pwc global state of information security® survey 2018 ... · entreprises au maroc se trouvent dans...
TRANSCRIPT
© 2018 PricewaterhouseCoopers France et Pays Francophones d’Afrique
Cybersécurité
PwC Global State of Information Security® Survey 2018
Avril 2018
FOCUS MAROC
Renforcer la société digitale contre les chocs cyber
PwC Global State of Information Security® Survey 2018 : Renforcer la société digitale contre les chocs cyber
Remerciements
FOCUS MAROC
Je tiens à exprimer mes remerciements :
- aux 50 entreprises ayant participé à l’enquête,
- à tous ceux qui ont contribué à sa diffusion en relayant notamment nos posts sur les réseaux
sociaux,
- à M. Mohammed Saad, et aux membres de l’AUSIM, dont le soutien a permis de mobiliser des
répondants complémentaires,
- à toutes les équipes PwC qui ont veillé à la construction et à la réussite de cette enquête, en
particuler Jérémy Dubourg, Sanaa Tahid, et Camille Taste,
- à M. Stéphane Henry, pour nous avoir autorisé à utiliser la photographie figurant sur la page de
garde,
Nabil Kettani
Associé, PwC au Maroc
2
PwC Global State of Information Security® Survey 2018 : Renforcer la société digitale contre les chocs cyber
3
FOCUS MAROC
Sommaire
Introduction 4
Approches stratégiques 8
Contexte Cyber en 2017 13
…pour résumer 19
Vos contacts 20
IntroductionPrésentation générale de l’enquête Cartographie des répondants
PwC Global State of Information Security® Survey 2018 : Renforcer la société digitale contre les chocs cyber
5
À propos de l’enquête
• The Global State of Information Security® Survey 2018 est une étude mondiale réalisée par
PwC, CIO et CSO magazine entre le 24 avril et le 26 mai 2017 ;
• Menée depuis 20 ans par PwC et depuis 15 ans en partenariat avec CIO et CSO magazine ;
• Des réponses apportées par les lecteurs et les clients de PwC répartis dans 122 pays ;
• Cette année, pour la 1ère fois, l’enquête a été menée au Maroc
• Les résultats de cette enquête se basent sur les réponses collectées entre le 5 mars 2018 et le 6
avril 2018
• Plus de 40 questions relatives à la sécurité de l’information et aux moyens de protection mis en
œuvre par les entreprises
FOCUS MAROC
PwC Global State of Information Security® Survey 2018 : Renforcer la société digitale contre les chocs cyber
Synthèse exécutive
FOCUS MAROC
En 2018, 83% des CEOs des grandes entreprises mondiales ont déclaré être inquiets face à la menace
cybersécurité, et classent cette menace à la 4ème position de leur préoccupation (vs. 10ème position en 2017). On
notera que la menace cyber arrive juste derrière 3 préoccupations qui ne sont pas sous contrôle des entreprises,
à savoir : l’excès de règlementation, le terrorisme, et l’incertitude géopolitique.
Dans un contexte où les entreprises Marocaines s’engagent fortement dans la digitalisation et l’ouverture de leur
Système d’Information, où la règlementation de certains secteurs et les Directives nationales exigent un
renforcement des dispositifs en matière de protection des informations sensibles, la cyber sécurité devient un
enjeux majeur pour les entreprises marocaines.
Au sein des entreprises marocaines, cette prise de conscience, se traduit par une phase d’investissement sur les
problématiques de cyber sécurité où la part des budgets alloués par rapport aux budgets IT est plus de deux fois
supérieure à la moyenne mondiale. Cela se traduit également par une augmentation des budgets dédiés à la
cyber sécurité et forte proportion des entreprises marocaines a avoir nommé un Responsable de la Sécurité des
SI.
Pour autant, et malgré un contexte favorable, l’enquête révèle que :
- les entreprises ont globalement encore un chemin significatif à parcourir pour atteindre un niveau de maturité
acceptable au regard des risques à couvrir,
- elles ont désigné un RSSI, mais les dispositifs mis en place sont encore parcellaires, et sont globalement
réactives post incidents ou post audit, et encore trop rarement proactives,
- la Cyber sécurité continue a être perçue comme une problématique technique et non traitée au niveau
stratégique des organisations,
Globalement, les grandes entreprises Marocaines, ont pris la mesure du risque cybersécuritaire et montent dans
la courbe de maturité, alors que la prise de conscience au niveau du management des petites et moyennes
entreprises n’est pas encore au rendez vous.
Cette enquête, que PwC réalisera chaque année au Maroc, permettra de suivre l’évolution de ces tendances et de se benchmarker aux tendances mondiales.
6
PwC Global State of Information Security® Survey 2018 : Renforcer la société digitale contre les chocs cyber
7
50 répondants au 10/04/2018
Répondants par taille d’entreprise (chiffre d’affaires)
Répondants par taille d’entreprise (nb d’employés) Répondants par secteurs d’activité
INDUSTRY, SERVICES & CONSUMER PRODUCTS
FINANCIAL SERVICES
TELECOM MEDIA & TECHNOLOGY
PUBLIC SECTOR / NGO
50%
24%
16%
10%
FOCUS MAROC
Approches stratégiques Où en sont les organisations dans la définition et la mise en œuvre de leurs stratégie de cybersécurité ?Comment appréhendent elles le rôle de RSSI ?Comment les organisations évaluent leurs investissements en sécurité de l’information ?
PwC Global State of Information Security® Survey 2018 : Renforcer la société digitale contre les chocs cyber
9
Où en sont les organisations dans la définition et la mise en œuvre de leurs stratégie de cybersécurité ?
FOCUS MAROC
des répondants jugent que leur stratégie n’est pas implémentée à une vitesse suffisante
70%
Seul la moitié des organisations qui ont défini une gouvernance en ont approuvé le cadre au niveau du comité de direction.
25%
PwC Global State of Information Security® Survey 2018 : Renforcer la société digitale contre les chocs cyber
10
La majorité des entreprises structurées ont désigné un RSSI souvent rattaché à la DSI
De qui le RSSI relève-t-il directement dans votre organisation ?
DSI
62%
Direction des risques / Audit Interne
16%
Direction Générale / Secrétariat Général
14%
Comité de direction
8%
Beaucoup de dirigeants perçoivent encore la
Cybersécurité comme un problème purement IT
“
Matt Olsen – IronNet Cybersecurity,
US National Counterterrorism Center
des organisations de nos répondants disposaient d’un
RSSI en 2017.Seulement
estiment la fonction mature.
75%
21%
FOCUS MAROC
+25% par rapport à la moyenne mondiale
Moyenne mondiale
24%
17%
40%
27%
PwC Global State of Information Security® Survey 2018 : Renforcer la société digitale contre les chocs cyber
11
La part du budget Cybersécurité vs. Budget IT est globalement plus importante par rapport à la moyenne mondiale
11% de budget moyen Cyber vs. IT (en 2017)
Des budgets Cyber (en valeur) globalement en hausse en 2017 vs. 2016- Moyennes & Grandes entreprises : budget en hausse- Gov / NGO : budgets stables- Petites entreprises : quelques hausses très significatives (> 200%)
72%des sondés considèrent que les budgets cybersécurité restent insuffisants, malgré les hausses significatives en 2017.
FOCUS MAROC
Moyenne mondiale
PwC Global State of Information Security® Survey 2018 : Renforcer la société digitale contre les chocs cyber
12
La conformité réglementaire et la transformation du business sont les drivers principaux des dépenses de cybersécurité
La majorité des grandes entreprises se montrent proactives et prennent la mesure du risque cybersécurité. La conformité règlementaire reste cependant le moteur majeur devant la transformation digitale.Les Petites et Moyennes entreprises restent globalement réactives et ne prennent la mesure du risque cyber qu’après un incident ou les recommandations d’un audit.
A noter que la Transformation digitale et le risque de vols d’information clients / employés arrivent en tête des facteurs conduisant les entreprises mondiales à investir dans la Cybersécurité, devant la conformité règlementaire.
FOCUS MAROC
0% 5% 10% 15% 20% 25% 30%
Autre
Mesure d’un retour sur investissement …
Besoins clients
Besoins exprimés par des partenaires /…
Jugement professionnel
Besoins réglementaires
Exposition mesurée aux risques
Alignement avec les bonnes pratiques
Comment le budget dédié à la cybersécurité de votre entreprise est – il justifié ?
Moyenne mondiale
Contexte Cyber en 2017Comment se matérialisent les cybermenaces ? Dans quelle mesure les organisations sont-elles préparées ?Quels moyens ont-ils prévu de déployer à court terme?
PwC Global State of Information Security® Survey 2018 : Renforcer la société digitale contre les chocs cyber
Quels sont les types et l’origines des incidents ?
citent les logiciels malveillants déployés sur les postes de travail comme premier vecteur d’incidents de sécurité en 2017
25%
Infrastructure d’un partenaire compromise
Fuite d’information sous forme papier
Exploitation de l’humain (social engineering)
Applications / composant d’infrastructure interne non exposé compromis
Logiciel malveillant déployé sur les postes de travail
Nature des incidents détectés
Données volées /exfiltrées
Équipements mobiles (smartphones, tablettes…) exploités
Applications / composant d’infrastructure exposé sur internet compromis
Equipements de stockage amovibles (clés USB par exemple) exploités25%
17%
10%
10%
7%
5%
5%
5%
5%
FOCUS MAROC
~30% des attaques proviennent de l’interne15% ne connaissaient pas la source de l'incident
~30% depuis l’interne
Moyenne mondiale
23%
Au Maroc
28%
citent l’exploitation de dispositifs mobiles (smartphones, tablettes, etc.) comme premier vecteur d’incidents de sécurité en 2017, dépassant le phishing
Dans le monde
14
PwC Global State of Information Security® Survey 2018 : Renforcer la société digitale contre les chocs cyber
15
Globalement peu d’impact d’incidents identifiés
70% des répondants déclarent avoir détecté moins de 50 d’incidents de sécurité* au cours des 12 derniers mois10% déclarent 0 incidents et 6% plus de 50 incidents
Des temps d’arrêts faibles
50% des entreprises ayant détecté des incidents ne déplorent aucun
temps d’arrêt L’autre moitié a subi des arrêts d’une
durée inférieure à 8 heures
* Un incident de sécurité est défini comme tout incident indésirable qui menace un aspect de la sécurité informatique.
** seul deux répondants ont communiqué des pertes financières chiffrées.
Des pertes financières non chiffrées
Les pertes financières ne sont cependant pas estimées dans la
majorité des cas** (seules 11% des entreprises déclarent être en mesure
de chiffrer les pertes)
FOCUS MAROC
Le rapport Trustwave Global Security Report estime que 71% des attaques ne sont toujours pas détectées.La grande partie des grandes
entreprises au Maroc se trouvent dans ce segment 41% des répondants en Europe estiment que les pertes financières moyennes
suite à des incidents de sécurité sont entre 45 000 et 450 000 euro
Nombre d’incidents déclarés par les entreprises mondiales
2015
2016
2015
2016
2015
2016
PwC Global State of Information Security® Survey 2018 : Renforcer la société digitale contre les chocs cyber
16
Stratégies, Dispositifs et Moyens mis en œuvre
Moins de 50 % des répondants affirment que ce contrôle est en place dans leur organisation
Plus de 50% des répondants affirment que ce contrôle est en place dans leur organisation
RSSI75%
Programmes de sensibilisation et formation
45%
Process de réponse à incident
50%
Plan de gestion de crise Cyber28%
Cartographie des données60%
Gouvernance de la Cybersécurité
50%
Stratégie de cybersécurité
38%
FOCUS MAROC
50%
44%
41%
48%
Moyenne mondiale
PwC Global State of Information Security® Survey 2018 : Renforcer la société digitale contre les chocs cyber
17
Comment les organisations évaluent-elles leurs dispositifs de gestion de la cybersécurité ?
Dispositif de gestion de la cybersécurité
des répondants ont confiance en leur capacité à répondre à un incident s’il survenait et à gérer une situation de crise
des répondants mesurent l’efficacité de leurs politiques, processus et procédures de cybersécurité
des répondants pensent que leurs dispositifs de protection et de détection en matière de cybersécurité sont efficaces
28%
28%
42%
des répondants s’estiment en mesure d’identifier l’origine d’un incident de cybersécurité
61%
FOCUS MAROC
Les entreprises confiantes dans leur dispositif de cybersécurité n’ont pas toutes mené une analyse de risques sur leurs infrastructures internes et sur leurs prestataires.
39% des répondants dans le monde s’estiment en mesure d’identifier l’origine de l’incident
PwC Global State of Information Security® Survey 2018 : Renforcer la société digitale contre les chocs cyber
18
Moyens technologiques / processus de détection / protection prioritaires prévus dans les 12 prochains mois
FOCUS MAROC
PwC Global State of Information Security® Survey 2018 : Renforcer la société digitale contre les chocs cyber
19
Pour résumer…
Prise de conscience des enjeux de la cyber sécurité au
Maroc !
Un contexte favorable poussant les investissements en matière
de Cyber sécurité
Une problématique pas suffisamment prise à haut
niveau mais qui le deviendra.
Des capacités favorisant la réactivité
à la proactivité
Les impacts des incidents de sécurité encore difficilement
quantifiable
FOCUS MAROC
À propos de PwC
At PwC, our purpose is to build trust in society and solve important problems. We’re a network of firms in 157 countries with more than 223,000 people who are committed to delivering quality in assurance, advisory and tax services. Find out more
and tell us what matters to you by visiting us at www.pwc.com.
©2018 PwC. All rights reserved. PwC refers to the PwC network and/or one or more of its member firms, each of which is a separate legal entity. Please see www.pwc.com/structure for further details.
The Global State of Information Security® is a registered trademark of International Data Group, Inc.
PwC has exercised reasonable care in the collecting, processing, and reporting of this information but has not independently verified, validated, or audited the data to verify the accuracy or completeness of the information. PwC gives no express or
implied warranties, including but not limited to any warranties of merchantability or fitness for a particular purpose or use and shall not be liable to any entity or person using this document, or have any liability with respect to this document. This report
is for general purposes only, and is not a substitute for consultation with professional advisors.
Vos contacts :
Nabil Kettani, Associé Digital & Expérience, PwC au Maroc [email protected] Trouchaud, Associé Cybersécurité, PwC en France [email protected]érémy Dubourg, Manager Technology Consulting, PwC au Maroc [email protected]