Intégrer l assurance dans la gestion des risques liés à la sécurité des données François Brisson, responsable marché Technologie-Media-Télécoms 48 ème plénière MEDINSOFT - Marseille 27 novembre 2012 1
Sommaire 1. Une nouvelle donne dans la gestion des risques 2. Ce qu un assureur spécialiste vous apporte 3. L assurance, le nouvel outil de la gestion des risques 2
Perte/vol de données UNE NOUVELLE DONNE DANS LA GESTION DES RISQUES 3
La complexité du monde Data Des menaces grandissantes L augmentation des budgets sécurité non proportionnelle aux menaces Une évolution législative contraignante Vers une exigence de sécurité de la société Une judiciarisation des relations d affaires Même la meilleure sécurité prise en défaut 4
Des données chaque jour un peu plus précieuses Source : * State of Security, McAfee 2011 **Etude Symantec Mars 2012 (données françaises) *** TrustWave 2012 (18 pays étudiés dont la France) 5
Une menace réelle pour le patrimoine «informationnel» Des données vitales pour les entreprises jusqu à 49 % de la valeur d une entreprise* 50 % de leurs données informatiques revêtent un caractère critique* Des menaces de plus en plus nombreuses : l hacktivisme une exposition élargie «la consumérisation de l IT», des coûts qui peuvent ruiner une entreprise un montant non négligeable qui peut recouvrir des réalités très variées : atteinte à la réputation, à la continuité de l activité, pertes de liquidités, etc *Sources: State of Information Survey, Symantec, juillet 2012 et Replication Technologies for Business Continuity and Disaster Recovery, Enterprise Strategy Group, septembre 2011 6
Des coûts directs lourds Frais de notification aux clients affectés Frais d expertise IT des systèmes endommagés Frais de réparation et de restauration des data Frais et pénalités infligés par les régulateurs Frais de défense et dommages & intérêts Frais de relations publiques pour communication de crise Frais de veille et credit monotoring des data affectées Coût moyen d une cyber-attaque : 2,55 millions d euros¹ Sources: State of Information Survey, Symantec, juillet 2012 et Replication Technologies for Business Continuity and Disaster Recovery, Enterprise Strategy Group, septembre 2011 ¹ 2012 State of Information Report, Symantec, mars 2012 7
Des impacts indirects néfastes Les dommages causés à la réputation de l entreprise La perte de confiance des actionnaires La perte d éléments de propriété intellectuelle La perte d avantages concurrentiels via l intelligence économique La gestion des pertes financières sur le long terme Les conséquences de l extorsion et de la divulgation de données Sources: State of Information Survey, Symantec, juillet 2012 et Replication Technologies for Business Continuity and Disaster Recovery, Enterprise Strategy Group, septembre 2011 8
Une menace au delà du périmètre technique Source : PwC 2012 9
Dépasser le seul cadre des outils informatiques Émergence de nouvelles compétences en gestion des risques Sources : Symantec, Mars 2012 (données françaises) 10
Perte/vol de données CE QU UN ASSUREUR SPÉCIALISTE VOUS APPORTE 11
La violation de données du point de vue de l assureur «Une violation des données est un incident de «Une sécurité violation au des cours données duquel est des données sensibles, un protégées incident ou de confidentielles sécurité au cours sont duquel copiées, des transmises, données sensibles, consultées, protégées volées ou utilisées confidentielles par une sont personne qui copiées, transmises, n'y est consultées, pas autorisée. volées» ou utilisées par une personne qui n'y est pas autorisée.» Source Hiscox 12
Les enjeux de la protection des données personnelles Gestion et protection des bases de données Responsabilité du gestionnaire de données à caractère personnel (loi CNIL1978) Mise en cause des dirigeants et de l entreprise : la faute de gestion applicable? Évolution juridique vers la notification obligatoire avec la directive européenne et ordonnance du 24/08/2011 Focus : les chantiers en cours La révolution Big data Les incertitudes juridiques nées du Cloud computing Les réseaux sociaux d entreprise 13
Des données commerciales tout aussi menacées Pas d obligation de protection des données stratégiques Des données commerciales aussi critiques que les données personnelles, surtout pour les entreprises innovantes Le risque sur les données commerciales peut aussi être transféré à l assurance Menaces externes (intelligence économique, etc.) Menaces intérieures (employé indélicat/inconscient) utilisation de clé USB non cryptée, etc. transmission de données par e-mail partage de data sur un service de stockage en ligne tous les échelons de l entreprise touchés 2012 State of Information Report, Symantec, mars 2012 14
Votre E-réputation : un enjeu crucial Un pirate informatique : est un expert en communication : il communique, diffuse sans contrôle ni frontières. porte la culture digitale et ses valeurs (idéalisme, activisme, solidarité, plaisir) là où les commentateurs sont plus puissants que les consommateurs s attaque aux structures emblématiques du pouvoir et de l argent Ce que vous êtes est plus vital pour vos affaires que ce que vous vendez 15
Quels sont les entreprises les plus touchées? 16
Focus: la grande distribution menacée par la multiplicité des points d entrée Sont notamment concernés : Grandes surfaces Stations service Opticiens Fleuristes... Enjeux & risques majeurs: Multiplicité de points d entrée des hackers : terminaux de paiement électronique en magasins et stations service, technologie communication en champs proche... Impact négatif sur la réputation de la marque à la suite de vols de données sur le site internet Les franchisés : les nouvelles cibles des pirates informatiques (plus d un tiers des attaques)*. Pourquoi ce secteur est-il sensible à la perte de données? Volume important de transactions par cartes de paiement 30% des violations de données dues à la négligence des employés** (mot de passe faible, perte d ordinateurs portables, données sur clé USB...) 79% de la grande distribution non conforme à la norme PCI DSS*** Exemple d indemnisation d un sinistre Hiscox : 3 Millions Une chaine de supermarché a été piratée pendant 3 ans suite à l installation d un virus sur un TPE qui a exporté les données bancaires des clients. Hiscox a dépensé plus de trois millions d euros afin de gérer cette crise lorsque le piratage a été découvert. Source: * Etude Trustwave 2012 (18 pays étudiés dont la France) **Étude Symantec 2012 données françaises *** Selon PCI security standard 17
Focus : La santé fait sa révolution numérique Sont notamment concernés Hôpitaux Cliniques Laboratoires d analyse Maisons de retraite Enjeux & risques majeurs: Intensification des échanges de données disponibles sur les patients via les sites de médias sociaux et appareils mobiles Gestion de la sécurité des données médicales et personnelles fait partie intégrante de l obtention des agréments professionnels Impact négatif sur la réputation suite au vol de diagnostics médicaux sur le réseau interne de l établissement Pourquoi ce secteur est-il sensible à la perte de données? Concentration de toutes les données sensibles (numéro de sécurité sociale, état civil, données bancaires, diagnostic médical, carte vitale) pour pouvoir exercer l activité 30% des violations de données dues à la négligence des employés* (mot de passe faible, perte d ordinateurs portables, données sur clé USB...) Exemple d indemnisation d un sinistre Hiscox : 413 500 euros Une employée a volé 45 000 données médicales et personnelles de patients qu elle revendait. Surveillance des numéros de CB pendant un an : 300 000 euros (73%) Frais de notification : 57 000 euros Relation presse image de marque : 50 000 euros * Source: Étude Symantec 2012 données françaises 18
Focus : les métiers du tourisme / transport Sont notamment concernés : Agences de voyages Compagnies aériennes Compagnies de transport Chaines d hôtel Restaurants Lieux de réception Billetteries Loueurs de véhicules Secteur autoroutier... Enjeux & risques majeurs Majorité du chiffre d affaire du secteur réalisée par internet et beaucoup d achat de dernière minute Impact négatif sur la réputation de la marque à la suite de vols de données sur le site internet Anticipation de l évolution de la législation et de ses impacts financiers (notification obligatoire à venir, credit monitoring, frais de défense...) Pourquoi ce secteur est-il sensible à la perte de données? 9% des violations de données concernent ce secteur (un des 4 secteurs les plus touchés)* Failles juridiques pour les entreprises internationales qui ont des entités dans des pays plus cléments envers les hackers Volume important de transactions par carte de paiement à puce ou non Exemple d indemnisation d un sinistre Hiscox : 2,8 Millions Une faille dans le logiciel de sécurité du site internet d une chaîne hôtelière a permis à des hackers de dérober pendant 3 mois les coordonnées des cartes de crédit de 700 clients dont des clients américains. La perte moyenne par carte s'élève à près de 2.000 euros Pénalité pour non-conformité à la norme PCI DSS : 1,4 Millions d euros (50%) * Source: Étude Symantec 2012 données françaises 19
Focus : l e-commerce en première ligne Sont notamment concernés : Tous les sites de e-commerce : Prêt-à-porter Chaussures High-tech Jeux vidéos... Enjeux & risques majeurs : Perte de chiffres d affaire sur le site internet Impact négatif sur la réputation de la marque à la suite de vols de données Assurance, gage de sérieux pour les business angels lors des levées de fonds Multiplication des processeurs de paiements par carte bancaire (dérégulation) Pourquoi ce secteur est-il sensible à la perte de données? Volume important de transactions par carte bleue 20% des attaques touche le e-commerce* 89% des données volées sont des données personnelles (email, CB, etc.)* Exemple d indemnisation d un sinistre: 180 000 Un site de vente en ligne de voyage a vu son site bloqué pendant trois jours à cause d un piratage par déni de service (inaccessibilité momentanée du site). Les experts IT sont intervenus mais le site a dû rester fermé pendant trois jours. L'impact financier sur les ventes du site a été couvert à hauteur de 180 000. * Source: * Trustwave 2012 (18 pays étudiés dont la France) 20
Quelques questions à se poser Est-ce que la protection de données est une de vos préoccupations principales? Général Connaissez-vous le niveau de sécurité mis en place chez vos prestataires pour protéger vos données? Savez-vous ce que vous devez faire en cas de violations de données pour en limiter les conséquences? E-commerce Magasins de détail / GMS Hôtellerie Connaissez-vous votre responsabilité vis à vis des paiements bancaires? Est-ce que votre marque est à l abri de pertes financières si la confiance de vos clients est entamée à cause d une violation de données? Votre wifi public est-il sécurisé? Tourisme Si votre site internet est inaccessible pendant 2 jours, comment gérez-vous vos réservations? Santé Comment gérez-vous vos données sensibles afin de ne pas perdre vos agréments? 21
Perte/vol de données L ASSURANCE, NOUVEL OUTIL DE LA GESTION DES RISQUES 22
Au delà de la protection IT, des plans de prévention à redéfinir... Une protection technique insuffisante Menace avérée Exposition au risque toujours croissante Coût des incidents en constante progression. Seul 63 % des entreprises françaises auraient formalisé un plan de sécurité de l information chiffre inchangé depuis deux ans. Limiter les conséquences d une cyber-attaque méthodes de protection périmétrique dépassées périmètre actuel des SI non clairement défini offensives en profondeur Sources: Menaces informatiques et pratiques de sécurité en France, Clusif, juin 2012 23
... et une nécessaire anticipation des risques D un point de vue technique : Réévaluation de la chaîne de détection et de la réaction aux incidents de sécurité, Audit des processus afférents, Mise en place d un plan de réponse graduée pour limiter la portée et la durée d action des attaquants éventuels En interne, développement d une véritable culture de la sécurité de l information Conscience des menaces pour pouvoir rester vigilant à la réception du courrier électronique le plus anodin utilisateurs à privilèges élevés particulièrement sensibilisés au fait qu ils constituent une cible de choix. Sensibilisation cruciale aux risques 24
Transférer vos risques à l assurance Le nouvel outil dans le monde data La perte de données a les mêmes conséquences qu un incident industriel Nécessité d une offre globale d assurance et de services intégrant à la fois une dimension préventive avec la prise en charge d un audit et de l établissement de recommandations d amélioration des systèmes de sécurité une dimension corrective Une couverture large des dommages frais de notification, de veille et d expertise IT pertes financières et de revenu subies par l assuré négociation avec les pirates en cas d extorsion frais de gestion de crise/e-réputation 25
Et en pratique...? Faillite d une entreprise non assurée à cause d un piratage L hébergeur d un site de e-commerce français a été piraté en 2011. Toutes les données stockées sur le serveur ont été perdues à la suite de cette cyberattaque (données personnelles et bancaires notamment). Ce site a été contraint de cesser son activité. Face à cette attaque, le e-commerçant n a eu aucun recours contre l hébergeur. A cause de cette cessation d activité, il a fait faillite. S il avait été assuré avec Data Risks by Hiscox, ce client aurait probablement évité la faillite : Hiscox aurait entre autres payé les pertes d exploitation subies, et les frais de défense, limitant ainsi les conséquences financières de cette cyber-attaque. Intervention d Hiscox après un vol de données bancaires Une chaine de supermarché a été piratée pendant trois ans suite à l installation d un virus sur un TPE qui a exporté les données bancaires des clients. Hiscox a dépensé plusieurs millions d euros afin de gérer cette crise lorsque le piratage a été découvert : frais de notification, «credit monitoring», expertise IT, frais d avocats, dommages et intérêts 26
Conclusion : la synergie entre professionnels de l IT & assureur spécialiste Même si la sécurité informatique n est pas une science exacte, une chose est certaine : aucune organisation n est à l abri d un incident de sécurité, parce que la protection absolue est devenue totalement inaccessible. Le rôle du professionnel IT : sensibiliser ses clients aux nouvelles problématiques liées à la cybercriminalité Le rôle de l assureur spécialiste : permettre à l entreprise de travailler sur un transfert de ces risques spécifiques face à des conséquences stratégiques pour la survie de l entreprise. 27
Perte/vol de données AVEZ-VOUS DES QUESTIONS? 28
Pour plus d informations... Nous sommes à votre disposition durant le diner pour échanger avec vous sur ce sujet. Vous pouvez également prendre contact avec le Cabinet CONDORCET, partenaire d Hiscox dans le cadre des relations avec MEDINSOFT : Anthony JOUANNAU 06.03.09.21.90 0.805.693.888 29