Gestion des cyber-risques

Transcription

1 Aon Risk Solutions Gestion des cyber-risques Investir dans la sécurité et la continuité Risk. Reinsurance. Human Resources.

2 Cyber Risk Practice Group Aon apporte son aide à l établissement d un inventaire de vos cyber-risques et vous offre un aperçu de l impact financier de ces risques ainsi que des conseils sur des mesures de gestion efficaces. En ce qui concerne les risques que vous ne souhaitez ou ne pouvez vous-même supporter, nous vous aidons également à trouver une assurance adéquate. Notre Cyber Risk Practice Group (Groupe de pratique en matière de cyber-risques) est spécialisé dans la gestion de ces risques et, depuis plus de dix ans, formule des conseils dans le monde entier en matière de cyberrisques.

3 Depuis plus de dix ans, Aon formule des conseils dans le domaine des cyber-risques L automatisation, la numérisation et les tendances qui y sont liées, telles que les médias sociaux, la communication mobile et le cloud computing (l informatique en nuage), revêtent une grande importance pour un nombre croissant d entreprises. Est-ce également le cas de la vôtre? Dans ce cas, connaissez-vous l importance des risques qui y sont liés? Savezvous quels dommages peuvent entraîner le nonfonctionnement de certains systèmes, la perte de certaines données importantes du fait d une perturbation informatique, d une perturbation du système ou d une intrusion numérique? Augmentation des incidents En Belgique, le coût de la cybercriminalité est estimé à 3,5 milliards d euros, soit plus de 1% du produit intérieur brut. Entre janvier et juin 2014, CERT.be a reçu plus de notifications d ordinateurs infectés en Belgique. L équipe a également reçu, au cours du même semestre, en moyenne 614 avis d incidents cybernétiques par mois, soit 80% de plus qu en (Source : Communiqué de presse du CERT, Cyber Security Coalition 20/10/2014). Les résultats d une enquête d Aon (Source : Exploring the Latest Cyber Risk Trends in EMEA Aon cyber Diagnostic Tool, septembre 2014) ont montré que dans certains pays de l EMEA, un grand pourcentage d entreprises ont été confrontées à une violation des données ou à une grave perturbation technique au cours des 12 mois précédents. Des pays tels que le Royaume-Uni, la Belgique, l Espagne, la France et l Italie comptent le plus grand nombre de violations ou de problèmes techniques, tandis que la moyenne mondiale est d une entreprise sur trois. Dans le monde entier, on constate une augmentation du nombre d incidents avec les réseaux numériques et les systèmes ICT (TIC). De tels incidents peuvent être très préjudiciables pour les organisations et peuvent menacer la survie des entreprises. Les assurances traditionnelles n offrent pas de couverture ou offrent une couverture insuffisante mais des «cyber-assurances» sont apparues entre-temps, vous permettant d assurer des risques tels qu une perturbation du système et les frais en cas de responsabilité ou de perte de données. Analyse Il ressort d une enquête de la FEB que 66% des entreprises interrogées n ont pas une vision complète de toutes les implications d une approche sérieuse et efficace de la sécurité cybernétique. Plus de 75% ne s y retrouvent pas dans la réglementation et les instances compétentes. (Source : Communiqué de presse du CERT, Cyber Security Coalition 20/10/2014). Avant que vous ne cherchiez des solutions d assurance, il est important d analyser quels sont les cyber-risques que court votre organisation et ce que vous pouvez faire pour rendre ces risques gérables. En effet, une assurance ne constitue pas une alternative à une bonne gestion des risques. Chez Aon, nous commençons toujours par inventorier les risques et leur impact financier. Nous vous conseillons également sur des mesures de gestion efficaces. Ensuite, nous vous accompagnons dans la recherche d une assurance adéquate. Gestion des cyber-risques Cette brochure vous indique ce qu Aon peut faire pour vous sur le plan des cyber-risques. Vous avez des questions? Prenez donc contact avec notre «Aon Cyber Risk Practice Group». Nous serons heureux de vous aider. Nos conseillers en matière de risques sont spécialisés dans la gestion des cyber-risques et, depuis plus de dix ans déjà, formulent des conseils sur les cyberrisques et sur les questions de continuité qui y sont liées.

4 Les systèmes d information sont vulnérables Causes Incidents Tentative délibérée Intention frauduleuse Collaborateur Tiers Caractéristiques Fuites de données Virus, Malware etc. Chantage cybernétique Usurpation d identité Accès non autorisé Perturbations du système Destruction d informations Vol Calomnie et diffamation Violation de la vie privée Perte et abus d IP Conséquences Avis de fuite de données Perturbations du système Enquête Dommages des données numériques Chantage Responsabilité légale envers les clients, les fournisseurs Besoin de conseil juridique, RP et communication Arrêt de l activité Réponse aux incidents, gestion de crise Résultats Frais de reconstruction et de notification Frais d assistance juridique, plaintes, gestion de crise Amendes Augmentation des frais de conformité Frais de remplacement Perte de confiance (du client) Impact sur le cours de la bourse Atteinte à la marque et à la réputation Ces dernières années, il est apparu de plus en plus clairement que les systèmes ICT (TIC) et les installations informatiques des entreprises et des organisations sont fragiles. Même avec un bon réglage du dispositif de sécurité, aucune entreprise n est à l abri des risques qui relèvent de l utilisation des systèmes et réseaux informatiques. La menace peut venir de l extérieur mais aussi de l intérieur. Vous pouvez vous trouver confronté à une perturbation du système, à une effraction ou à une perte d exploitation. Que sont les cyber-risques? Il s agit des risques en relation avec l automatisation et la numérisation des entreprises et des organisations. Le concept de «cybernétique» indique qu il s agit de l utilisation des réseaux et des systèmes informatiques. Les cyber-risques peuvent dès lors être décrits comme étant les conséquences négatives de l utilisation des réseaux et des systèmes informatiques. Ces conséquences se traduisent pour les organisations par une interruption de l activité de l entreprise ou la perte de la confidentialité, de la fiabilité ou de la disponibilité des informations. Il peut en résulter un préjudice financier tant pour l organisation elle-même que du fait des actions en responsabilité engagées par des tiers. Préjudice Il peut s agir d un préjudice résultant de perturbations du système d exploitation, mais aussi d une perte de données, d une responsabilité et de la cybercriminalité due à un hacking (piratage), une intrusion dans le système et un vol de données et d attaques par DDoS (déni de service). Les conséquences pour l entreprise peuvent être des coûts supplémentaires pour la reconstitution des données et la notification, la perte d exploitation, la responsabilité, des amendes et l atteinte à la réputation. Spécialisation La gestion des cyber-risques est la discipline qui s attache à maîtriser les risques informatiques. Les organisations dans lesquelles la gestion des risques constitue une discipline à part entière ont souvent déjà repris les cyber-risques dans leur gestion des risques. Il s agit en l occurrence d identifier et de quantifier les risques ainsi que de déterminer des mesures appropriées de gestion. Aon s est spécialisée dans ce domaine et veille à ce que vous puissiez gérer les cyber-risques qui constituent une menace. Nous vous offrons un aperçu des conséquences éventuelles des menaces externes, des vulnérabilités internes et des mesures de gestion existantes. Nous vous conseillons ensuite sur les solutions adéquates en matière d assurance.

5

6 À quel point vos systèmes et données sont-ils sûrs? Savez-vous quels systèmes d information et de données sont cruciaux pour le fonctionnement de votre entreprise? Avezvous une idée des conséquences financières si des données, des systèmes ou des appareils ne sont pas disponibles à court ou plus long terme? Connaissez-vous les conséquences de données confidentielles qui tomberaient entre de mauvaises mains? En d autres termes : savez-vous quelles peuvent être les conséquences si la fiabilité, la confidentialité et la disponibilité de vos données ou celles de vos relations d affaires sont insuffisamment protégées dans votre organisation? Incidents Ces dernières années, le nombre d incidents relatifs à des informations mal protégées connaît une forte augmentation. Cela est non seulement lié à la forte augmentation de l utilisation des technologies de l information et de la communication (ICT-TIC) mais aussi à un nouveau type de criminalité qui s attaque aux points faibles de la technologie. Au cours des prochaines années, l utilisation des TIC et la dépendance à celles-ci ne feront que croître. Le défi consiste à équilibrer les avantages et les inconvénients de cette utilisation croissante. À quoi devez-vous prêter de l attention? Aon dispose d une large expérience en matière de conseil sur les cyber-risques. Nous savons quand les organisations doivent tenir compte de ces risques. Dans les cas mentionnés ci-dessous, les entreprises et les organisations doivent redoubler d attention. Lorsque des données à caractère personnel sont collectées, conservées, traitées ou stockées. Lorsque l organisation est fortement dépendante des processus électroniques ou des réseaux informatiques. Lorsque l organisation, pour ses activités, collabore de manière intensive avec des fournisseurs, des prestataires de services et autres tiers. Lorsque l organisation doit respecter des dispositions légales dans le domaine des données, de la protection de la vie privée ou de la sécurité des systèmes. Lorsqu il existe une préoccupation en matière de préjudice matériel pouvant résulter de la cybercriminalité, de l espionnage d entreprise et d une perturbation du système. Lorsque les collaborateurs n ont pas une formation suffisante ou ne sont pas suffisamment préparés à des incidents en rapport avec les cyber-risques. Lorsque votre organisation a établi qu elle ne veut ou ne peut supporter elle-même les risques éventuels.

7 Aon Cyber Risk Diagnostic Tool Dressez l inventaire des cyber-risques dans votre organisation. Souhaitez-vous avoir un aperçu des cyber-risques au sein de votre organisation et souhaitez-vous connaître les conséquences éventuelles des cyber-attaques? Souhaitez-vous dans le même temps sensibiliser votre organisation aux cyber-risques? Utilisez dans ce cas le Cyber Risk Diagnostic Tool d Aon. Ce dernier vous permettra d inventorier sans peine ces risques au sein de votre organisation. L outil est très simple à utiliser : sur la base de questions à choix multiple, vous établissez un inventaire de l utilisation des technologies par vos collaborateurs, la structure de contrôle et la position de la direction sur les cyber-risques. À l œuvre Vous pouvez directement vous mettre à l œuvre avec l outil de diagnostic des cyber-risques d Aon. Rendez-vous sur le site com/fr/ et répondez au questionnaire. Après avoir rempli ce questionnaire, vous obtiendrez un rapport directement. Une clarté directe Après avoir répondu aux questions, vous recevrez directement un rapport qui pourra servir de base pour la gestion des cyber-risques. A l aide de ce rapport, il vous sera possible d établir clairement, au niveau interne, quels sont les risques présents dans votre organisation et quelles sont les conséquences de ces risques. Ainsi pourrez-vous placer ce thème en haut de l agenda au niveau interne. Avantages L outil de diagnostic des cyber-risques d Aon est gratuit. Répondre aux questions à choix multiple ne vous prendra qu une dizaine de minutes. Vous recevez directement un rapport. Le profil de cyber-risques de votre organisation apparaît visuellement Les profils en matière de cyber-risques sont répartis par domaine de risques. Vous recevez des conseils pratiques pour la gestion des cyber-risques au sein de votre organisation. Règlement de l UE sur la protection de la vie privée L outil de diagnostic des cyber-risques d Aon répond également à la nouvelle législation européenne en matière de cyber-risques. Le règlement de l UE sur la protection de la vie privée en constitue un exemple. Celui-ci devrait entrer en vigueur en 2015, avec une période de 24 mois pour sa mise en œuvre. Il peut en résulter des conséquences pour vous. Des exigences plus strictes sont établies en matière de protection des informations et de protection des données personnelles. C est ainsi qu une obligation de notification a notamment été introduite pour les fuites de données. L UE impose également des sanctions sévères lorsque les organisations se montrent négligentes en matière de protection des données à caractère personnel.

8 Aperçu de l impact financier des cyber-risques Souhaitez-vous savoir à quels cyber-risques s expose votre organisation? Et souhaitez-vous savoir comment vous pouvez vous prémunir contre de tels risques? Avant de rechercher des solutions d assurance, il est important d analyser ce que vous pouvez faire pour rendre ces risques gérables. Ce qu Aon fait pour vous Identifier les cyber-risques. Donner des informations concrètes sur l impact financier des cyber-risques. Conseiller sur la gestion et la lutte contre les cyber-risques. Former et instruire les collaborateurs. Bien vous assurer contre les conséquences des cyber-risques. Un conseil en quatre étapes Aon entame un processus de conseil permettant d inventorier les cyber-risques de l entreprise. Les étapes suivantes ont été établies à cet effet. Étape 1. Aon détermine d abord avec le client ce qui peut arriver de fâcheux. De la sorte, il apparaît clairement quelles activités et quelles ressources de l entreprise sont vulnérables et quels cyber-risques en sont (peuvent en être) à la base. Étape 2. Ensuite est établie une base quantitative des conséquences financières de ces risques. Cela permet d attribuer une certaine priorité aux risques et scénarios de préjudices potentiels. Grâce à cette base, il est également possible d examiner la préparation aux risques et la capacité financière d une organisation. Étape 3. Cette analyse des risques sert de base pour l évaluation des mesures de gestion actuelles et de la maturité de l organisation de la gestion des risques. Cette analyse permet 1. Évaluation des risques Qualifier Que peut-il se passer de fâcheux? de voir où se situe une organisation par rapport à la protection exigée ou souhaitée. Quantifier 2. Quantifier le scénario Quelles sont les conséquences financières? 3. Rendre les risques gérables Comment suis-je protégé? Étape 4. Sur la base des étapes précédentes apparaît une vision claire de l assurabilité des cyberrisques identifiés dans le cadre des assurances actuelles et des assurances futures éventuelles. Gérer Examen des risques assurables 4. Reporter les risques Mon assurance interviendra-t-elle?

9 Votre organisation devient plus résistante Aon veille à ce que votre organisation soit au courant des cyber-risques qu elle court. Nous dressons l inventaire des conséquences éventuelles des menaces externes, des vulnérabilités internes et des mesures de gestion existantes. Sur cette base, nous vous conseillons sur les mesures que vous pouvez prendre afin de pouvoir mieux gérer vos risques. Nos conseils sont établis sur mesure. Nous appliquons une approche intégrée, avec des conseils en matière de risques et une formation. Si vous le souhaitez, nous veillons également à déterminer une assurance adéquate qui couvre les risques que vous ne pouvez ou ne souhaitez pas supporter vous-même. Aon élabore une assurance sur mesure grâce à laquelle les cyber-risques les plus importants sont couverts. La couverture choisie concerne aussi bien les éventuels risques en matière de responsabilité que les frais propres auxquels votre entreprise peut se trouver confrontée en cas de sinistre Capacité de résistance La gestion des cyber-risques d Aon apporte une cohérence dans vos activités sur le plan de la sécurité, de la gestion des risques et de la continuité. Les conseils d Aon renforcent la capacité de résistance de votre organisation. Il en résulte une gestion professionnelle des cyber-risques et une responsabilité administrative assumée en connaissance de cause dans ce domaine. Grâce à Aon, vous disposez en outre d une vue d ensemble actuelle de la législation et de la réglementation pertinentes. Gestion de crise Grâce à une planification, une formation et des exercices, Aon aide votre organisation à se préparer à une cyber-crise éventuelle. Nous donnons également des conseils ciblés pendant les situations de crise et évaluons les incidents avec vous afin de pouvoir en tirer des enseignements. Financement du risque Gestion des risques Sur la base d une analyse des risques, un plan d approche est établi afin de porter la gestion des risques de l organisation au niveau souhaité. En l occurrence, il s agit surtout des actions suivantes. Satisfaire de façon manifeste aux législation et réglementation actuelles et futures dans le domaine de la protection de la vie privée, de la sécurité et de la continuité. Renforcer la cohérence administrative ainsi que la garantie des responsabilités pour une bonne gouvernance. Identifier et renforcer les processus essentiels de l organisation. Réaliser une réduction des risques par une maîtrise plus rigoureuse du contrôle des opérations et de la gestion des contrats. La cyber-police garantit les entreprises contre les conséquences du hacking (piratage), de l intrusion dans les systèmes, la perte de données, le vol de données et les cyber-attaques. L intérêt et la demande à cet égard ne cessent d augmenter. La raison de cet intérêt croissant réside dans le fait que les assurances traditionnelles, telles que les assurances contre l incendie, la responsabilité et la fraude sont généralement insuffisantes ou, dans l ensemble, n offrent pas de couverture pour le préjudice financier susceptible de résulter des cyber-risques. En ce qui concerne les risques pour lesquels aucune mesure organisationnelle n est disponible, nous recherchons des solutions d assurance adéquates «Cette identification des risques nous a été utile afin d avoir une bonne vision de nos cyber-risques et de leur impact. De la sorte, nous avons intégré ce thème dans notre agenda.» Manager Insurance & Treasury

10 Notes

11 Plus d informations? Avez-vous des questions sur les cyber-risques? Souhaitez-vous savoir ce qu Aon peut faire pour votre organisation? Dans ce cas, prenez contact avec Lot Goris. Lot Goris t +32 (0) e i À propos du «Cyber Risk Practice Group» Aon apporte son aide à l établissement d un inventaire des cyber-risques et offre un aperçu de l impact financier de ces risques. Nous vous conseillons également sur des mesures efficaces. En ce qui concerne les risques que vous ne souhaitez ou ne pouvez vous-même supporter, nous vous aidons également à trouver une assurance adéquate. Notre Cyber Risk Practice Group (Groupe de pratique en matière de cyber-risques) est spécialisé dans la gestion de ces risques dans le monde entier et, depuis plus de dix ans, formule des conseils en matière de cyber-risques.

12 V3-FR À propos d Aon Aon Belgium est un conseiller et courtier en assurances de premier plan. De manière neutre et objective, nous accompagnons nos clients dans la recherche des meilleures solutions en matière d assurance, de réassurance, de gestion des risques, de pensions et employee benefits. De la sorte, Aon aide ses clients à atteindre leurs objectifs. Aon Belgium est établie à Bruxelles et compte également des bureaux à Anvers, Gand et Liège. Au total, l entreprise compte 370 collaborateurs. Aon Belgium fait partie d Aon plc, le leader mondial en gestion des risques, du courtage d assurance et de réassurance, des pensions et employee benefits. Aon plc emploie collaborateurs dans quelque 500 bureaux à travers 120 pays. Le siège social d Aon plc se situe à Londres. L entreprise est cotée en bourse à New York (NYSE:AON). Rendez-vous sur le site www. aon.be pour obtenir plus d informations sur Aon ainsi que sur le site pour en savoir davantage sur notre partenariat mondial avec Manchester United Aon Belgique Tous droits réservés. Aucune partie de cette déclaration ne peut être reproduite, stockée dans un système, ou transmise, sous toute forme ou par tout moyen électronique, mécanique, photocopie, enregistrement, ou autrement, sans le consentement préalable par autorisation écrite de Aon. Risk. Reinsurance. Human Resources.