|
Tenir une telle rubrique relève de la gageure car chaque jour apporte son lot de catastrophes numériques plus ou moins vérifiées.
Les chiffres ci-dessous sont inscrits dans l'ordre chronologique de leur arrivée, mais la précaution initiale doit être de consulter (par exemple) cet article à propos des chiffres alarmistes liés aux sinistres informatiques : Business continuity statistics: where myth meets fact de Mel Gosling and Andrew Hiles. les sources... toujours les sources !
Le Marché Français de la sécurité : source Gartner in LeMagIT dossier sécurité du poste de travail un chantier inachevé.
Les 5 risques majeurs en 2005 :
|
Depuis 2003, Protiviti,
en partenariat avec TNS Sofres, publie le Baromètre
du Risk Management. Il dresse un panorama complet des pratiques
de gestion des risques des grandes entreprises françaises à
partir d’une étude effectuée auprès de 100
directeurs financiers :
“ Les directeurs financiers des
grandes entreprises françaises placent la sécurité
informatique et les risques liés aux systèmes
d’information au troisième rang des risques les plus
importants et au premier rang des risques d’origine interne ”
Les risques perçus concernant la
sécurité informatique sont en légère
régression par rapport à 2003 en 3ème position
depuis 2004.
On note que :
La sécurité informatique
est majeure pour 40% des répondants dans l’Industrie contre
17% seulement dans le secteur Banque Assurance.
Cependant, les risques liés à
l'environnement règlementaire pèsent eux aussi sur le
SI et la sécurité de celui-ci (règle
Confidentialité Intégrité Disponibilité
"Auditabilité") notamment dans la banque assurance.
|
Source : Baromètre
Risk-Management Protiviti 2005
|
Commentaire SSI-Conseil : En cas de sinistre majeur
entraînant une indisponibilité du Système d'information, les 5 postes
de préoccupations sont
impactés !
Sinistralité aux USA : Enquête récente (probablement 2003) de Sungard sur 1256 interruptions de service documentées est éloquente :
L'impact d'un sinistre est toujours le risque de disparition pure et simple de l'entreprise :
- 43% des entreprises frappées par un sinistre n'ont jamais ré-ouvert, et 29% d'autres ont fermé dans les 3 ans suivants.
- 93% des Entreprises qui ont subit des pertes significatives de données sont sorties du marché dans les 5 ans.
- 20% des PME souffrent de sinistre majeur tous les 5 ans.
- 78% des organisations n'ayant pas de plan de reprise sérieux et
subissant un sinistre ont disparu dans les 2 ans... La plupart avait
cependant contracté une assurance et beaucoup avaient une
couverture pour perte d'exploitation !
Sources: U.S. National Fire Protection Agency, U.S. Bureau of Labor, Richmond House Group and B2BContinuity.com
Sinistralité en France : source : enquête annuelle du clusif
en 2005 les contours évoluents (ou les langues se délient ?) : source Clusif Etude 2005
Les évolutions depuis : source Clusif Etude 2008
Enjeux Juridiques : Les principales préoccupations juridiques de la DSI d'après l' enquète le DSI et et le droit TIC de JuriTic 2004-2005 :
Quelques "goodies" :
Vulnérabilités : Le CERT Computer Emergency Readyness Team : Ange gardien des Alertes de sécurité fait le bilan de l'année 2005 dans son Bulletin du 29 décembre et décompte :
5198 Vulnérabilités détectées dont 812 pour Windows, 2328 pour Unix/Linux et 2058 concernant plusieurs OS.
Portables : Près d'un tiers des données stratégiques des entreprises
réside sur des ordinateurs portables et ne sont jamais sauvegardées
(source 01 Réseaux n° 154 P. 121 Octobre 2005).
Plans de Reprise d'Activité : Plus de la moitié des
entreprises françaises reconnaissent avoir subi, au cours des douze
derniers mois, un arrêt non planifié de leur système d'information
ayant provoqué une interruption de service ou de processus critique
pendant plus de deux heures. 47% des entreprises françaises estiment
être suffisamment préparées en cas de sinistre majeur (source Enquête
Ernst & Young sur la sécurité des entreprises Françaises en 2300), [ce qui en laisse 53% en droit de s'inquiéter sérieusement....]
Piraterie : 50% des moyennes et grandes entreprises US victimes de piratage,
Source : Vandyke Software éditeur de logiciels de communication de
sécurité basée une moyenne de déclaration d'intrusion déclarées dans
les 2 ans écoulés, reprise par Marc Olanié dans LMI édition du
08/11/2005, qui précise :
"Le pourcentage de « sondés » utilisant diverses catégories
d'équipements et programmes de protection s'établi comme suit :
92,26% ont installé un firewall
53,56% utilisent un outil d'inventaire de failles (notamment MBSA... qui est un peu limité)
53,25% seulement ont bloqué les ports Telnet ou FTP
51,70% disposent d'un IDS
50,77% ont recours à des firewall personnels sur chaque station
42,11% protègent leurs liaisons sans fil (WEP, WAP...)
39,63% ont mis sur pied une DMZ
37,77% utilisent un scanner de port pour localiser les services non autorisés"
Conbien ça coute ? : FBI Janvier 2006 enquète menée auprès de 2000 sociétés américaines :
La cybercriminalité coûte en moyenne 24 000 dollars par an
à une entreprise américaine, soit 67 milliards de dollars à
l'échelle des Etats-Unis.
Sur l'ensemble du panel,
les codes malveillants ont provoqué une perte évaluée à 12 millions
de dollars, contre 2,7 millions de dollars pour les intrusions
réseaux et 3,2 millions de dollars pour le vol d'ordinateur.
Selon les responsables informatiques interrogés, 44% des intrusions étaient d'origine interne.
Vol d'Identité : 26, 5 millions d'identités potentiellement compromises ... les
26 500 000 enregistrements que compte la base de données des anciens
combattants américains aurait été dérobée, manifestement par un employé
indélicat, relate le Security News. Source : Réseau et Télécom
Poste de travail : 60% C'est la proportion des données
stratégiques de l'entreprise stockées sur les postes de travail, selon
une étude réalisée par IDC
La menace vient de l'intérieur : Selon Computer Security Institute
(CSI), 60 % des attaques proviennent de l'intérieur de l'entreprise.
L'ennemi n'est pas le mythique hacker juvénile et surdoué, mais
n'importe quel employé.....
Pour ceux qui n'en meurent pas : En 2003, selon une étude publiée par KPMG, les dégâts occasionnés par des incidents de sécurité génèrent des pertes qui peuvent se chiffrer, en Europe, entre 0,2 et 0,5 % du chiffre d’affaires.
Cartes bancaires clonées : 48.000 victimes à Phuket
Ce sont principalement des touristes australiens et néo-zélandais qui ont été pris au piège par ce réseau de fraudeurs très organisé en Thaïlande. Près de 1,6 million de dollars ont été détournés à l'insu des victimes : article de Cédric Messeguer pour Vulnerabilite.com
Combien ça coûte suite : Vol de portables :
Selon une étude commandée à IDC, le vol d'ordinateur portable coûte près de
50 000 euros par an aux entreprises françaises.
La panne Informatique :
Le cout de la panne: (Une heure d'indisponibilité du SI)
Le Cout des incidents de sécurité : (par type de menace)
2006 une année "effarante" pour le vol de données personnelles : consultez le listing de PrivacyRights.Org qui enregistre les violations de données privées depuis début 2005.
Rapport 2006 du CSI/FBI : Cout des incidents de sécurité par type de menace évolue à la baisse (peut-être due à la frilosité grandissante des entreprises cotées a s'exposer) on notera que le top 4 :(1) virus, (2) accès non-autorisés, (3) vols de laptop ou de mobiles (4) vol d'information confidentielles représente 73,4% du total. l'étude complète est disponible sur le site du Computer Security Institute.
Rapport Pandalab 2006 : les motivations se précisent !
Le rapport du troisième trimestre 2006 publié par PandaLabs révèle un fait inquiétant : plus de 72% des menaces détectées par notre antivirus gratuit en ligne, Panda ActiveScan, sont liées au cyber-crime. Les menaces les plus fréquemment détectées (chevaux de Troie, backdoors, adwares, spywares, bots et numéroteurs) sont utilisées par les pirates pour obtenir frauduleusement des gains financiers.
Selon Luis Corrons, le directeur de PandaLabs, "Désormais, l'argent est pratiquement l'unique motivation des créateurs de malwares. Ce sont des pirates professionnels, ils ne créent pas des codes malicieux pour devenir célèbres ou pour faire reconnaître leurs talents de programmateurs mais uniquement pour les retombées financières qu'ils obtiennent.
Quelques Chiffres 2007 de Source US ( présa de Dan Geer lors du récent salon Usenix Security Symposium qui s’est déroulé à Boston)
9163 hôtes par jour rejoignent des réseaux de botnets
5500 emails de phishing par minute
1,5 nouvelle variante de robot espion par heure
85% des courriers électroniques actuels sont du spam
1 email sur 119 l’an dernier (2007) était du phishing
50% des ordinateurs personnels ne sont pas patchés
Le coût du Cybercrime en 2007 :
 Source JDN Solution et FBI
Source JDN Solution
L'étude annuelle IC3 du FBI estime le coût en 2007 du cybercrime à 240 millions de dollars. Cela représente une croissance supérieure à 40 millions de dollars en l'espace de seulement un an. Les vecteurs du crime sont à 73,6% des emails et 32,7% des pages Web.
Que font les autres :
Top5 prioités sécurité 2007 du secteur financier :
 JDN Solution Deloitte 2007
Source : JDN Solutions : Le rapport 2007 (Global Security Survey) du cabinet Deloitte
Pour aller plus loin :
Les chiffres du Phishing : phishingtank
Tous les chiffres : Dossier JDN Solutionsles indicateurs de la sécurité
Clusif : Enquêtes sur les politiques de sécurité de l'information et la sinistralite informatique en France
Ernst & Young :enquête 2008 sur la sécurité des systèmes d'information
|
Enjeux de la SSI 
