qui envisagent de conserver un budget équivalent
Cybersécurité:créerlesconditionsdelaconfiancedanslemondedigital | 13
Où en sont les entreprises en 2015 ?
Une approche proactive trop lente pour neutraliser les cyberattaques sophistiquées
Anticiper Pour cette étape, l’entreprise doit développer de manière proactive des tactiques pour détecter et neutraliser de potentielles cyberattaques. Elle doit se concentrer sur l’environnement futur et avoir davantage confiance en sa capacité à gérer des menaces prévisibles, mais aussi des attaques inattendues.
Peu d’entreprises sont à ce niveau, et aujourd’hui il est nécessaire pour elles de :
• Concevoir et mettre en place une stratégie de veille sur les cyber-menaces (Cyber Threat Intelligence)
• Définir et intégrer un écosystème global de cybersécurité
• Avoir une approche cyber-économique
• Utiliser des techniques d’analyse de données pour les investigations, ainsi que la veille sur les cyber-menaces
• Se préparer au pire en développant une stratégie complète de réponse aux intrusions
36%des répondants n’ont pas de programme de veille dédié à la détection des menaces
Pourquoi votre entreprise est-elle toujours aussi vulnérable ?
Pourcentage des répondants qui étendent leur périmètre de cybersécurité à leurs fournisseurs et au-delà
VS8% 12%
Pourcentagedesrépondantsquiaffirmentquelemanagement de la menace et de la vulnérabilité est une priorité moyenne voire faible
VS66% 63%
14 | Cybersécurité:créerlesconditionsdelaconfiancedanslemondedigital
Se tourner vers la « défense active »
Qu’est-ce que la « défense active » ?Les pouvoirs publics et l’armée ont la capacité de développer des offensives pour lutter contre les cyberattaques. Ces mesures restent encore inadaptées pour les entreprises : elles les exposeraient à se trouver dans une zone encore mal définie par la loi. Cependant, cela ne signifie pas qu’elles doivent rester passives.
Avoir une connaissance profonde des cyber-risques qui portent sur vos ressources critiques et identifier ce que les assaillants souhaitent obtenir, vous permet d’établir une défense ciblée qui passe par la définition de vos actifs, ressources humaines et domaines/métiers prioritaires, ainsi que par le renforcement de vos systèmes. De plus, l’évaluation des menaces spécifiques à votre organisation vous permet de mieux identifier les acteurs de ces menaces et les méthodes qu’ils pourraient utiliser, afin de les intégrer dans des scénarii, et ainsi mieux juger de leur niveau de préparation.
La mise en place d’un centre des opérations de sécurité avancé (SOC) et d’un programme de veille (Cyber Threat Intelligence) vous permettra de mener une défense active en détectant et éliminant toute anomalie, qu’elle soit le fait de simples « visiteurs » ou de hackers confirmés.
Comment construire une « défense active » ? Contrairement à ce qu’offrent les autres services de sécurité, la « défense active » n’améliore pas une zone fonctionnelle spécifique et ne met pas en place de nouvelles technologies. Elle intègre et renforce les capacités de réponses de l’entreprise pour atteindre une plus grande efficacité contre les attaques persistantes.
La « défense active » devrait inclure une évaluation du risque dans le cadre d’une intrusion majeure, et le développement d’un panel de réponses centralisé.
La « défense active » est-elle appropriée à votre organisation ?
Si la réponse à l’une de ces questions est positive, il vous sera sans doute utile de considérer cette approche :
• Nous avons un centre des opérations de sécurité avancé (SOC), mais ne parvenons toujours pas à détecter les attaquants de haut niveau.
• Nous avons un centre des opérations de sécurité avancé (SOC), mais rencontrons toujours des intrusions importantes.
• Nous avons un centre des opérations de sécurité avancé externalisé, mais notre propriété intellectuelle et nos systèmes ne sont pas parfaitement sécurisés.
24%des entreprises interrogées n’ont pas deprogrammed’identificationdesvulnérabilités
34%possèdent un programme d’identificationdesvulnérabilitésinformel et réalisent régulièrement des tests automatisés
27%affirmentquelespolitiquesdeprotection des données et les procédures sont informelles ou que des politiques ad hoc sont mises en place
Se tourner vers la « défense active »
Qu’est-ce qui doit être amélioré ?
16 | Cybersécurité:créerlesconditionsdelaconfiancedanslemondedigital
Conduisez votre entreprise sur la voie du progrèsPeu d’entreprises possèdent aujourd’hui les compétences appropriées et les ressources en interne pour sécuriser efficacement leurs informations et optimiser la performance de leurs activités. Quel que soit leur secteur d’activité, elles peuvent tirer profit d’une évaluation objective de leurs structures et de leur programme de sécurité de l’information.
Cette évaluation doit être large, de haut niveau, et intégrer parfaitement toutes les spécificités des domaines spécialisés. C’est à cette étape qu’EY peut vous apporter son soutien : la constitution de tableaux de bord permet de mettre en lumière ce qu’il est nécessaire de faire pour soutenir l’évaluation en cours, la transformation et la durabilité de la stratégie de sécurité de l’information.
L’efficacité de la sécurité de l’information
Quels sont les principaux obstacles à la transformation des systèmes de sécurité ?
62% 57%Contraintes budgétaires Manquederessourcesqualifiées
EY | Audit | Conseil | Fiscalité et Droit | Transactions
EY est un des leaders mondiaux de l’audit, du conseil, de lafiscalitéetdudroit,destransactions.Partoutdanslemonde, notre expertise et la qualité de nos services contribuentàcréerlesconditionsdelaconfiancedansl’économieetlesmarchésfinanciers.Nousfaisonsgrandirlestalentsafinqu’ensemble,ilsaccompagnentlesorganisations vers une croissance pérenne. C’est ainsi que nous jouons un rôle actif dans la construction d’un monde plus juste et plus équilibré pour nos équipes, nos clients et la société dans son ensemble.
EY désigne l’organisation mondiale et peut faire référence à l’un ou plusieurs des membres d’Ernst & Young Global Limited, dont chacun est une entité juridique distincte. Ernst & Young Global Limited, société britannique à responsabilité limitée par garantie, ne fournit pas de prestations aux clients. Retrouvez plus d’informations sur notre organisation sur www.ey.com.
© 2015 Ernst & Young Advisory Tous droits réservés.
Studio EY France - 1511SG316
Crédit photo : GettyImages
DE AucuneDocument imprimé conformément à l’engagement d’EY de réduire son empreinte sur l’environnement. Cette publication a valeur d’information générale et ne saurait se substitueràunconseilprofessionnelenmatièrecomptable,fiscaleouautre.Pourtoutequestionspécifique,vousdevezvousadresseràvosconseillers.
ey.com/fr
ContactsPascal AntoniniAssocié, Ernst & Young et AssociésTél. : +33 1 46 93 70 34Email : [email protected]
Marc AyadiAssocié, Ernst & Young AdvisoryTél. : +33 1 46 93 73 92Email : [email protected]