Communiqué de presse 2015

Neuilly-sur-Seine, le 15 octobre 2015

Cybersécurité : le nombre de cyber-attaques recensées a progressé de 38% dans le monde en 2015 ; les budgets Sécurité des entreprises ont, eux, augmenté de 24%

D’année en année, les cyberattaques continuent d’augmenter à la fois en termes de fréquence, de gravité et d’impact. Cependant, la prévention, les méthodes de détection et l’innovation en matière de cybersécurité se développent elles aussi.
L’étude « The Global State of Information Security® Survey 2016 » réalisée par le cabinet d’audit et de conseil PwC, en collaboration avec CIO et CSO, étudie la façon dont plus de 10.000 dirigeants dans 127 pays gèrent et améliorent la cybersécurité dans leurs organisations.
Au niveau mondial,  le nombre de cyber-attaques recensées a progressé de 38% en 2015 ; les budgets Sécurité des entreprises ont, eux, augmenté de 24%, renversant la tendance baissière de l’année dernière.
En France, le nombre de cyber-attaques a progressé à hauteur de 51% au cours des 12 derniers mois et les budgets de Sécurité des entreprises françaises ont augmenté en moyenne de 29%, soit autant que les pertes financières estimées imputables à ces incidents (+ 28%).

La France, un pays où les cyberattaques ont davantage augmenté en 2015 que dans le reste du monde

Le pourcentage d’augmentation du nombre d’incidents de cybersécurité en 2015,
en France et dans le monde

« En France, les entreprises ont subi en moyenne 21 incidents/jour en 2015. Les incidents de cybersécurité ont donc augmenté de 51% au cours des 12 derniers mois en France, tandis qu’au niveau mondial, ils ont enregistré une hausse de 38% », explique Philippe Trouchaud, associé PwC spécialiste de cybersécurité.

Les sources des incidents de cybersécurité en 2015,
en France et dans le monde

Au niveau mondial comme en France, la source des menaces reste majoritairement interne aux entreprises. En effet, les employés actuels constituent, cette année encore, la principale source des compromissions de données.
Cependant les sources qui ont progressé le plus en 2015 sont, elles, externes aux entreprises. L’étude révèle que la responsabilité des fournisseurs et des prestataires de service actuels est de plus en plus importante ; elle a augmenté d’environ 32% pour les fournisseurs et de 30% pour les prestataires de services. Cela est dû au fait que les entreprises travaillent de plus en plus en collaboration avec des partenaires externes, ce qui participe à l’expansion de la surface d’attaque. 

Selon Philippe Trouchaud : « Les chiffres indiquent qu’une entreprise française sur 5 pense que ses concurrents sont potentiellement à l’origine de certaines attaques subies en 2015. En effet, ces derniers sont particulièrement attirés par les données de type propriété intellectuelle, les business plans, les données de R&D, etc. »

Le pourcentage d’augmentation du budget moyen d’une entreprise alloué à la cybersécurité
en 2015,  en France et dans le monde

Le budget moyen de cybersécurité des entreprises françaises interrogées s’est établi à 4,8 millions d’euros par entreprise en 2015, soit un budget en hausse de 29% par rapport à l’année dernière – un chiffre quelque peu supérieur à la moyenne mondiale de 24%. Les répondants ont affirmé que l’implication de plus en plus poussée du comité exécutif a permis d’améliorer leurs pratiques de cybersécurité.

Ces investissements budgétaires répondent à une menace réelle pesant sur les résultats des entreprises. En effet, les pertes financières liées à des incidents de cybersécurité sont estimées en moyenne à 3,7 millions d’euros par entreprise en France, soit une augmentation de 28% par rapport à 2014.

Comment se protéger ?

Alors que les cyber-risques deviennent des préoccupations clés des comités exécutifs, les dirigeants repensent leurs pratiques en matière de cybersécurité et se concentrent sur un mix de technologies innovantes qui peuvent réduire les risques, tout en  améliorant la performance commerciale de l’entreprise. Ces technologies permettent de construire des dispositifs de protection intégrés et holistiques contre les cyberattaques. 91% des organisations interrogées ont mis en place des frameworks pour la sécurité, ou, plus souvent, une fusion de différents frameworks. 

Il n’existe pas de modèle standard qui serait applicable à tous pour une cybersécurité efficace. Il s’agit d’un processus d’amélioration continue qui comprend le bon mix de technologies, processus et compétences » déclare Philippe Trouchaud. Il ajoute : « Si le bon mix est en place, la cybersécurité joue un rôle de facilitateur indispensable pour la conduite des affaires. »

Le cloud computing a eu un impact significatif sur l’innovation technologique ces dix dernières années, et devient essentiel pour sécuriser les écosystèmes numériques interconnectés. Ainsi, les entreprises adaptent les mesures traditionnelles de cybersécurité à un monde de plus en plus basé sur le cloud, et développent de nouvelles capacités pour leurs réseaux, qui améliorent la veille sur les menaces, ainsi que leur modélisation, la défense contre des attaques et la réponse aux incidents de sécurité. Selon l’étude, 69% des répondants ont déclaré utiliser des services de sécurité basés sur le cloud pour protéger les données sensibles, les informations consommateurs et assurer le respect de la vie privée.  

Nouveaux risques & nouvelles opportunités : big data, internet des objets, collaboration externe…

Lié au développement du cloud, le big data et l’internet des objets sont des technologies qui présentent à la fois des cyber-risques et opportunités.
Dans le cas du big data par exemple, souvent considéré comme un point faible en termes de cybersécurité, 59% des répondants exploitent l’analyse des données comme levier d’amélioration de la sécurité en la décalant des défenses périmétriques, et en donnant aux organisations la capacité d’utiliser l’information en temps-réel pour des usages qui créent de la valeur réelle.

Alors que le nombre d’objets connectés continue d’augmenter- il atteindra plus de 30 milliards d’ici 2020- , l’internet des objets démultiplie les enjeux en termes de sécurisation des réseaux basés sur le cloud. Les investissements destinés à répondre à ces enjeux ont doublé en 2015, mais seuls 36% des répondants ont une stratégie dédiée à l’internet des objets.

Durant ces trois dernières années, le nombre d’organisations qui travaillent avec des partenaires externes a régulièrement augmenté. 65% des répondants déclarent travailler en collaboration avec d’autres pour améliorer la sécurité. Puisque de plus en plus d’entreprises partagent de plus en plus de données avec un nombre croissant de partenaires et de consommateurs, il est logique qu’elles veuillent aussi échanger leurs informations sur les menaces et bonnes pratiques en termes de cybersécurité.

Un système de sécurité avancé permet aux entreprises de mieux se défendre contre les cyberattaques, mais aussi de créer un avantage compétitif et de nourrir la confiance avec les consommateurs et partenaires » souligne Bob Bragdon, éditeur de CSO.

Parmi les autres enseignements de l’étude :

  • Qui est en charge de la cybersécurité ? : 54% des répondants ont un CISO Chief Information Security Officer en charge de la sécurité.
  • L’implication grandissante du comité exécutif : 45% des comités exécutifs participant à la définition de la stratégie en matière de sécurité, permettant ainsi d’améliorer les pratiques en matière de sécurité.
  • Les paiements mobiles deviennent la norme : 57% des répondants ont mis en place des systèmes de paiement mobile, mais l’écosystème continue d’évoluer rapidement au fur et à mesure que de nouveaux partenariats se forment parmi les nombreux acteurs de la technologie, de la finance, de la distribution et des télécommunications.
  • Investir dans l’assurance : Techniquement, les adversaires de l’entreprise trouveront toujours de nouveaux moyens de franchir les dispositifs de protection. C’est pourquoi de nombreuses organisations (59%) ont souscrit une assurance pour atténuer les impacts financiers des cyberattaques potentielles.
  • La surveillance de l’Etat impacte les décisions d’achat : les achats dans certains pays sont étroitement suivis (34%) ou sont moins fréquents (22%) : c’est le résultat de rapports déclarant que le gouvernement surveille le matériel, les logiciels et/ou les services de certains pays.

Pour retrouver toutes nos publications sur le secteur de la cybersécurité, rendez-vous sur www.pwc.fr/cybersecurity.html

Méthodologie

L’étude « The Global State of Information Security® Survey 2016” est une étude mondiale de PwC, CIO et CSO réalisée en ligne du 7 mai 2015 au 12 juin 2015. Les résultats présentés ici sont fondés sur les réponses de plus de 10.000 CEO, CFO, CIO, RSSI, OSC, vice-présidents et directeurs de l'information et des pratiques de sécurité de plus de 127 pays.
37 % des répondants sont issus d'Amérique du Nord, 30% d'Europe, 16% d'Asie-Pacifique, 14% d’Amérique du Sud, et 3% du Moyen-Orient et d’Afrique. La marge d’erreur est inférieure à 1%.

À propos de PwC France et pays francophones d’Afrique

PwC développe en France et dans les pays francophones d'Afrique des missions d’audit, d’expertise comptable et de conseil créatrices de valeur pour ses clients, privilégiant des approches sectorielles. La raison d'être de PwC est de renforcer la confiance au sein de la société et d’apporter des solutions aux enjeux stratégiques de ses clients. Plus de 208 000 personnes dans 157 pays à travers le réseau PwC partagent idées, expertises et perspectives innovantes au bénéfice de la qualité de service pour leurs clients et partenaires. Les entités françaises et des pays francophones d'Afrique membres de PwC rassemblent 5 000 personnes couvrant 23 pays. Rendez-vous sur www.pwc.fr
« PwC » fait référence au réseau PwC et/ou à une ou plusieurs de ses entités membres, dont chacune constitue une entité juridique distincte. Pour plus d’informations, rendez-vous sur le site www.pwc.com/structure.

Pour suivre l’actualité de PwC

Retrouvez PwC sur Twitter et sur Linkedin