Gestion du risque cyber: un risque assurable?

Transcription

1 Gestion du cyber: un assurable? Conférence Afinege

2 Sommaire 1. Pour qu il y ait assurance il faut qu il y ait 2. Le cyber ou source de 3. Pour pouvoir payer il faut avoir un montant 4. Et demain? Page 1

3 Pour qu il y ait assurance il faut qu il y ait Concrêtement un, c est Source Objet de Conséquences Vulnérabilité Sévérité Exposition aux s Page 2

4 Le cyber, ou source de? Menace/ source de Objets de Data Conséquences Finances Vulnerabilité Responsabi lités Source Internes Hacking Risques physiques Motivation Détourneme nt de fonds Arnaque au Président Commercial Image de marque Outils Business Interruption Page 3

5 Pour pouvoir payer il faut un montant Un cas d école : Target Menace/ source de Combien? Sous traitant de Target: Qu est ce qui peut Surveillance à distance des systèmes de température et de climatisation être couvert par l assurance? Objets de Système de facturation externe de Target Environ 10 milliards de dollars Terminaux de paiement Vol de 40 millions de données bancaires et 70 millions de données personnelles Conséquences Frais de remboursement des sommes détournées Amendes, class actions Coût d expertise, de notification, de Crédit monitoring Réputation Perte de clientèle Démission du président; licenciement du directeur financier et du RSSI Page 4

6 Pour pouvoir payer il faut un montant Il faut donc anticiper Menace/ source de Objets de Conséquences Identifier et analyser le Quantifier et réduire le Financer et transférer le Page 5

7 Pour pouvoir payer il faut un montant Il faut donc anticiper Cartographie des s Quantification des s opérationnels: définition de scénarios majorants compte tenu des moyens de mitigation des s en place. Exposition résiduelle compte tenu de l optimisation des moyens de mitigation. Optimisation du financement du Page 6

8 Pour pouvoir payer il faut un montant L assurance en dernière étape Menace/ source de Objets de Conséquences Identifier et analyser le Quantifier et réduire le Financer et transférer le Autofinancement Transfert Severité Cyber assurance: Property Liability Fraud Captive 1. Analyse des vulnérabilités du système d information avec les équipes client: vulnérabilité des données, intégration et évolution des systèmes, moyens de communication; prise en compte de la législation locale 2. Evaluation financière des scénarios d exposition moyens et maximum 3. Définition et priorisation du plan de traitement 4. Financement du résiduel évalué pour la captive 5. Risque résiduel assuré Page 7 Excess Vulnérabilité

9 Pour pouvoir payer il faut un montant L assurance en dernière étape Menace/ source de Objets de Conséquences Identifier et analyser le Quantifier et réduire le Financer et transférer le Autofinancement Transfert Page 8

10 Les études EY Please visit our Insights on governance, risk and compliance series at ey.com/grcinsights Get ahead of cybercrime: EY s Global Information Security Survey Security Operations Centers: - helping you get ahead of cybercrime Cyber threat intelligence: how to get ahead of cybercrime Cyber program management: identifying ways to get ahead of cybercrime Privacy trends 2014: privacy protection in the age of technology Maximizing the value of a data protection program Identity and access management: beyond compliance Building trust in the cloud: creating confidence in your cloud ecosystem Big data: changing the way businesses compete and operate Page 9 Achieving resilience in the cyber ecosystem

11 Gisèle Ducrot Senior Manager/ Advisory Ernst & Young Tour First 1 Place des Saisons Courbevoie Office: +33 (0) Mob: +33 (0) gisele.ducrot@fr.ey.com Website: Propriété d EY Confidentiel Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l établir et des commentaires oraux qui l accompagnent.