Veille "Business & Cyber Risks" les risques numériques prévus pour 2015

Prévisions : Business et Cyber Risks, comment protéger les entreprises en 2015 face à leur transformation digitale ?

 

  

Trois tendances fortes pour 2015 en Europe: nouvelle réglementation, données critiques comme cible, la cybersécurité perçue comme process de production et atout marketing

 

Cybersécurité: Trois tendances fortes pour 2015 en Europe

 

 

 

Evolution du Cadre réglementaire en Europe:

 

 

L’article L. 1332-6-1 détermine que le Premier ministre est à même d’imposer des règles en matière de sécurité informatique, notamment l’installation de dispositifs de détection, qui devront être appliquées par les opérateurs d’importance vitale à leurs frais, comme cela est déjà le cas pour les règles fixées par l’article L. 1332-1. L’Agence Nationale de Sécurité des Systèmes d’Information, l’ANSSI, peut désormais imposer aux entreprises concernées la mise en place de dispositifs matériels ou organisationnels de protection contre de futures attaques. Les incidents majeurs seront obligatoirement déclarés : l’article L. 1332-6-2.

Publication le 15 décembre 2015 de la Directive Européenne sur le renforcement de la protection des données: sanction prévue pouvant atteindre 5% du chiffre d'affaires en cas de non respect de la réglementation européenne:http://www.cyberisques.com/fr/component/content/article/83-categorie-3/337-edouard-geffray-le-futur-texte-eu-prevoit-comme-sanction-5-du-ca-en-cas-de-non-respect-de-la-reglementation-eu

 

Données critiques, notification... des actifs nouveaux pour les solutions de Cyberassurance :

 

 

La donnée s'enrichit et devient une information à valeur ajoutée négociable. Le financement par l’assurance des cyber-dommages suppose d’être en mesure de fixer la valeur de l’information variable dans le temps. Le financement des cyber-dommages portant atteinte à l’information suppose que l’on appréhende et quantifie les informations-data comme une nouvelle classe d’actifs.

Les cyber-polices adressent l'ensemble des cyber-risques assurables liés aux technologies de l’information :
- dans le secteur des Technologies, Médias, Télécom (TMT)
- le secteur financier et des banques (en appui des régulations Bale et Sovency)
- le secteur de la dématérialisation (public, privé)
- le secteur industriel (M2M, SCADA)
- les domaines soumis à l’exposition des nouveaux risques d’atteinte aux données (cyber risques, régulation autour des données personnelles, de santé et des données de cartes bancaires PCI DSS)  quels que soient les secteurs.

 

 

Evolutions de la perception des cyber-risques par les IT managers et membres des COMEX / CODIR:

 

 

Maillon faible dans la chaine des risques, le facteur humain doit se situer au coeur de toutes les réflexions en matière de cyber-prévention. Selon une étude réalisée par Vanson Bourne pour NTT Com Security, 38% des dirigeants français considèrent la sécurité informatique comme "vitale" pour leur entreprise (contre plus de 50% en Allemagne ou Grande-Bretagne).

En 2015, la cybersécurité entre aux Comité de direction. De plus en plus de dirigeants perçoivent la cybersécurité comme un process de production, un atout marketing et un élément de différenciation fort. Par ailleurs la poussée réglementaire dans ce domaine encourage les chefs d'entreprise a prendre en compte les notions de prévention financière des risques (cyberassurance) et responsabilité civile pour leur propre "protection juridique". Certains responsables se sont vus condamnés suite à une cyber-attaque en raiso d'un niveau de sécurité “insuffisant de leur SI”.

Enfin, au plan économique, l"insécurité coûte de plus en plus chère: par attaque, environ 500 000 euros en moyenne en Europe pour de grandes organisations et 2,9 millions de dollars aux Etats-Unis en 2014 (Source NetDiligence). Il devient impératif de rassurer clients, partenaires et collaborateurs par un niveau d'excellence de la eRéputation des entreprises. Il faut également cartographier, identifier et protéger les "données les plus critiques" des entreprises, coeur de cible des cyber-attaquants.

 

   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

Les analyses de IBM, Juniper, Fortinet, Symantec....

 

IBM : Près de 60% des responsables de la sécurité estiment que les attaquants ont surpassé les capacités de leur entreprise en matière de cybersécurité


(Source Communication Corporate) Décembre 2014 : Selon les résultats de l’étude CISO (Chief Information Security Officer) publiée aujourd’hui par IBM (NYSE : IBM), plus de 80% des responsables de la sécurité des systèmes d’information pensent que le défi que représentent les menaces externes est en hausse, tandis que 60% sont déjà d'accord pour dire que leurs entreprises ne sont pas suffisamment armées pour faire face à la cyber-guerre. L'étude révèle que la technologie est perçue comme un élément essentiel pour lutter contre les problèmes et menaces liés à la sécurité. Et dans ce contexte, le Big Data, le cloud et les terminaux mobiles apparaissent comme des domaines prioritaires. 
 
Cette 3ème édition annuelle de l’étude sur les responsables de la sécurité des systèmes d’information (RSSI) a été menée par l’IBM Center for Applied Insights. Elle est basée sur les réponses issues de 138 entretiens approfondis avec les plus hauts responsables de la sécurité informatique des entreprises. Les menaces externes sophistiquées ont été identifiées par 40% des responsables de la sécurité comme leur défi prioritaire suivi de loin par les réglementations à venir, pour un peu moins de 15% d’entre eux. Alors que les chefs d'entreprise continuent à définir leurs priorités business, les menaces externes nécessiteront les efforts organisationnels les plus importants dans les 3 à 5 ans à venir – autant que les règlementations, les nouvelles technologies et les menaces internes combinées.


 

Aujourd’hui, les entreprises repensent leurs tactiques de cybersécurité


 
L'étude visait à découvrir et à comprendre comment les entreprises se protègent actuellement contre les cyberattaques. Elle révèle que 70% des responsables de la sécurité pensent avoir des technologies traditionnelles matures, qui mettent l'accent sur la prévention des intrusions réseau, la détection avancée des logiciels malveillants et l'analyse de la vulnérabilité du réseau.
 
Cependant, près de 50% reconnaissent que le déploiement de nouvelles technologies de sécurité est prioritaire pour leur entreprise. Ils ont identifié trois principaux domaines nécessitant un changement drastique : la prévention des fuites de données, la sécurité du Cloud et la sécurité des appareils et des mobiles. 
 
Voici d’autres conclusions de l’étude IBM CISO:
 


• La sécurité du Cloud reste en tête de l’ordre du jour : bien que la préoccupation liée à la sécurité du Cloud reste forte, près de 90% des personnes interrogées ont adopté le Cloud ou sont actuellement en train de mettre en place des initiatives en la matière. Dans ce groupe, 75% des responsables s’attendent à voir leur budget dédié à la sécurité du Cloud augmenter, voire de manière significative dans les 3 à 5 ans à venir.
 
• La sécurité intelligente basée sur l’analyse des données est prioritaire : plus de 70% des responsables de la sécurité déclarent que les renseignements de sécurité en temps réel sont de plus en plus importants pour leur entreprise. Malgré cette constatation, l'étude révèle que des domaines tels que la classification et la découverte des données ainsi que l’analyse des renseignements de sécurité sont relativement peu matures (54%) et ont fortement besoin d’être améliorés ou transformés. 

 

Cout-eCrime-Cyberisques.com-Oct-2014
 

• Les besoins dans la sécurité mobile restent importants : malgré une main-d'œuvre de plus en plus mobile, seulement 45% des responsables de la sécurité déclarent qu'ils ont une approche efficace de la gestion des terminaux mobiles. En fait, selon l'étude, lorsque l’on adresse le sujet de la maturité, la sécurité des mobiles et des appareils arrive en fin de liste (51%).
 
Gestion de l'incertitude autour du paysage gouvernemental
 
En plus des menaces externes, l'étude indique que les responsables de la sécurité informatiques font face à des défis supplémentaires posés par les gouvernements.  Près de 80% des personnes interrogées disent que le risque potentiel lié aux réglementations et aux normes a augmenté ces trois dernières années. Les responsables de la sécurité sont de plus en plus incertains quant à savoir si les gouvernements vont gérer la gouvernance de la sécurité à un niveau national ou mondial et à quel point ils seront transparents sur ce sujet. Seuls 22% pensent qu'une approche globale de la lutte contre la cybercriminalité sera convenue dans les trois à cinq ans.


 
Donner plus de pouvoir aux responsables de la sécurité d'aujourd'hui
 
Ces trois dernières années, avec des cyber-attaques et des règlementations gouvernementales qui continuent à évoluer, la majorité des organisations ont changé leur regard sur la sécurité, accordant un rôle plus important aux RSSI. Selon l'étude, 90% de ces responsables reconnaissent avoir une influence notable dans leur entreprise. 76% d’entre eux indiquent que leur degré d'influence a considérablement augmenté ces trois dernières années. De plus, 71% considèrent qu'ils reçoivent le soutien organisationnel dont ils ont besoin pour faire leur travail.


 

 Couts-Dérégulation

 

 JUNIPER 

(Source Communication Corporate) Bientôt, nous allons atteindre et même dépasser la barre des 5 milliards d'utilisateurs connectés. Il y a trente ans, l'innovation était un concept à sens unique, une démarche clairement orientée entreprises, où les consommateurs passaient au second plan. Depuis, les choses ont changé. Alors que près de la moitié de la population mondiale est connectée à Internet, les consommateurs ont désormais leur mot à dire et exigent des applications et services innovants pour la qualité de leur vie, à leur rythme et à leurs conditions.

L’environnent de l’entreprise est contraint d’évoluer au rythme des innovations, chaque année, plus nombreuses. Bruno Durand, vice-président TCC, EMEA, chez Juniper Networks a analysé les tendances 2015 dans les réseaux, le cloud et la sécurité. Il partage aujourd’hui ses conclusions avec vous.

Réseaux intelligents

La diffusion de contenu sème la confusion chez les câblo-opérateurs

Si la tendance est au numérique depuis plusieurs années, l'industrie du câble n'a pour ainsi dire pas évolué. Mais 2015 sera l'année du changement. Avec l'avènement et l'essor de la diffusion de contenu en streaming, les abonnés, qui se tournent vers différents fournisseurs de contenu comme Netflix, commencent à demander de nouveaux services à leurs câblo-opérateurs. Selon le rapport « U.S. Digital Video Benchmark» publié cette année par Adobe, le nombre des consommateurs de contenu en streaming a augmenté de près de 400 % depuis l'an dernier. Cette tendance devrait se poursuivre, et pour rester dans la course et gérer l'augmentation du trafic IP, les câblo-opérateurs devraient miser sur les réseaux virtualisés en 2015. Même si la transition durera plusieurs années, ils vont d'ores et déjà examiner les possibilités qui s'offrent à eux et commencer à lancer des appels d'offres pour trouver des fournisseurs partageant leur vision.

Cybersécu-cost-employe-Cyberisques

 

Le trading hypercontextuel (HCT) supplante le trading à haute fréquence

Passé de 7 milliards de dollars en 2008 à 1,4 milliard de dollars en 2013, le trading à haute fréquence est sur le déclin. Il représente à l'heure actuelle moins de 50 % des volumes d'activité des marchés financiers, contre 70 % en 2008. Le trading HCT (hypercontextuel) constitue le nouveau mouvement de dérèglement du marché. Il repose sur l'assimilation en temps réel des fils d'actualités classiques (Bloomberg, Thomson-Reuters, AP, CNN) et des flux des réseaux sociaux (Twitter, Facebook, LinkedIn, Blogs, etc.) en vue d'exploiter les informations du marché et d'acquérir un avantage concurrentiel en termes de transactions boursières. Le tout est piloté par des analyses permettant le chargement, le traitement et l'extraction rapides des données dans le but de tirer parti des discontinuités du marché. Le trading HCT relève de l'informatique distribuée et de la performance. La latence est le principal enjeu et ne constitue plus un facteur de différenciation. Un système extrêmement intelligent s'impose. Les entreprises et leur environnement informatique vont devoir pré-assimiler plusieurs centaines de flux d'informations en temps réel, ce qui nécessitera une programmation et un équipement réseau extrêmement pointus.

Big Data et réseaux : un bien ou un mal ?

Face à l'« Internet des objets », dont les tentacules (les terminaux) continuent de se déployer dans nos vies, les données générées vont être beaucoup plusnombreuses. Ainsi une simple connexion entre un téléphone et un système de sécurité résidentiel produira des données qu'il faudra bien stocker quelque part. En 2015....

 

...

Pour en savoir plus sur cet article et accéder à votre contenu personnalisé profiter de notre offre

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX / CODIR

Abonnement individuel par eMail personnalisé 40 envois / an

offre spéciale anniversaire887 Euros* au lieu de 1199,00 Euros

offre spéciale anniversaire : http://www.cyberisques.com/fr/subscribe

 

Chaque semaine l'équipe de CYBERISQUES.COM sélectionne l'essentiel de la veille "Business & Cyber Risks" stratégique pour les dirigeants et membres des COMEX: synthèse rapide de l'essentiel de l'actualité de l'économie numérique mondiale, sélection des chiffres indispensables, financement des cyber-risques, cyber-assurance, protection juridique des dirigeant,protection des actifs immatériels, solutions et investissements Secure IT stratégiques et cyber taskforce, protection et maitrise de données critiques des users VIP, veille cyber risks juridique et réglementaire, interviews stratégiques exclusives, jurisprudences, cyber-agenda... dans la boite mail de votre choix.

 


Pour suivre la première VEILLE "BUSINESS & CYBER RISKS"

http://www.cyberisques.com/fr/subscribe

Pour retenir les informations stratégiques, prévenir et couvrir financièrement vos actifs immatériels critiques, le service VEILLE "Business & Cyber Risks" de Cyberisques.com vous informe personnellement par une sélection rigoureuse et des analyses rapides et sans concession des meilleurs experts.

 

 

 

Internet-Objets-Cyberisques.com-2015

 

 

  

Rappels enjeux:

Les cyber-menaces sont à classer en trois grandes catégories: le cybercrime, le cyberespionnage et le cyber-sabotage.  D’après la Global Economic Crime Survey du cabinet PwC, la cybercriminalité représente 28% des fraudes déclarées par les sociétés françaises en 2013. Mme Neelie Kroes, vice-présidente de la Commission européenne, a déclaré le 30 octobre 2014 "La sophistication et le volume des cyberattaques augmentent tous les jours.Ces attaques ne peuvent être contrées si les États agissent seuls ou si seulement quelques-uns d’entre eux coopèrent".

Selon l'UE, En 2013, les cyberattaques sur internet à l'échelle mondiale ont augmenté de près d’un quart et le nombre total de violations de données était de 61 % supérieur à celui de 2012. Chacune des huit principales violations de données a abouti à la perte de dizaines de millions d’enregistrements de données, alors que 552 millions d’identités ont été exposées. Selon plusieurs sources spécialisées, la cybercriminalité et l’espionnage ont entraîné entre 300 et 1000 milliards de dollars de perte globale en 2013.La valeur des données personnelles des consommateurs européens serait en effet estimée aujourd'hui à 315 milliards d'euros et pourrait s'élever à 1 000 milliards d'euros en 2020.

 

Challenge Cyber Risks & "Business impact"

 

 

Trois cas en 2014: SONY, MICHELIN, JPMORGAN CHASE

 

- 24/11:2014Les pirates qui ont infiltré le système informatique de Sony Pictures Entertainment l'ont complètement paralysé durant plusieurs jours. Ils ont "récupéré" selon des sources proches des "cyber mercenaires" 11 teraoctets de données à l'entreprise américaine, soit l'équivalent de près de 3000 DVD et de nombreux documents "personnels" et "stratégiques" propres aux employés de Sony. L'un d'entre eux détaillerait la liste des rémunérations de 6 000 salariés de Sony Pictures Entertainment, incluant celles de ses dirigeants et de son PDG, Michael Lynton, qui gagnerait 3 millions de dollars par an. Plus grave, la firme pourrait être victime d'un cyber-chantage suite à la diffusion de certains films qu'elle produit. Leurs contenus déplairaient aux "commanditaires" des "cyber-mercenaires" à l'origine de la cyber-attaque.

 

- 04/11/2014 Le fabricant de pneumatiques Michelin a été victime d'une escroquerie reposant sur de faux ordres de virement (Fraude au Président). Le groupe s'est fait dérober 1,6 million d'euros.  Quelque 700 faits ou tentatives d'escroquerie de ce type auraient été recensés entre 2010 et 2014.

 

 

- 8/10 /2014 Des pirates informatiques ont volé 83 millions de données personnelles de la banque américaine JPMorgan Chase. Le piratage réalisé en août est devenu le plus important de toute l'histoire. Selon les spécialistes, l'élimination des conséquences de l'attaque prendra plusieurs mois. (JPMorgan’s shares  JPM 2.15% have lost 1.3% of their value since the end of August, when the attacks were first announced.)

 

- En 2015, les campagnes de cyber-espionnage et de cyber-sabotage financées par des États, telles que les opérations DragonFly et Turla observées en 2014, ou encore le spyware très récemment analysé et rendu public Regin, constitueront toujours des menaces Face à ces cyber-menaces visant à soutirer des renseignements et/ou à saboter des opérations, les entreprises et administrations devront revoir leur politique de cyber-sécurité et fixer leurs priorités. Deux s'imposent: la protection des systèmes industriels SCADA et celle des données critiques. En effet, les données critiques sont à forte valeur ajoutée : plans d'acquisition et de cession, délibérations du Conseil exécutif, propriété intellectuelle. Ces données critiques correspondent à 70 % de la valeur d'une société cotée en bourse et s’avèrent extrêmement précieuses pour les cyber-attaquants – que sont les initiés de la société ou les attaquants sophistiqués.Même si le détournement d’actifs reste de loin la catégorie la plus fréquente (61 % des entreprises interrogées), on relève l’émergence de nouvelles typologies de fraudes plus complexes, la cybercriminalité qui arrive en seconde position (28 %) et la « Fraude au Président » qui est une spécificité française, avec un taux de 10 % et un coût dépassant parfois la dizaine de millions d’€uros. La fraude comptable étant invoquée par 22 % des entreprises interrogées et la fraude aux achats : 21 %.

 

Les services financiers et télécommunications sont les secteurs les plus touchés par les fraudes externes ; la distribution et les biens de consommation pour les fraudes internes.

En ce qui concerne la « Fraude au Président », dans un premier temps, seules les grandes entreprises étaient ciblées. Depuis quelques temps, ce phénomène touche même les sous traitants et PME. Les procédés sont variés sous couverts de courriels ou d’appels téléphoniques, votre interlocuteur se fait passer pour l’un de vos partenaires (Client, Fournisseur, Commissaire aux Comptes…) en vous communiquant de nouvelles coordonnées bancaires afin d’effectuer vos prochains règlements. 

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

 

Pour toutes les entreprises victimes de ces cyber-attaques, les préjudices financiers s'avèrent considérables en coûts directs ou indirects: atteinte à l'image de l'entreprise, dysfonctionnements des Systèmes d'information et Front Office, pertes d'exploitation, confiance entamée auprès des collaborateurs, partenaires, actionnaires et clients, pertes et vols d'informations stratégiques, avantages donnés aux concurrents...

 

Pour retenir les informations stratégiques, prévenir et couvrir financièrement vos actifs immatériels critiques, le service VEILLE "Business & Cyber Risks" de Cyberisques.com vous informe personnellement par une sélection rigoureuse et des analyses rapides et sans concession des meilleurs experts.

 

 

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les IT dirigeants et membres des COMEX / CODIR

 

Abonnement individuel par eMail personnalisé 40 envois / an

offre spéciale anniversaire 887 Euros* au lieu de 1199,00 Euros

http://www.cyberisques.com/fr/subscribe

 

* Le tarif indiqué est valable pour la France métropolitaine, facturation pour les entreprises Françaises immatriculée en France. Pour les entreprises utilisant les services de Veille via des sociétés tierces, le service ne peut être validé qu'après l'établissement d'un devis.

* pour toute facturation au Royaume-Unis, une majoration de 50 % sera appliquée.

 

 

WEB-Security-Cyberisques-2014

 

SYMANTEC

SYMANTEC-1

Symantec-2

 

Analyses d'experts :

 Derek Manky, Stratège et Chercheur en Sécurité, Fortinet :

« FortiGuard Labs surveille et détecte les menaces informatiques depuis plus de dix ans. Les clients Fortinet sont ainsi protégés et les professionnels de la sécurité sont davantage conscients des risques.  Nos chercheurs en sécurité s'aventurent au quotidien dans l'univers Black Hat. Ils travaillent au plus proche de l'ennemi, pour mieux s'en protéger. En 2014, nous avons constaté une évolution vers des attaques ciblant les serveurs, exploitant Heartbleed et Shellshock notamment. En 2015, cette tendance devrait se poursuivre de façon inquiétante alors que les Black Hats s'en prennent aux objets connectés. En ciblant les nouveaux produits et les nouvelles solutions, les menaces font cibler un risque d'autant plus important pour les entreprises. Si ces dernières doivent opter pour une solution de sécurité, elles doivent également s’engager dans une approche proactive et intelligente, afin de se protéger contre des attaques toujours plus évoluées que les pare-feux, seuls, ne parviendront pas à neutraliser. »

Brendan Hannigan, Directeur Général, IBM Security :

« Les RSSI ont désormais leur place au comité de direction. Ils doivent utiliser leur influence croissante au sein de l'entreprise pour obtenir de meilleurs résultats : donner la priorité à la protection des actifs critiques, se concentrer sur les investissements en matière de renseignements de sécurité et recruter les meilleurs talents pour accroître les efforts internes.»

 

BONUS: 

http://www.cyberisques.com/mots-cles-15/391-extrait-analyse-des-cyber-menaces-reelles-pour-les-entreprises-en-2015

 

http://securelist.com/analysis/kaspersky-security-bulletin/67864/kaspersky-security-bulletin-2014-predictions-2015/

http://www.spiegel.de/international/germany/inside-the-nsa-s-war-on-internet-security-a-1010361.html

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires