SSi-Conseil Sécurité des Systèmes d'Information
Accueil SSi-Conseil
Accès privilégié
SSI-Conseil
>Enjeux & Risques
Enjeux de la SSI
Risques
>Consulting Sécurité
Démarche Sécurité
Schéma Directeur SSI
Management SSI
Gestion opérationnelle
Communication SSI
>Gestion de Risques
Risk Management
>ISO 27000
ISO 27000
>Continuité d'Activité
Continuité d'Activité
>Services & Assistance
Assistance / Conseil SSi
TPE PME/PMI
>Formation
Formations
>Plus
Liens utiles
Auto-diagnostic SSi
Alertes Virus
Outils gratuits en ligne
Recherche avancée
Download zone
Legal crédits & ©
Glossaire
Plan du Site
>Partenaires
Ysosecure
Janua
Groupe-Stédia
BCP-Expert
Syndicate
Jeudi 17 Avril 2014
Advertisement
Enjeux en chiffres Convertir en PDF Version imprimable Suggérer par mail
21-09-2005

Tenir une telle rubrique relève de la gageure car chaque jour apporte son lot de catastrophes numériques plus ou moins vérifiées.

Last but not Least la NSA a considérablement remis en cause toute velléité de statistiques fiables sur le sujet...

Les chiffres ci-dessous sont inscrits dans l'ordre chronologique de leur arrivée, mais la précaution initiale doit être de consulter (par exemple) cet article à propos des chiffres alarmistes liés aux sinistres informatiques : Business continuity statistics: where myth meets fact de Mel Gosling and Andrew Hiles. les sources... toujours les sources !

Le Marché Français de la sécurité : source Gartner in LeMagIT dossier sécurité du poste de travail un chantier inachevé.

Image

Les 5 risques majeurs en 2005 :

Depuis 2003, Protiviti, en partenariat avec TNS Sofres, publie le Baromètre du Risk Management. Il dresse un panorama complet des pratiques de gestion des risques des grandes entreprises françaises à partir d’une étude effectuée auprès de 100 directeurs financiers :

Les directeurs financiers des grandes entreprises françaises placent la sécurité informatique et les risques liés aux systèmes d’information au troisième rang des risques les plus importants et au premier rang des risques d’origine interne ”

Les risques perçus concernant la sécurité informatique sont en légère régression par rapport à 2003 en 3ème position depuis 2004.

On note que :

La sécurité informatique est majeure pour 40% des répondants dans l’Industrie contre 17% seulement dans le secteur Banque Assurance.
Cependant, les risques liés à l'environnement règlementaire pèsent eux aussi sur le SI et la sécurité de celui-ci (règle Confidentialité Intégrité Disponibilité "Auditabilité") notamment dans la banque assurance.




 
Image

Source : Baromètre Risk-Management Protiviti 2005

 

Commentaire SSI-Conseil : En cas de sinistre majeur entraînant une indisponibilité du Système d'information, les 5 postes de préoccupations sont impactés !

Sinistralité aux USA : Enquête récente (probablement 2003) de Sungard sur 1256 interruptions de service documentées est éloquente  :

Image

L'impact d'un sinistre est toujours le risque de disparition pure et simple de l'entreprise :

  • 43% des entreprises frappées par un sinistre n'ont jamais ré-ouvert, et 29% d'autres ont fermé dans les 3 ans suivants.
  • 93% des Entreprises qui ont subit des pertes significatives de données sont sorties du marché dans les 5 ans.
  • 20% des PME souffrent de sinistre majeur tous les 5 ans.
  • 78% des organisations n'ayant pas de plan de reprise sérieux et subissant un sinistre ont disparu dans les 2 ans... La plupart avait cependant contracté une assurance et beaucoup avaient une couverture  pour perte d'exploitation !
Sources:  U.S. National Fire Protection Agency, U.S. Bureau of Labor, Richmond House Group and B2BContinuity.com
Sinistralité en France : source : enquête annuelle du clusif

Image
en 2005 les contours évoluents (ou les langues se délient ?) : source Clusif Etude 2005
Clusif Sinistres 2005
Les évolutions depuis : source Clusif Etude 2008
Image

Enjeux Juridiques : Les principales préoccupations juridiques de la DSI d'après l' enquète le DSI et et le droit TIC de  JuriTic 2004-2005 :

Enjeux juridiques

Quelques "goodies" :


Vulnérabilités : Le CERT Computer Emergency Readyness Team : Ange gardien des Alertes de sécurité fait le bilan de l'année 2005 dans son Bulletin du 29 décembre et décompte :
5198 Vulnérabilités détectées dont 812 pour Windows, 2328 pour Unix/Linux et 2058 concernant plusieurs OS.

Portables : Près d'un tiers des données stratégiques des entreprises réside sur des ordinateurs portables et ne sont jamais sauvegardées (source 01 Réseaux n° 154 P. 121 Octobre 2005).

Plans de Reprise d'Activité  : Plus de la moitié des entreprises françaises reconnaissent avoir subi, au cours des douze derniers mois, un arrêt non planifié de leur système d'information ayant provoqué une interruption de service ou de processus critique pendant plus de deux heures. 47% des entreprises françaises estiment être suffisamment préparées en cas de sinistre majeur (source Enquête Ernst & Young sur la sécurité des entreprises Françaises en 2300), [ce qui en laisse 53% en droit de s'inquiéter sérieusement....]

Piraterie :   
50% des moyennes et grandes entreprises US victimes de piratage,
Source : Vandyke Software éditeur de logiciels de communication de sécurité basée une moyenne de déclaration d'intrusion déclarées dans les 2 ans écoulés, reprise par Marc Olanié dans LMI édition du 08/11/2005, qui précise :
 "Le pourcentage de « sondés » utilisant diverses catégories d'équipements et programmes de protection s'établi comme suit :
92,26% ont installé un firewall
53,56% utilisent un outil d'inventaire de failles (notamment MBSA... qui est un peu limité)
53,25% seulement ont bloqué les ports Telnet ou FTP
51,70% disposent d'un IDS
50,77% ont recours à des firewall personnels sur chaque station
42,11% protègent leurs liaisons sans fil (WEP, WAP...)
39,63% ont mis sur pied une DMZ
37,77% utilisent un scanner de port pour localiser les services non autorisés"

Conbien ça coute ? : FBI Janvier 2006
enquète menée auprès de 2000 sociétés américaines :
La cybercriminalité coûte en moyenne 24 000 dollars par an à une entreprise américaine, soit 67 milliards de dollars à l'échelle des Etats-Unis.
Sur l'ensemble du panel, les codes malveillants ont provoqué une perte évaluée à 12 millions de dollars, contre 2,7 millions de dollars pour les intrusions réseaux et 3,2 millions de dollars pour le vol d'ordinateur.
Selon les responsables informatiques interrogés, 44% des intrusions étaient d'origine interne.

Vol d'Identité : 26, 5 millions d'identités potentiellement compromises ... les 26 500 000 enregistrements que compte la base de données des anciens combattants américains aurait été dérobée, manifestement par un employé indélicat, relate le Security News. Source : Réseau et Télécom

Poste de travail : 60% C'est la proportion des données stratégiques de l'entreprise stockées sur les postes de travail, selon une étude réalisée par IDC

La menace vient de l'intérieur : Selon Computer Security Institute (CSI), 60 % des attaques proviennent de l'intérieur de l'entreprise. L'ennemi n'est pas le mythique hacker juvénile et surdoué, mais n'importe quel employé.....

Pour ceux qui n'en meurent pas : En 2003, selon une étude publiée par KPMG, les dégâts occasionnés par des incidents de sécurité génèrent des pertes qui peuvent se chiffrer, en Europe, entre 0,2 et 0,5 % du chiffre d’affaires.

Cartes bancaires clonées : 48.000 victimes à Phuket
Ce sont principalement des touristes australiens et néo-zélandais qui ont été pris au piège par ce réseau de fraudeurs très organisé en Thaïlande. Près de 1,6 million de dollars ont été détournés à l'insu des victimes : article de Cédric Messeguer pour Vulnerabilite.com

Combien ça coûte suite  : Vol de portables :
Selon une étude commandée à IDC, le vol d'ordinateur portable coûte près de 50 000 euros par an aux entreprises françaises.

La panne Informatique :
Pannes Informatiques 2005
Le cout de la panne: 
(Une heure d'indisponibilité du SI)
Image
Le Cout des incidents de sécurité : (par type de menace)
Image
2006 une année "effarante" pour le vol de données personnelles : consultez le listing de PrivacyRights.Org qui enregistre les violations de données privées depuis début 2005.

Rapport 2006 du CSI/FBI : Cout des incidents de sécurité par type de menace évolue à la baisse (peut-être due à la frilosité grandissante des entreprises cotées a s'exposer) on notera que le top 4  :(1) virus, (2) accès non-autorisés, (3) vols de laptop ou de mobiles (4) vol d'information confidentielles représente 73,4% du total. l'étude complète est disponible sur le site du Computer Security Institute.

Pertes par type de menaces

Rapport Pandalab 2006 : les motivations se précisent !
Le rapport du troisième trimestre 2006 publié par PandaLabs révèle un fait inquiétant : plus de 72% des menaces détectées par notre antivirus gratuit en ligne, Panda ActiveScan, sont liées au cyber-crime. Les menaces les plus fréquemment détectées (chevaux de Troie, backdoors, adwares, spywares, bots et numéroteurs) sont utilisées par les pirates pour obtenir frauduleusement des gains financiers.
Selon Luis Corrons, le directeur de PandaLabs, "Désormais, l'argent est pratiquement l'unique motivation des créateurs de malwares. Ce sont des pirates professionnels, ils ne créent pas des codes malicieux pour devenir célèbres ou pour faire reconnaître leurs talents de programmateurs mais uniquement pour les retombées financières qu'ils obtiennent.

Quelques Chiffres 2007 de Source US ( présa de Dan Geer lors du récent salon Usenix Security Symposium qui s’est déroulé à Boston)
9163 hôtes par jour rejoignent des réseaux de botnets
5500 emails de phishing par minute
1,5 nouvelle variante de robot espion par heure
85% des courriers électroniques actuels sont du spam
1 email sur 119 l’an dernier (2007) était du phishing
50% des ordinateurs personnels ne sont pas patchés

Le coût du Cybercrime en 2007 :
Image
Source JDN Solution et FBI

Source JDN Solution
L'étude annuelle IC3 du FBI estime le coût en 2007 du cybercrime à 240 millions de dollars. Cela représente une croissance supérieure à 40 millions de dollars en l'espace de seulement un an.  Les vecteurs du crime sont à 73,6% des emails et 32,7% des pages Web.
Que font les autres :
Top5 prioités sécurité 2007 du secteur financier :
Image
JDN Solution Deloitte 2007

Source : JDN Solutions : Le rapport 2007 (Global Security Survey) du cabinet Deloitte

Pour aller plus loin :
Le calculateur du cout du vol d'informations de Allied World TECH//404 : Tech//404® Data Loss Cost Calculator
Les chiffres du Phishing : phishingtank
Tous les chiffres : Dossier JDN Solutionsles indicateurs de la sécurité
Clusif : Enquêtes sur les politiques de sécurité de l'information et la sinistralite informatique en France
Ernst & Young :enquête 2008 sur la sécurité des systèmes d'information






Dernière mise à jour : ( 03-02-2014 )
< Précédent   Suivant >
Copyright 2005-2014 SSi-Conseil
Mambo Free Software released under the GNU/GPL License.