Articles

[Résumé] Veille Cyberprotect Juin 2016

Si la nouvelle version de Locky vous a paralysé pendant 1 mois, Cyberprotect vous propose sa veille !

Les Faits Marquants

Les entreprises sensibles vont devoir débourser pour être en règle en matière de cybersécurité -> lire

Changer notre approche de la cybersécurité : think outside the box ! -> read

Interprétation des rapports de cybersécurité : où en sont nos dirigeants ? -> lire

Les investissements en cybersécurité en France sont trop faibles -> lire

Assurer les cyber risques : un marché en plein essor -> lire 

Les chiffres

3 sur 4 : c’est le nombre d’entreprises encore vulnérables aux cyberattaques -> lire 

Les attaques DDos ont augmenté de 125% en 1 an -> lire 

EMEA : seuls 8% des dirigeants d’entreprises considèrent la cybersécurité comme une priorité -> infographie

Cyber attaques : 77% ciblent les PME -> lire 

NEWS !

You can now have access to all our articles in english in our new blog ! Come and visit !

Cyberprotect : SIEM ? NoSIEM ? Read us !

Risk management with or without Cyberprotect ? Our solution !

SIEM VS Cyberprotect

Qu’est-ce qu’un SIEM ?

Security Information and Event Management : c’est une solution qui permet de gérer et corréler les logs.

Le principe d’un SIEM est donc de gérer les événements du système d’information.

« Une solution SIEM combine des fonctions de gestion des informations (SIM, Security Information Management) et des événements (SEM, Security Event Management) au sein d’un système unique de gestion de la sécurité. Un système SEM centralise le stockage et l’interprétation des logs, et permet une analyse en quasi-temps réel. Un système SIM collecte des données et les place dans un référentiel central à des fins d’analyse de tendances. La génération de rapports de conformité est automatisée et centralisée. »

Il est important cependant de rappeler qu’un SIEM n’est pas autonome.

Ce système a, en effet, besoin d’une équipe pour vivre : installation, écriture et mises à jour des règles de filtrage, maintenance, traitement des alertes et mise en place d’actions adaptées.

La force de Cyberprotect est justement de vous apporter un service indépendant de votre infrastructure et une équipe dédiée.

Découvrez les avantages Cyberprotect !

siem-vs-cyberprotect

 

 

Retrouvez tous nos articles et bulletins d’alerte sur https://www.cyberprotect.fr/labo/

Cet article vous a plu ? Venez échanger avec nous sur Twitter, LinkedIn, Facebook

Cécile FIORE – CM & Marketing – Cyberprotect

Cyber assurance : pourquoi choisir Cyberprotect ?

Depuis quelques années, les malveillances et la cybercriminalité touchant les entreprises augmentent. Il y a encore quelques temps, les risques encourus par une société était une intrusion dans les locaux, le vol de matériel (ordinateurs, clés…), le vol de documents confidentiels etc. Aujourd’hui, les entreprises sont victimes de cyberattaques : vol de données, pénétration dans le réseau informatique, envoi de courriels infectés…. La cible des attaques est devenue immatérielle. Et cette cybercriminalité croissante coûte très chère aux entreprises. Surtout pour les PME qui risquent jusqu’à la faillite tellement l’impact financier d’une cyberattaque est important, comme cette PME à Pau.

C’est pourquoi les entreprises ont besoin d’être assurées contre tous ces risques : c’est là qu’interviennent les cyber-assurances. La question se pose alors : qu’est ce qui peut être couvert ? Sachant que la cybercriminalité évolue rapidement et de façon continue, identifier le risque encouru devient très difficile.

Premièrement, définissons ce qu’est un risque :

risque

Si la vulnérabilité est forte et que la menace est forte, alors la cause est forte. Mais si la conséquence (ou l’impact) est faible, alors finalement le risque est faible. Si, au contraire, l’impact est fort, alors le risque est fort. De même si la cause est faible (vulnérabilité faible et menace faible) et que la conséquence est forte, alors le risque sera tout de même faible ou modéré.

Le tableau ci-dessous résume le paragraphe précédent :

Poids de la vulnérabilitéPoids de la menacePoids de l’impactNiveau de risque
FORTEFORTEFAIBLEFAIBLE
FAIBLEFAIBLEFORTFAIBLE OU MODERE

 

Aujourd’hui les conséquences directes d’un cyber-risque sont connues et la principale est la perte totale ou partielle du système d’information (SI). Ce qui engendre l’impossibilité pour les employés de travailler, de facturer, de communiquer ou encore de produire car les machines industrielles peuvent également être paralysées par une malveillance.

Une deuxième conséquence directe est le vol, la perte, la destruction ou encore l’altération de données qui les rend inexploitables et qui paralyse l’activité de l’entreprise.

Les conséquences indirectes sont celles qui portent préjudice à l’image et à la réputation de l’entreprise, ce qui induit perte de confiance et perte de clients.

L’impact est souvent fort pour les entreprises victimes de cyberattaque (impossibilité d’agir directement sur les conséquences d’un cyber-risque).

C’est pourquoi cette partie est prise en charge par les assureurs à condition d’apporter la preuve que le sinistre provient bien d’une malveillance. C’est-à-dire prouver que les contre-mesures et les outils nécessaires étaient mis en place et étaient opérationnels pour réduire les causes du risque.

Comment réduire les causes du risque ?

Pour traiter les menaces, l’entreprise défini et applique un système de sécurité de l’information (SSI), apportant ainsi une contre mesure à la menace. En revanche, les menaces évoluant tous les jours, la sécurité doit également être revue tous les jours pour être adaptée et donc efficace.

Les vulnérabilités proviennent d’une mauvaise mise en application ou conception d’un protocole de communication et souvent d’un oubli (voulu ?) d’appliquer les bonnes pratiques d’un développement sécurisé. En d’autres termes, la vulnérabilité d’une application est souvent liée au facteur humain.

Mais mettre à jour pose parfois problème :

  • Il faut avoir du temps et penser à les faire (surtout penser à le faire)
  • Mise à jour impossible !

Le 1er cas peut être résolu par une mise à jour automatique mais peut engendrer des problématiques de compatibilité.

Le 2ème cas peut être illustré par cet exemple : pour mettre à jour une vulnérabilité détectée dans un logiciel de paie, il faudrait revoir tout le processus métier : refaire les test, recettage, validation… Ce qui implique un coût important.

Mais si la menace pouvant exploiter cette vulnérabilité est faible, alors le risque encouru par l’entreprise est faible et mettre à jour cette vulnérabilité n’est pas la priorité.

C’est cette analyse des risques qui permet à l’entreprise d’identifier le risque qu’elle encourt et qui lui permet alors de le gérer en mettant en place les outils et les actions nécessaires.

L’important est d’effectuer tous les jours ce contrôle et d’étudier la corrélation vulnérabilité/menace pour pouvoir adapter la sécurité au jour le jour et mettre en place les outils de correction des vulnérabilités pour réduire le risque.

C’est la mission de Cyberprotect, service 24H/24 et 7J/7 de veille, de prévention et de contrôle au jour le jour de la cybersécurité en entreprise.

Sa particularité est son mécanisme d’analyse comportementale qui utilise les compétences d’une intelligence artificielle complétées par les compétences humaines de ses équipes. Cette analyse permet à Cyberprotect d’apporter des recommandations personnalisées et adaptées au contexte du client et à son activité opérationnelle.

Grâce à ces recommandations, le risque est réduit et maintenu à un niveau modéré, acceptable. Il est donc transférable aux compagnies d’assurance. Ce risque est appelé risque résiduel : c’est ce qui subsiste après la réponse au risque ou après l’application de mesures d’atténuation du risque.

De plus, Cyberprotect dispose d’une CPBox, capteur non intrusif, qui remonte régulièrement les événements sur l’état des menaces et de vulnérabilités de la cybersécurité du client.

Ce module permet une traçabilité passive, c’est-à-dire que le traceur est indépendant des logs (événements) générés par les équipements de sécurité. En effet, en cas d’attaque, la première opération des cybercriminels est de désactiver les logs des équipements de sécurité. Or si les logs sont corrompus, comment faire la preuve de l’attaque ? D’où l’intérêt de ce traceur indépendant qui enregistre les incidents de la même manière que la boîte noire d’un avion et qui dresse ainsi un historique en cas de sinistre.

La traçabilité de cette CPBox et le service Cyberprotect étant reconnue contractuellement par les compagnies d’assurance, l’entreprise cliente n’a plus à faire la preuve. Tout est géré par Cyberprotect, par son laboratoire et son équipe CERT CYBERPROTECT. Ainsi, en cas de sinistre, le délai de prise en charge est fortement réduit car la preuve est fournie, le dédommagement est rapidement traité par l’assurance et le retour à l’activité pour l’entreprise est réduit.

Plus que la cybersécurité, vivez la cybersérénité.

Cyber-assurance, au-delà du questionnaire…

Voici le cas (réel) d’une entreprise lyonnaise qui a subi un préjudice important suite à un défaut de sécurité.

Il s’agit d’un ordre professionnel qui assure la gestion comptable d’une profession règlementée.

Ironie du sort, il s’agissait d’un prospect qui ne voyait pas l’intérêt de la solution Cyberprotect car je cite : “jusqu’à maintenant l’informatique fonctionne bien”.

Ce cas mérite de s’y arrêter quelques minutes car il réunit plusieurs aspects de la cyber-assurance.

 

Contexte

Tout commence par un appel le lundi matin du gérant paniqué : un rançongiciel a bloqué le serveur sur lequel est installé le logiciel de comptabilité (qui est donc leur cœur de métier).

Dans notre prise d’information sur le niveau de sécurité du réseau de l’entreprise, nous avons posé quelques questions de base :

– Avez-vous un pare-feu ? (réponse de l’entreprise = oui)

– Avez-vous, d’habitude, un accès à votre réseau depuis l’extérieur ? (réponse de l’entreprise = non)

 

Et bien, la réalité nous a démontré le contraire. En effet, le serveur de comptabilité (qui servait aussi de serveur AD) était accessible depuis l’extérieur.

Il est vrai qu’il y avait un pare-feu, mais il n’était pas branché…

Le serveur a été compromis par un rançongiciel qui a chiffré toutes les données qui s’y trouvaient.

Résultat final, il faut réinstaller le serveur de comptabilité (heureusement des sauvegardes étaient faites).

 

Le coût d’un tel sinistre

On s’aperçoit très vite, que le facteur temps à un rôle important, on est dans une course contre la montre.

Plus l’activité est stoppée et plus les répercussions financières seront importantes.

Il faut dans un premier temps faire un diagnostic de l’étendue du sinistre : quelles sont les données qui ont été impactées, peut-on les récupérer, faut-il exploiter une sauvegarde, le système est-il corrompu ?

Dans notre cas, il fallait procéder à la réinstallation complète du serveur, reconfigurer l’application métier, réintégrer la dernière sauvegarde, revoir les règles de sécurité…

Ceci est le point de vue technique qui nécessite entre 2 et 3 jours d’intervention.

Pendant cette intervention, les employés ne peuvent que se préparer à devoir rattraper le temps perdu…car pendant la phase de réinstallation, on va parler de “chômage technique” qui a un coût certain pour l’employeur.

 

Ce dernier doit en effet payer ses employés pendant qu’ils ne peuvent pas travailler, mais doit également prévoir un surcoût pour rattraper les jours perdus. Soit par la forme d’heures supplémentaires, soit par l’appel à des travailleurs intérimaires.

Un autre coût caché qui est apparu est celui des pénalités de retard. On se trouvait en effet en fin de mois, et il fallait absolument clôturer les éléments comptables relatifs aux impôts et taxes.

 

Quel est l’intérêt d’une cyber-assurance dans ce cas ?

Une cyber-assurance va permettre de couvrir les frais liés à la survenance d’un sinistre.

Depuis ces deux dernières années, le marché des cyber-assurances s’est enrichi d’acteurs et de nouvelles alliances entre monde de l’informatique et monde de l’assurance.

Cependant, il y a trois problématiques majeures auxquelles on ne retrouve pas la réflexion faite par Cyberprotect voilà maintenant bientôt 10 ans : comment évaluer le risque de l’entreprise, comment réduire ce risque et comment faire l’apport de preuve en cas de sinistres ?

 

Comment évaluer sérieusement le niveau de sécurité d’une entreprise ?

On constate que dans les offres de cyber-assurances on utilise souvent des questionnaires pour évaluer le niveau de sécurité.

Or ici, dans le cas d’un questionnaire, à la question “Avez-vous un pare-feu”, le client aurait répondu “oui” et l’étude ne serait pas allée bien plus loin.

Mais cela nécessite une vision plus large: comment évaluer un niveau de sécurité sur la base d’un questionnaire.

Sans mettre en cause la bonne foi du client, il n’est pas forcément capable de s’auto-évaluer. Un courtier en assurances ne peut pas non plus beaucoup aider à affiner cette évaluation.

L’exemple sur lequel on peut facilement s’appuyer est la configuration du pare-feu. Avec les ajouts, suppressions, modifications de règles, on arrive très vite à une configuration complexe alors qu’elle n’aurait pas lieu d’être. En y regardant de plus près, on trouvera systématiquement des choses inadéquates.

Aussi, une question ou un audit est un état des lieux à un instant “t” , qu’en est-il dans la durée ?

Nous constatons régulièrement des changements (volontaires ou non) de configuration du pare-feu dans les entreprises, exposant ainsi une ou plusieurs machines à des attaques depuis l’extérieur du réseau. Sans une surveillance en continue des flux, il devient difficile de détecter un changement de comportement…

Sur une offre en cyber-assurance on retrouve parfois un ajustement de la prime, du montant de garantie et des franchises en fonction du niveau de sécurité mais encore faut-il évaluer de niveau de la manière la plus juste.

 

Cyberprotect : une gestion complète du risque

 

La prévention une arme efficace

C’est très bien d’avoir une solution organisationnelle ou financière lorsqu’un sinistre ce produit, mais c’est encore mieux lorsqu’on peut éviter ce sinistre.

La plupart des brèches de sécurité peuvent être évitées si l’on applique un contrôle sur ce qu’il se passe dans un Système d’Information.

Bien que le sinistre soit couvert par une garantie financière, n’est-il pas plus judicieux de réduire le risque afin de minimiser les probabilités et les impacts d’un sinistre ?

Ce qui a été fatale ici, est le serveur de production ouvert sur l’extérieur. En mettant en place un service de prévention, il aurait été simple de détecter une mauvaise configuration ou absence du pare-feu et d’émettre une recommandation afin de fermer cette brèche de sécurité.

De plus, un autre aspect aurait pu être intéressant dans cette affaire. Si le serveur avait été supervisé par le SOC Cyberprotect (Centre Opérationnel de Sécurité), on aurait pu (dans certains cas) conserver les traces de l’attaque et voir la clé de chiffrement utilisée par le rançongiciel.

Dans le cas, où la prévention n’aurait pas permis de révéler une vulnérabilité exploitable, l’entreprise aurait été indemnisée pour les coûts directs et indirects liés à l’attaque : perte d’exploitation, remise en état du serveur, communication auprès des partenaires, paiement pour le travail supplémentaire, remise en état du serveur, pénalités de retard…

 

L’apport de preuve permettant l’indemnisation

Effectivement, il y a une réflexion qui doit-être menée dans les cyber-assurances : l’apport de la preuve.

Dans notre cas, comment faire pour apporter la preuve, en sachant que les logs du serveur ont été chiffrés ? De plus comme on l’a vu, on ne peut pas se fier aux logs du pare-feu qui, pour rappel, n’était pas branché.

Il est donc nécessaire d’avoir un équipement neutre qui va jouer ce rôle de traçabilité et qui pourra être exploité pour l’apport de preuve. A l’instar d’une boite noire, Cyberprotect trace et conserve toutes les flux d’activités du réseau de l’entreprise.

Ce service de traçabilité est reconnu contractuellement par l’assurance. En effet, les services délivrés par Cyberprotect ont été optimisés conjointement avec les compagnies d’assurance, pour leur permettre de bénéficier d’un ensemble de services performants et intègres, tant pour la prévention que pour la gestion des incidents.

 


On s’est appuyé ici sur le manquement de certaines offres en cyber-assurance mais on aurait très bien pu développer les réflexions du point vu des acteurs de la cyber-sécurité car en cas de défaillance il n’y a qu’une garantie de moyen et face à un sinistre, l’entreprise devra supporter toute seule les charges financières qui en découlent. Aucune garantie financière n’est assurée.

 

Daniel DIAZ – Ingénieur en Sécurité des Systèmes d’Information – Cyberprotect

Les cyber-risques deviennent un sujet majeur de préoccupation

Comme tous les nouveaux risques, il aura fallu du temps pour prendre la mesure des dangers, d’autant plus que nous avons tous le sentiment que l’informatique et internet font partie de notre vie personnelle et économique depuis toujours. De ce fait, nous sommes plus sensibles à leurs avantages qu’aux risques de plus en plus importants auxquels ils nous exposent. Plus aucune entreprise, quelle que soit sa taille, ne peut plus envisager de fonctionner sans internet, encore moins sans informatique. Le retour en arrière est impossible, c’est pourquoi il est indispensable de bien appréhender les risques qui accompagnent ces nouvelles technologies pour les maîtriser.

En réalité les cyber-risques sont nouveaux dans leurs formes et leur origine mais pas dans leurs conséquences qui demeurent très traditionnelles:

Risques de dommages :

Le plus important reste celui de l’arrêt d’activité, partiel ou total, qui se traduit en Pertes d’Exploitation ou Frais Supplémentaires d’exploitation. Ce sont aussi les frais de décontamination du matériel, les frais de reconstitution des médias, le vol de fichiers…autant de garanties « classiques » mais qui ne fonctionnent pas dans les cas de sinistres découlant de la cybercriminalité !

Risques de Responsabilité Civile :

La transmission de ver ou de virus, vol de données confiées (ou hébergées) par des tiers : clients, fournisseurs, sous-traitants, salariés…, prise de contrôle à distance du réseau informatique de l’entreprise (botnet) …

Risques d’atteinte à l’image, risques d’extorsion… :

Même sans additionner les conséquences financières qui découlent de ces évènements, on réalise l’impact dramatique qu’ils peuvent avoir sur l’entreprise et sa survie. Le sinistre SONY en est une parfaite illustration !

Pourtant les cyber-risques ne sont pas une fatalité. On peut désormais les gérer au même titre que les autres en appliquant les mêmes méthodes.

  • Prise de conscience, évaluation du risque
  • Prévention, réduction du risque
  • Traitement du risque résiduel, transfert, achat de garanties financières

1) La prise de conscience

C’est comme toujours, la phase la plus importante. Beaucoup de chefs d’entreprise sont encore sceptiques: « il ne m’est jamais rien arrivé », « je suis trop petit pour que l’on s’intéresse à moi ! »,  » j’ai une sécurité informatique très efficace »… Ces réactions ne sont pas anormales, car la cybercriminalité, qui est le risque majeur des cyber-risques, est de plus en plus sournoise. En effet, on peut en être victime sans le savoir. Ainsi la provocation ludique des premiers « hackers » s’est transformée en véritable business très lucratif. Il s’agit désormais de voler des données pour les revendre, de contrats passés contre des concurrents, d’espionnage industriel… Il est donc essentiel d’agir sans être vu, ni pris !

2) La prévention

Elle est possible mais encore trop souvent assimilée à la seule sécurité informatique. La sécurité informatique est indispensable mais plus suffisante. Il faut en contrôler l’efficacité pour l’adapter et la faire évoluer, à l’identique de ce que l’on fait pour les systèmes de sécurité des biens matériels : télésurveillance, alarme, alerte… Les comportements à risque: ils  sont à l’origine de plus de 50% des sinistres et souvent sans qu’il y ait d’intention malveillante. Il faut informer, sensibiliser, former les utilisateurs. Il faut savoir qu’une sécurité informatique très stricte, si elle limite les risques de malveillance interne et externe, restreint les possibilités d’action des utilisateurs et conduit assez souvent au développement de systèmes parallèles mis en place par ces mêmes utilisateurs pour contourner les restrictions d’utilisation du réseau informatique. Ces pratiques, de bonne foi, exposent gravement l’entreprise qui considère avoir pris les mesures adéquates à sa sécurité informatique.

3) Le transfert du risque résiduel

Au même titre que pour les risques traditionnels tels que l’incendie, le vol, la responsabilité civile, la prévention des cyber-risques permet de les réduire significativement. Le risque résiduel devient donc transférable, donc assurable.

2011 a été une année riche en sinistres liés à la cybercriminalité. Les médias ont largement évoqué ceux touchant les grandes entreprises (Sony) ou les organisations étatiques (Bercy) mais le détournement d’un réseau téléphonique, le vol de données confidentielles, le détournement de flux financiers… dont les PME, les TPE, les professions réglementées sont de plus en plus fréquemment victimes, ont des conséquences dramatiques pour elles et sont moins connus. La médiatisation a néanmoins favorisé la prise de conscience des dangers liés à ces nouvelles technologies et l’émergence de solutions.

Il est désormais possible de faire surveiller son réseau informatique comme on fait surveiller ses locaux et d’intervenir en temps réel pour se protéger des malveillances détectées. Il est également devenu possible de s’assurer contre les conséquences financières de ces intrusions et malveillances. Plusieurs assureurs proposent depuis peu des contrats spécifiques pour garantir les cyber-risques. Cependant tant la nature des garanties, que leur montant et les primes sont très dépendants du niveau de prévention mis en place par l’entreprise. Il y a donc encore de grandes marges de progrès mais la route est ouverte.

 

Dominique d’Achon, directeur commercial de Cyberprotect 

Business Insurance Risk Management Summit : « Le fait qu’une entreprise va être attaquée est une réalité »

Bien qu’il n’y ait aucun moyen d’éliminer complètement le risque de violation de données et de cyber-attaques, il y a plusieurs mesures que les entreprises peuvent prendre  pour réduire les pertes financières liées à la perte d’exploitation et l‘affaiblissement de la réputation.

C’est ce qu’un panel d’expert a déclaré lors du 3ème « Business Insurance Risk Management Summit » qui vient de se dérouler  à New-York.

Alan Brill, Senior Security Manager chez Kroll, a précisé que le fait qu’une entreprise va être attaquée est une réalité, mais qu’un programme de gestion des risques bien conçu n’a pas nécessairement besoin d’être couteux ou complexe. Il y a des choses simples qui peuvent être faites et qui vont élever significativement le niveau de sécurité.

Pourquoi les assureurs s’emparent du sujet de la cybercriminalité

Incontestablement, 2011 aura été l’année de la cybercriminalité et de sa large médiatisation. Dans ce contexte, les PME, les institutions et les grands groupes ont été largement victimes de ce fléau avec des attaques toujours plus complexes, ciblées et efficaces.

Thierry Lambert

Ainsi, les cyber-attaques sont l’un des 5 principaux risques globaux susceptibles d’influer sur la planète au cours des années à venir, telle est l’une des conclusions du dernier rapport annuel du Forum Economique Mondial (World Economic Forum). Pour formuler ses conclusions, l’organisation internationale a interrogé plus de 460 experts de l’industrie, du gouvernement, du milieu universitaire et de la société civile pour compiler son septième rapport « Global Risks ».

La notion de protection du patrimoine numérique et applicatif est donc un sujet pour tous et tend à s’imposer comme une priorité pour les Directions générales des entreprises. Ces dernières recherchent donc des solutions globales pour se prémunir des désagréments liés à la cybercriminalité. En ce sens, une réponse unifiée doit être proposée et répondre à des besoins techniques et assuranciels.

Conscients de ce besoin, les professionnels de l’assurance commencent à mettre en place de nouveaux dispositifs et tentent de proposer des offres innovantes. En effet, jusqu’alors nombre d’offres reposaient, par exemple, sur de simples questionnaires papier basiques et rapidement obsolètes. L’approche tend aujourd’hui à se professionnaliser et à s’industrialiser. Cette nouvelle opportunité est donc un véritable Eldorado pour les professionnels de l’assurance qui recherchent constamment à se différencier et à émerger sur des marchés de masse.

Et le marché n’est pas prêt de se tarir. Ainsi, selon la dernière étude de PricewaterhouseCoopers, 34 % des sondés ont signalé que leur entreprise avait été touchée par la fraude, soit une augmentation de 13 % depuis 2009. On notera également que les secteurs stratégiques, dont l’assurance et les télécommunications, comptent parmi les plus attaqués. Les compagnies d’assurance sont donc bien sensibilisées à cette tendance de fond.

Au-delà de ces éléments, les assureurs redoublent d’efforts pour expliquer à leurs clients les risques liés à la cybercriminalité. Un travail pédagogique massif est réalisé afin de leur permettre de mieux comprendre les risques encourus et de s’en prémunir en adoptant une approche globale de la problématique. Les assureurs doivent également sensibiliser les entreprises sur la nécessité de faire évoluer en continu leurs solutions de sécurité informatique pour rester les plus imperméables possible : gérer les risques, garantir la confidentialité des échanges, déployer des outils réellement adaptés à son organisation…

Les assureurs sont également très sensibles à une approche industrielle permettant aux entreprises de « monitorer » en continu la bonne santé de leur système d’information ; ce dispositif permettant d’être informé en temps réel des risques et de réagir rapidement afin de ne pas être victime d’une attaque. Au regard de ce dernier élément, l’on assiste donc à une réelle mutation des offres des assureurs qui souhaitent offrir une double garantie à leurs clients grâce à des contrats associant protection informatique et assurance. D’ores et déjà, de premières initiatives ont fait couler beaucoup d’encre sur le sujet.

Nous nous trouvons donc dans une nouvelle ère, où les assureurs ont bien pris conscience de la nécessité de couvrir de nouveaux risques. La cybercriminalité devrait donc être la préoccupation du moment dans le monde de l’assurance, qui va devoir réagir vite pour proposer des offres opérationnelles et éprouvées.

Thierry Lambert, Président/Fondateur de SDN International

Livre blanc sur les impacts financiers des cyber-attaques

L’Insurance Information Institute vient de publier un livre blanc intitulé «Social media, liability and insurance». Une partie est consacrée à la sécurité des systèmes d’information et aux cyber-assurances.

La cybersécurité et les pertes liées à la cybercriminalité sont une préoccupation croissante parmi les entreprises d’aujourd’hui. Il est rappelé que dans le rapport « Global Risks Report 2011 », le Forum Economique Mondial a identifié la cyber-sécurité comme l’un des cinq principaux risques à surveiller avec, entre autres, les défis démographiques, les armes de destruction massives.

Le livre blanc reprend une étude faite par Applied Research pour Symantec qui démontre que bien que les entreprises se concentrent sur une variété de risques commerciaux, incluant les catastrophes naturelles et le terrorisme, leur principale préoccupation semble être les cyber-attaques.
L’importance de la gestion des cyber-menaces augmente, 41% des répondants avouent que la cyber-sécurité est plus importante aujourd’hui qu’elle ne l’était il y un an.

82% des entreprises reconnaissent avoir subi des impacts sur l’activité dus à des cyber-attaques au cours de l’année précédente. Cela se traduit par l’arrêt d’exploitation (43%), les vols d’informations personnelles d’employés (20%) et les vols d’informations de propriété intellectuelle (19%).

Ces impacts se traduisent par des coûts monétaires dans 84% des cas. Les centres de coûts se concentrent autour de la perte de productivité, la perte de revenue, la perte de donnée, frais de communication dû à la perte d’image auprès des clients, fournisseurs, partenaires, etc… 20% des entreprises ont perdu plus de 195000 dollars à la suite d’une cyber-attaque.
Il est conclu que malgré le fait que le risque de la cybercriminalité est largement reconnu pour être pris au sérieux, la majorité des entreprises ne souscrivent pas à une police d’assurance couvrant ces évènements. Toutefois, il est rassurant de voir que cette tendance semble prendre une nouvelle tournure, les entreprises cherchent à gérer au mieux leurs pertes financières liées aux attaques informatique.

Retrouvez le livre blanc [ici]

Les risques informatiques dans le top 20 des préoccupations des dirigeants

L’indice de risque Lloyd 2011 est basé sur la perception de la menace par 500 dirigeants à travers le monde.

Les cyber-attaques apparaissent en 12ème position sur les 50 risques à couvrir (contre 20ème en 2009). La prise de conscience semble s’élargir. Ce risque atteint même le top 5 dans l’échantillon originaire d’Amérique du Nord.

On peut, toutefois, espérer une plus grande prise en considération de ce risque, car contrairement à des risques « classiques », il n’est pas propre à chaque région du globe. Le risque de subir une cyber-attaque est le même dans tout les pays, le contexte local a peu d’influence sur la menace.

Notons qu’une distinction est faite avec les risques informatiques non liés à des actes malveillants (19ème position).

Concernant l’Europe, les cyber-attaques et les risques informatiques se trouvent respectivement en 14ème et 18ème position.

Retour sur Septembre : Diginotar ou comment une cyber-attaque peut mettre en faillite une entreprise

Le tiers de confiance Néerlandais Diginotar, qui délivre des certificats SSL, a été la cible du hacker qui attaqua Comodo en Mars dernier. Au-delà du fait qu’un spécialiste de la sécurité se fasse pirater, c’est l’ensemble de la chaîne des tiers de confiance qui est remis en doute. Plusieurs dysfonctionnements dans la sécurité mise en place ont été pointé du doigt, peut-on faire confiance aux autres tiers ? C’est ce que Mozilla semble demander en souhaitant que les entités de certification soient auditées. C’est ainsi qu’on a appris que les mots de passe administrateur étaient trop faibles, des antivirus étaient absents des serveurs internes et que les logiciels n’étaient pas forcément à jour.

Dès l’annonce de l’attaque, les principaux navigateurs ont réagis en bloquant les certificats signés Diginotar. C’est ainsi que les internautes se voient refuser l’accès à des sites publics. Le gouvernement hollandais conseille même à ses administrés de délaisser les communications par internet pour revenir à un usage papier. On découvre ici une attaque ayant une cible mais impactant l’ensemble d’un pays. C’est ainsi que le gouvernement néerlandais a, par exemple, décidé de prolonger la date de déclaration d’impôt en ligne.

Devant le manque de perspective d’avenir, Diginotar  a été obligé de mettre la clé sous la porte. La mise en faillite par la société mère, Vasco, a été évoquée dès les premières semaines. Les conséquences financières sont catastrophiques pour Vasco qui a acquis Diginotar neuf mois auparavant pour 13.1M $, le prix des actions a chuté de plus de 30% en quelques semaines. L’estimation des pertes par Vasco sont entre 3.3M et 4.8M $. Ces dernières ne prennent pas en compte des réclamations potentielles que pourraient faire les organisations ayant subies des dommages collatéraux.

L’Institut Ponemon, dans son rapport annuel, annonce que le coût moyen dû à des pertes de données par un organisme est de 7.2M $. La cause principale étant la dégradation de l’image de l’entreprise. C’est précisément la cause de la faillite de Diginotar, il faut bien comprendre qu’un tiers de confiance est là pour assurer, entre deux parties, la légitimité d’un échange de données. Le tiers de confiance peut-être assimilé à un notaire qui garantie l’authenticité des échanges informatiques.

Notons qu’il s’agit de l’un des impacts économiques les plus importants suite à une attaque informatique. L’entreprise ne s’était pas préparée à une telle situation, pourtant, plus que n’importe quel autre organisme, les tiers de confiance doivent assurer leur prestation sans faux pas.