Atelier C11. Cybercriminalité et enjeux économiques

Transcription

1 Atelier C11 Cybercriminalité et enjeux économiques

2 Atelier C11 Intervenants Gérôme BILLOIS Alain BOUILLE Senior Manager Président Anne MAGNAN-LEROYER Directeur Adjoint de la Direction Technique Responsabilité Civile et Lignes Financières Clotilde ZUCCHI Directeur Marchés Français International Financial Lines Modérateur Fabrice MORGAUT Insurance & Risk Manager

3 SOMMAIRE

4 SOMMAIRE 1. Le terrain de jeu numérique et la protection du patrimoine 2. Profilage des cybercriminels et les tendances 3. Que se passe-t-il aujourd hui dans les entreprises? Anticipation / Protection / Détection / Réaction Implication dans les entreprises françaises 4. Le risque de cybercriminalité est-il assurable? L événement assurable La prévention Nature des préjudices Valorisation économique pour l entreprise Nature des préjudices et impacts pour les organisations Le marché de cyberassurance (capacités, montages, ) La prévention 5. Les initiatives et le rôle de l état Zoom sur les OIV

5 La dernière séance du jeudi

6 Le terrain de jeu numérique et la protection du patrimoine

7 1.1 Un terrain de jeu numérique en pleine croissance La transformation numérique Ouverture du système d information Mobilité, nouveaux usages métiers Renforcement du «Power to the customer»

8 1.2 Un patrimoine informationnel de plus en plus difficile à maitriser Partenariats, outsourcing «Shadow IT» & Cloud «Time to market»

9 Profilage des cybercriminels et tendances

10 2. Profilage des menaces Lizard Squad Anonymous Middle East Cyber Army Rex Mundi Hacktivistes Cybercaliphate Cryptolocker / Op. Tovar Groupes criminels Etats Syrian Electronic Army ATM Cyberheist Zeus bot Menace interne Iran Corée du Nord Etats-Unis et autres services de renseignement Prestataire Corée du Sud : équipe anti-fraude

11 2. Les raisons de la croissance de la cybercriminalité 1 GAINS IMPORTANTS 2 RISQUES FAIBLES 3 EXPERTISE ACCESSIBLE 4 CIBLES DE + EN + NOMBREUSES

12 2. Un exemple concret de gain pour les cybercriminels sept 2013 nov 2013 déc déc jan mai 2014 Vol des droits d accès depuis Fazio Mechanical Services et intrusion dans le SI de Target Intrusion dans le SI Target. Déploiement du malware BlackPOS, début de l exfiltration de données vers la Russie Installation de mises à jour du malware d exfiltration (persistance de l intrusion). Premières alertes remontées par les outils sécurité de Target non prises en compte Première notification à Target par le département de justice 40 millions de données bancaires & CB volées. Fuite sur Internet confirmée par Target du vol de 70 millions de données clients. Annonce de la démission du PDG Gregg Steinhafel après 35 ans au sein de Target. Gain pour les hackers 53,7 millions de dollars Revente de 2 millions de carte sur les 40 millions dérobés Sans compter les reventes inconnues des données à caractère personnel (70 millions) Impacts avérés pour Target Perte estimée à plusieurs centaines de millions de dollars, recul de l action, dépassement des d assurance Recul de 46% du bénéfice net sur la période nov-janv Image dégradée et démission du CEO Suites judiciaires en cours (clients, régulateur, certificateurs ).

13 Que se passe-t-il aujourd hui dans les entreprises?

14 3. Lutter contre la cybercriminalité, c est ANTICIPER PROTEGER DETECTER & REAGIR S AMELIORER

15 3. La France, autant concernée que les autres pays (enquête CESIN-PROVADYS) Qu est-ce qu une cyber-attaque? Agression utilisant / affectant le SI et visant à provoquer des perturbations aux conditions de fonctionnement nominal de l entreprise ou de ses ressources

16 3. La France, autant concernée que les autres pays (enquête CESIN-PROVADYS)

17 3. La France, autant concernée que les autres pays (enquête CESIN-PROVADYS) Thème 1 : focus sur la préparation Les entreprises sondées ont conscience de leurs vulnérabilités et faiblesses face au scénario de cyberattaque : - 52% ont été affectées au moins une fois par une crise de cyber-attaque - Seulement 11% d entre elles ne se considèrent pas comme une cible d attaque Les entreprises sont, dans la théorie, préparées au risque de cyber-attaque : - 60% intègrent ce scénario dans leur processus de gestion de crise - 62% mettent en place des moyens spécifiques / dédiés à la prise en compte de ces menaces - 96% réalisent des tests de pénétration / d intrusion sur leurs sites les plus sensibles - 81% intègrent dans ces tests le scénario de cyber-attaque Cependant, elles manquent de maturité face à cette thématique : - 71% ne disposent pas d une cartographie SI organisée selon le niveau d exposition au risque de cyber-attaque - 63% ne connaissent pas les plans de réponse à une cyber-attaque de leurs fournisseurs de services essentiels - 49% ne réalisent pas de suivi et de mise à jour régulière de leur niveau d exposition au risque de cyber-attaque

18 3. La France, autant concernée que les autres pays (enquête CESIN-PROVADYS) Thème 2 : focus sur les capacités de détection Les entreprises disposent aujourd hui d outils techniques de détection : 41% ont mis en place au moins deux outils orientés détection des attaques Cependant, ces outils ne sont pas régulièrement réévalués en termes d efficacité et ne gagnent donc pas suffisamment en maturité : - 46% réalisent des audits ou des revues tous les ans (17% tous les 6 mois) - 32% réalisent des investigations sur toutes les anomalies détectées (dans le cadre de la surveillance opérationnelle de la sécurité de leur SI) - 43% ne réévaluent pas leurs moyens de détection des incidents de type cyber-attaque Enfin, les utilisateurs ne sont, à leur niveau, pas suffisamment impliqués : - 53% des entreprises, ne disposent pas de moyens de détection et/ou de remontée d alerte au niveau utilisateurs

19 3. La France, autant concernée que les autres pays (enquête CESIN-PROVADYS) Thème 3 : focus sur les capacités de réaction D un point de vue ressources humaines, les entreprises ne sont pas suffisamment matures dans leurs moyens de réaction : - 83% ne disposent pas d équipe dédiée et/ou en charge du traitement des incidents de type cyber-attaque - 60% ne disposent pas de cellule et/ou d outils de veille dédiés à la cyber-attaque - 47% ne disposent pas d experts spécialisés dans le traitement d une cyber-attaque D un point de vue pratique : - 58% ne définissent pas de processus et/ou de moyen de notification en cas de cyber-attaque Enfin, pour les entreprises disposant de moyens de réaction : - 45% ne procèdent pas à une réévaluation de leurs moyens de réaction face à une cyber-attaque

20 3. La France, autant concernée que les autres pays (enquête CESIN-PROVADYS) Thème 4 : focus sur les capacités de récupération Au sein des entreprises, la probabilité d occurrence d une agression de type cyber-attaque très élevée à moyen terme pourtant : - 32% ne disposent pas d outils permettant la traçabilité, l enregistrement, la collecte des traces et preuves de l agression détectée - 59% ne définissent pas de processus permettant de prendre en compte les aspects juridique et assurance suite à une cyber-attaque Cependant : - 62% disposent de moyens d analyse post-mortem des incidents de sécurité - 46% des entreprises disposant de moyens de récupération procèdent à une réévaluation régulière de leurs moyens de récupération suite à une cyber-attaque

21 3. La France, autant concernée que les autres pays (enquête CESIN-PROVADYS) Thème 5 : la sensibilisation au sein de l entreprise Bien qu en théorie préparées aux crises de type cyber-attaque, les entreprises n y sont pas suffisamment entrainées : - 72% ne réalisent pas d exercice de crise avec un scénario de cyber-attaque - 59% n ont pas prévu de réaliser un exercice de crise avec un scénario de cyber-attaque Cependant, 61% des entreprises réalisent des campagnes de sensibilisation auprès des collaborateurs intégrant la notion de cyber-attaque bien que 20% d entre elles déclarent ne pas impliquer leurs collaborateurs dans les plans de réactions aux cyber-attaques définis

22 3. La France, autant concernée que les autres pays (enquête CESIN-PROVADYS) Synthèse globale Les entreprises sont aujourd hui conscientes de la réalité du risque de cyber-attaque. Elles l ont intégré dans leur phases amont de réflexion. Néanmoins, elles manquent de préparation concrète pour faire face à l occurrence d une cyberattaque Au-delà des moyens techniques qui sont pour la plupart en place les entreprises doivent encore entrainer leur organisation à faire face à une situation qui au fil des ans est passée du statut de «possibilité technique» à «quasicertitude statistique» Les entreprises ont connaissance des actions qu elles ont à mener mais pour autant ne se préparent pas suffisamment à les mettre en œuvre Le cycle PDCA est bien compris en théorie mais n est pas (encore) appliqué à la gestion des cyber-attaques (surtout pour les phases vérification et action) Enfin, sans entrainement et sans un niveau de maturité suffisant des processus (détection / réaction / récupération) il sera difficile pour les entreprises d envisager la RESILIENCE

23 3. Une posture à faire évoluer Du château-fort A l aéroport! Historiquement, la protection Aujourd hui, la nécessité d une meilleure détection/réaction

24 Les points clés Des terrains nouveaux à adresser La sécurité du digital chez les métiers L intégration de la sécurité dans les applications Des actions de prévention Des nouveaux projets à initier

25 Le risque de cybercriminalité et l assurance

26 Le risque de cybercriminalité est-il assurable? L ASSURANCE : LES SOLUTIONS & SES LIMITES Comment l assurance peut-elle intervenir en soutien des risques liés à la cybercriminalité, pour toutes les entreprises dont les OIV. L assurance peut et doit-elle être l unique solution? Quelles en sont ses limites? Comment l assureur et le courtier peuvent-ils accompagner leurs assurés?

27 4.1 Profilage des cyberassurables Les motivations à l acte d achat : - Les entreprises venant de subir un sinistre, - Celles qui sont mal garanties par leurs contrats traditionnels, - Celle dont la Corporate governance intègre pleinement le risque Cyber, - Les entreprises dites matures en matière de risques Cyber, - Celles ayant un intérêt financier, - Celles qui se le voient imposer par leurs donneurs d ordre, -

28 4.2 L événement assurable A. L Aléa - Niveaux de sécurisation des systèmes - Négligence de la direction - Obsolescence des SI B. Les Causes assurables par les polices Cyber dans le cadre de la CyberCriminalité - L atteinte aux données données, - L atteinte à la sécurité du système, - Guerre, sabotage, terrorisme

29 4.3 Nature et Valorisation du préjudice A. Les préjudices directement liés à un sinistre Cyber - Les dommages quantifiables : reconstitution de données, perte d exploitation, frais supplémentaires, réclamation de tiers lésés, dommages matériels ou corporels, - Les dommages difficilement quantifiables Perte d avantage concurrentiel Perte de marché et impacts sur la compétitivité Perte d image et atteinte à la réputation Atteinte au cours de bourse (quel serait-il si la crise n était pas intervenue?) Valeur d une donnée (culture/pays/génération/ «fraicheur»/etc)

30 4.3 La Valorisation du Préjudice B. Les dommages collatéraux et l effet boule de neige - De fortes interdépendances, - Des dommages pouvant activer des Polices traditionnelles (RC, PDBI, Fraude, etc ) - Risque d accumulation - une modélisation difficile Source : Swiss Re Gearing up for cyber risk

31 4.4 Enjeux économiques Sévérité des sinistres «pertes de données» Size of breaches ranged from 2,415 records to 102,000 Source: Ponemon 2014 Global Cost of a Data Breach Average number of breached records 23,000

32 4.4 Enjeux économiques Etude de cas de sinistres «pertes de données» (Study in $US) AVERAGES 2011 Findings (117 claims studied) 2012 Findings (137 claims studied) 2013 Findings (140 claims studied) Total Claim Payouts by Type of Cost: # of Records Exposed 1.7 Million 1.4 Million 2.3 Million Cost per Claim $2,400,000 $3,700,000 $3,500,000 Legal Defense $500,000 $600,000 $574,984 Legal Settlement $1,000,000 $2,100,000 $258,099 Crisis Services: $800,000 $1,000,000 $737,473 Forensics $170,000 $341,000 $104,740 Notification $201,000 $180,000 $126,703 Call Center $15,000 $50,000 (Not broken out) Credit Monitoring $253,000 $345,000 $55,865 Legal Counsel $242,000 $66,000 $29,225 Source: NetDiligence Annual Cyber Liability & Data Breach Insurance Claims: A Study of Actual Claim Payouts

33 4.4 Retour sur 2014, «Annus horribilis»

34 4.4 Sony Pictures : des impacts sur toutes les dimensions de l entreprise Employés Révélation d informations personnelles de employés dont des dossiers médicaux Lancement de class-actions Dirigeants Révélation des salaires et polémique rémunération Perte financière Mise en ligne de 5 films inédits (19% de perte par film ) Coûts liés à la résolution de l incident Juridique Accès aux dossier en cours Poursuites potentielles SI de Sony Réseaux sociaux Perte de contrôle des comptes : Twitter Facebook Écosystème Révélations d informations personnelles et sensibles sur des acteurs employés par le studio révélées SI de Sony + de 8 semaines d interruptions Révélation d informations techniques Concurrence Divulgation d informations stratégiques Contrats et négociations révélés

35 4.5 Des impacts directs de gestion de crise déjà très conséquents Plus de 100 M Quelques dizaine de millions d euros - - Coûts directs de gestion de crise Attaque ciblée de large ampleur Intrusion web Avec vol de données à caractère personnel et notification/poursuite Attaque DDOS Quelques dizaines de k - Intrusion web Hors vol données à caractère personnel Défacement web Durée totale de l incident

36 4.6 Le marché de l Assurance et son organisation Création du marché Les US, puis les Loyds et le marché continental européen Création d un portefeuille - L innovation et l écoute clients - La compréhension du risque et l approche technique - La tarification - L influence sur l évolution du marché

37 4.6 L offre d Assurance face aux risques Cyber 1. Les garanties des polices traditionnelles (RC, PDBI, PI, Fraude, etc) - Exclusions - Évolution législative ou jurisprudentielle - En France, mais ailleurs (US notamment)... irremplaçables Cyber PDBI RC Fraude

38 4.6 L offre d Assurance face aux risques Cyber 2. Les garanties des polices cyber

39 4.6 L offre des assureurs en cas de situation de «crise» Assistance Téléphonique : Mise à la disposition d une hotline permettant de répondre aux appels des personnes victimes de pertes de données Les Frais de consultants juridiques Les Frais de Notification et de communication aidant le client à collecter les informations et préparer la communication aux autorités et aux personnes ayant souffert de la perte de données Mesure d Urgence : intervention de spécialiste immédiatement Pertes de données et/ou failles du système de sécurité informatique Credit monitoring : permettant le contrôle de l utilisation frauduleuse des données Les honoraires des consultants en sécurité informatique afin d aider le client à déterminer la faille informatique, ses conséquences et l étendue de la violation Mise à la disposition de consultant en relations publiques afin de déterminer avec le client de la stratégie à mettre en place en cas de révélation publique de l atteinte aux données endommageant sa réputation

40 4.6 L offre d Assurance face aux risques Cyber Les garanties : Les limites de l offre - Sanctions pénales - Perte d image - Perte de compétitivité ou perte de marché - Perte de valeur de l entreprise - La valeur de la donnée - L amélioration du niveau de sécurité - Les coûts de ré-architecture des réseaux - Etc

41 4.6 Les capacités du marché d Assurance Cyber Le marché européen et les Lloyds : - Capacité mondiale estimée : 355 m - Une capacité insuffisante? - Maitrise des engagements par les assureurs et réassureurs - Encaissement mondial 2014 : 2,5 bn$ (Vs 2 bn$ en 2013)

42 4.6 Optimisation des capacités et des garanties CYBER "Umbrella" Programme Cyber : Montage en lignes Coassurance Total follow form (y/c Marché de Londres Extension à des garanties de dommages (umbrella) Polices locales Cyber "Primary" Dommages matériels (option)

43 4.7 L implication de l assuré dans le risque Toute l entreprise est concernée Les facultés de résilience de l entreprise avec une bonne gestion de crise La rétention du risque par l assuré

44 La nécessaire implication de tous les acteurs Direction générale Métiers et Chief Digital Officer Juridique, communication Sureté DSI et équipes opérationnelles Risk Management, assurance et crise RSSI

45 8 conseils pour une bonne gestion de crise face à une attaque ciblée Prendre du recul face aux incidents unitaires Anticiper dès maintenant une crise au long cours Mobiliser les métiers Éviter le phénomène de la pyramide inversée Mettre en place une organisation miroir à celle des attaquants $ Penser des solutions SI dégradées indépendantes Se doter de compétences forensics Prévoir les interactions externes

46 4.7 L implication de l assuré dans le risque La rétention du risque (les stratégies de transfert) Les captives : Seul 1% des «propriétaires» de captive, implique leur captive dans le risque Cyber.

47 Les initiatives et le rôle de l état (Zoom sur les OIV)

48 Zoom sur les OIV Protection de l État et des opérateurs d importance vitale Projet de loi de programmation militaire (décrets/arrêtés à venir) Directive européenne NIS (en projet) Des points qui seront adaptés par secteur et via des décrets / arrêtés : Mise en place des règles et d audit Notification des incidents de sécurité Recours à des produits/prestations qualifiées Support et capacité d intervention des autorités en cas d incident Capacité de réaction des autorités «Neutralisation de serveurs» 27 juin 2013

49 Et l Etat dans tout ça? - Faut-il laisser les assureurs seuls face aux enjeux économiques et sécuritaires? - Vers un «Gareat» du risque Cyber?

50 Questions/ Réponses

51 Sécurisation des données

52 Nouvelles technologies

53 Citation «Le problème avec les citations sur Internet, c est qu il est très difficile de savoir si elles sont authentiques.» Napoléon Bonaparte

54 Questions/ Réponses

55 Une thématique «cyber» traitée de manière transverse Les sessions plénières A05 B08 C11 Protection des données : une histoire sans fin? Quelles sont les données et images de clients ou de tout tiers, y compris salariés, à protéger des divulgations intempestives? Pouvons-nous prévenir et scénariser des attaques potentielles? Quelles sont les nouvelles obligations de la CNIL? Les audits de données sont-ils utiles? Quelles sont les couvertures d'assurances applicables? Sont-elles efficaces et suffisantes? Quelles sont les responsabilités encourues par les contrevenants? Par les entreprises et leurs dirigeants? Nouvelles technologies : nouvelles fraudes? Les nouveaux moyens de paiement sans contact, l'inscription de données personnelles sans contrôle, la multiplication des échanges sur le net favorisent la perte et l'utilisation de fausse identité: comment détecter et caractériser ces nouveaux risques? Existe-t-il des actions de traitement adéquates (contrôle interne, crise, assurance)? Les assureurs se-sont-ils impliqués sur le sujet? Que proposent-ils? Quels impacts pour les banques? Cybercriminalité et enjeux économiques Ça n arrive pas qu aux autres! De nombreuses sociétés ont déjà été touchées par une cyber-attaque de grande ampleur (Morgan Chase, Target, Ebay, Domino s pizza, ) Quel est le profil de ces cybercriminels? Et quelles sont leurs motivations? Quels sont les principaux impacts? Comment analyser ce risque, l anticiper, s en protéger, et réagir efficacement? Et ce risque est-il assurable, ne serait-ce qu en partie, en France et à l étranger?

56 Pour aller plus loin Nouveau Cahier Technique disponible en ligne :

57 Merci. Les slides seront en ligne dès la semaine prochaine sur