Saviez-vous que les violations de données coûtent moins cher au Royaume-Uni que la moyenne mondiale, mais que les budgets de sécurité sont également plus petits? Ou que la grande majorité des entreprises du pays ont subi des incidents, et généralement par hameçonnage?

Avoir les bonnes informations peut aider les OSCI à prendre des décisions plus éclairées et à mieux communiquer les risques aux parties prenantes. Voici une liste de statistiques de cybersécurité utiles sur le Royaume-Uni, mises dans un contexte mondial plus large où des données comparables sont disponibles.

Portée des violations de données au Royaume-Uni

Jusqu’à 88% des entreprises britanniques ont subi des violations au cours des 12 derniers mois, rapporte Carbon Black. C’est moins que l’Allemagne (92%), la France (94%) et l’Italie (90%)

Une petite entreprise au Royaume-Uni est piratée avec succès toutes les 19 secondes, selon Hiscox. Environ 65 000 tentatives de piratage de petites et moyennes entreprises (PME) se produisent chaque jour au Royaume-Uni, dont environ 4 500 sont couronnées de succès. Cela équivaut à environ 1,6 million des 5,7 millions de PME au Royaume-Uni par an. Cisco estime que 53 % des PME ont subi une faille de sécurité dans le monde en 2018.

Trente-sept pour cent des entreprises britanniques ont signalé un incident de violation de données au Bureau du Commissaire à l’information (ICO) au cours des 12 derniers mois. Dix-sept pour cent avaient signalé plus d’un incident.

Coût de la cybercriminalité au Royaume-Uni

Les violations de données coûtent en moyenne aux entreprises britanniques 3,88 millions de dollars par violation, selon l’étude Cost of a Data Breach study d’IBM et Ponemon. C’est légèrement inférieur à la moyenne mondiale de 3,92 millions de dollars. Le Royaume-Uni a également une taille moyenne plus petite de violations; 23 600 au Royaume-Uni contre 25 575 dans le monde.

Trente-trois pour cent des organisations britanniques disent avoir perdu des clients après une violation de données. Une étude menée par Forrester auprès d’entreprises britanniques et américaines a révélé que 38 % avaient perdu des activités en raison de problèmes de sécurité.

Quarante-quatre pour cent des consommateurs britanniques affirment qu’ils cesseront temporairement de dépenser avec une entreprise après une violation de sécurité, et 41% affirment qu’ils ne reviendront jamais dans une entreprise après une violation, contre 83% et 21% pour les clients aux États-Unis.

Vingt-trois pour cent des réclamations de cyberassurance d’AIG dans la région EMEA en 2018 concernaient des attaques de compromission par courrier électronique professionnel. 18 % supplémentaires concernaient des incidents liés aux ransomwares.

Quarante-huit pour cent des organisations britanniques touchées par les ransomwares au cours de la dernière année, selon Sophos. C’est inférieur à la moyenne mondiale de 51%. 13% des organisations britanniques auraient payé la rançon.

Le coût moyen de réparation d’une attaque de ransomware réussie pour les entreprises britanniques est de 840 000 $, supérieur à la moyenne mondiale de 761 000 $. 32% des entreprises britanniques ont une assurance cybersécurité qui ne couvre pas les ransomwares.

Statistiques de phishing au Royaume-Uni

Un e-mail sur 3 722 au Royaume-Uni est une tentative de phishing, selon Symantec. Ce chiffre est d’un sur 657 en Arabie saoudite, d’un sur 3 231 aux États-Unis, d’un sur 5 223 en Allemagne et d’un sur 3 471 en Australie. Près de 55% des e-mails britanniques sont du spam.

Environ la moitié des cyberattaques au Royaume-Uni impliquent du phishing. C’est environ 20% plus élevé que la moyenne mondiale.

Vingt-deux pour cent des organisations britanniques ne dispensent pas à leurs employés une formation régulière de sensibilisation à la sécurité pour le courrier électronique.

Les plus grandes vulnérabilités du Royaume-Uni

Les entreprises du FTSE 250 ont en moyenne 35 systèmes exposés à Internet. C’est plus que les entreprises australiennes sur l’ASX 200 (29) mais beaucoup moins que le Fortune 500 (500).

Structure et budgets de sécurité au Royaume-Uni

Soixante-cinq pour cent des DSI britanniques relèvent du DSI, tandis que 12% des entreprises affirment que le DSI est un pair avec le DSI. Aux États-Unis, environ 45 % des OSSI relèvent du CIO. Au Royaume-Uni, 58% ont un RSSI ou un équivalent, contre 56% aux États-Unis.

Soixante-six pour cent des organisations britanniques affirment que leurs budgets de sécurité ont augmenté au cours de la dernière année. Un quart des organisations ont indiqué que l’augmentation au cours des 12 mois précédents avait été « significative « . À l’échelle mondiale, environ 60 % des organisations signalent des augmentations de budget de 13 % en moyenne.

Le budget moyen de la cybersécurité au Royaume-Uni est d’environ 900 000 dollars, contre une moyenne de 1,46 million de dollars dans le monde, selon Hiscox.

Trente et un pour cent des organisations britanniques ont effectué une évaluation des cyberrisques au cours des 12 derniers mois, selon le rapport du gouvernement britannique sur les violations de la cybersécurité. Le même rapport indique que seulement 57% des grandes entreprises ont des processus de réponse aux incidents de cybersécurité en place. Ponemon suggère à l’échelle mondiale que ce chiffre n’est que de 33%.

Il y a une pénurie de personnel de sécurité de plus de 140 000 personnes dans la région EMEA, selon ISC2. Plus de 60 % des organisations interrogées par les OSC disent souffrir de lacunes en matière de compétences au sein de la fonction de sécurité. En Amérique du Nord, la pénurie est estimée à près de 500 000 personnes.

Selon un rapport du gouvernement britannique, il existe environ 1 221 entreprises au Royaume-Uni fournissant des produits et des services de cybersécurité. Ces entreprises emploient environ 43 000 équivalents temps plein (ETP) dans un rôle lié à la cybersécurité et génèrent un chiffre d’affaires annuel total de 8,3 milliards de livres sterling. Le nombre d’entreprises, les rôles de sécurité et les revenus ont tous augmenté de plus de 35 % au cours des deux dernières années.

Les entreprises de cybersécurité au Royaume-Uni offrent principalement des services de cyberprofessionnel (fournis par 71 % des entreprises), des renseignements sur les menaces, de la surveillance, de la détection et de l’analyse (46 %) ou de la sécurité des terminaux (y compris la sécurité mobile (37 %). La plupart des cyberentreprises britanniques comptent moins de 10 employés.

selon NTT, 42 % des organisations britanniques citent des préoccupations concernant l’introduction de risques de sécurité ou de conformité comme obstacle à la transformation numérique. Un autre 35% citent la perturbation potentielle des activités comme un obstacle à l’innovation.

Statistiques de conformité du Royaume-Uni

Soixante-quinze pour cent des flux de données internationaux du Royaume-Uni sont avec l’UE, selon une étude récente de l’UCL. L’étude a également révélé que les perturbations des flux de données entre l’UE et le Royaume-Uni seraient « extrêmement dommageables” pour les entreprises britanniques en cas de sortie du Royaume-Uni de l’UE sans accord.

Cinquante-cinq pour cent des entreprises de l’UE affirment être entièrement conformes au Règlement général sur la Protection des Données (RGPD). Ce chiffre tombe à 43% parmi les organisations américaines, 32% au Japon et 29% en Chine. Les organisations britanniques dépensent en moyenne 1,16 million de dollars pour se conformer au RGPD, contre 1,75 million de dollars en Allemagne, 1,58 million de dollars en France et 1,41 million de dollars aux États-Unis.

Il y a eu une diminution de 21 % (à 966 000) des infractions d’utilisation abusive d’ordinateurs – réelles et estimées – entre 2018 et 2019. selon l’Office des statistiques nationales (ONS). Au cours de la dernière décennie, seules 422 poursuites ont été engagées en vertu de la Loi de 1990 sur l’utilisation abusive des ordinateurs.

Un quart des organisations britanniques ont informé l’OIC d’une violation ou d’une violation potentielle au sein de leur organisation, selon une enquête réalisée par Apricorn. Un autre 21 % a fait l’objet d’une violation ou d’une violation potentielle signalée par un tiers.

La plus grosse amende infligée par l’OIC à ce jour est de 183 millions de £ contre BA pour violation du RGPD. La même semaine, le régulateur a infligé une pénalité de 99 millions de £ à la chaîne hôtelière Marriott. En vertu de la législation précédente, la plus grande amende pouvant être infligée était de 500 000 £. En vertu de la dernière année de la précédente loi sur la protection des données, l’ICO a émis 22 amendes totalisant seulement 3 millions de livres sterling.Facebook laissant les numéros de téléphone et les identifiants Facebook liés de 18 millions de personnes du Royaume-Uni exposés en ligne, ainsi que des centaines de millions de personnes du reste du monde, est le plus gros incident des clients britanniques. Equifax affirme qu’environ 15,2 millions d’enregistrements britanniques ont été exposés ou perdus dans sa violation de 2017, tandis que les détails d’environ 7 millions de clients britanniques se trouvaient dans la violation de Marriott.

Statistiques du RSSI, du conseil d’administration et des compétences au Royaume-Uni

Le salaire moyen du RSSI au Royaume-Uni est de 87 000 £ par an, selon PayScale.com . Les CISO à Londres gagnent en moyenne 30% de plus que dans d’autres régions du pays.

La durée moyenne d’un RSSI n’est que de 26 mois, et les RSSI britanniques travaillent en moyenne neuf heures supplémentaires par semaine, selon Nominet.

37% des CISO travaillent dans l’industrie de la sécurité depuis entre 15 et 25 ans, selon ClubCISO. 21% ont entre 11 et 15 ans d’expérience, 19% ont une valeur de 5 à 10 ans et 12% moins de 5 ans.

55 % des CISO ont quitté leur dernier rôle soit pour progresser dans leur carrière, soit parce qu’ils ne se sentaient plus interpellés, selon le même rapport. 22% sont partis parce qu’ils étaient frustrés par l’approche de leur entreprise en matière de sécurité.

Quatre-vingt-huit pour cent des CISO britanniques sont des hommes et 12% sont des femmes, selon une étude SASIG / Cyber Connect UK. En comparaison, SpencerStuart rapporte que 29% des DSI au Royaume-Uni sont des femmes.

Trente-sept pour cent des entreprises britanniques ont des membres du conseil d’administration avec un dossier de cybersécurité, selon les statistiques sur les violations de données du gouvernement britannique, contre 28% en 2016.

Le rapport 2020 sur les compétences en cybersécurité du gouvernement britannique indique qu’un peu moins de 400 000 emplois liés à la cybersécurité ont été affichés au cours des trois dernières années au Royaume-Uni. Les rôles les plus fréquemment recherchés sont les ingénieurs en sécurité (18%), les analystes en sécurité (13%), les architectes en sécurité (10%), les responsables de la sécurité (9%) et les consultants en sécurité (8%).

La moitié des entreprises au Royaume-Uni n’ont qu’une seule personne responsable de la cybersécurité en interne, selon la même étude gouvernementale. Treize pour cent des organisations de plus de 250 employés n’ont encore qu’un seul employé de sécurité, tandis que 12% des grandes entreprises emploient un responsable de la sécurité de l’information, un RSSI ou un CSO.