Cyber Secure Déjeuner SMCAR 13 Novembre 2014
Cyber Secure Contexte Nous sommes de plus en plus exposés aux cyber-risques Années 2000. 2005 2010. Vers et virus Attaques discrètes, Risques de pertes de données et d images Attaques complexes, recrudescence des attaques ciblées Compétition entre jeunes pirates isolés Cybercriminels qui s en prennent aux Etats Espionnage industriel, concurrence, vengeance, extorsion, fraude, terrorisme ciblent les entreprises 2
Cyber Secure Quelques exemples marquants Sony 19 avril 2011 Les données personnelles de près de 77 millions de personnes ont été subtilisées - dates de naissance, adresses, noms, mais peut-être aussi des données concernant les cartes de crédit. - Il s agit sans doute du plus important vol de données jamais organisé sur Internet. Sur son blog dédié à la PlayStation, Sony explique : «Nous pensons qu'une personne non autorisée a eu accès aux informations que vous nous avez transmises : nom, adresse, pays, adresse email, date de naissance, logins et mots de passe». 3 Conséquences de cette «intrusion externe» : - le 20 avril le groupe japonais a coupé (plus d un mois) son réseau PlayStation Network ainsi que son service de musique en ligne Qriocity, - Le manque de transparence du groupe japonais suscite colère et interrogation, - Coût de notification estimé à US$ 23 Mds (US$ 300 par internaute) se termine à US$ 130M (hors réputation ).
Cyber Secure Quelques exemples marquants Cyber-attaque contre Téhéran Janvier 2010 «Olympic Games», conçu spécialement pour attaquer les opérations d'enrichissement d'uranium iraniennes, a frappé l'iran en 2010 et a créé d'importants dégâts dans son programme nucléaire, - Le virus aurait été mis au point en Israël avec l aide des US. - La «cyber-attaque» vise le cœur du programme nucléaire : les souterrains de Natanz pour détruire les centrifugeuses, en modifiant les vitesses de rotation, Ciblant des infrastructures industrielles équipées de système SCADA Siemens, cette attaque a eu des répercussions sur des entreprises utilisant le même système. - Les résultats vont au-delà des espérances. Le virus s'infiltre dans les arcanes de Natanz, déclenchant des pannes de centrifugeuses, en apparence bénignes et localisées. Jusqu'à ce que survienne un couac majeur (endommage 6000 des 10000 centrifugeuses visées). - Le virus échappe à ses créateurs lorsqu'un ingénieur iranien le libère tout à fait involontairement sur Internet. La menace, détectée durant l'été aux quatre coins du globe, est rebaptisée Stuxnet par les experts en sécurité informatique et touche plusieurs dizaines de milliers d ordinateurs dans plus de 155 pays. 4
Cyber Secure Les PME françaises face aux cyber risques Les PME françaises : 100% d entre-elles ont un équipement informatique et sont équipées d internet, 70% ont leur site web, et 14% vendent des biens ou services en ligne 62% utilisent un cloud 31% des attaques visent des PME (source Symantec) - «Les Cybercriminels s attaquent aux PME qui sont une cible facile car elle sont peu protégées. Par ailleurs, une PME peut être une porte d entrée vers le système d information du donneur d ordre grand compte». (Symantec). Insouciance des PME : Pas conscience des risques Les dirigeants ne comprennent pas combien leur activité est dépendante de l informatique. - Trop souvent, ils sont encore en mode réactif et vont mettre en place des processus une fois que l entreprise a déjà perdu des données. Préoccupation émergente : interview de 500 chefs d entreprises PME sur leurs préoccupations (mai et juin 2014) 5
Cyber Secure L offre cyber d AXA Entreprises dédiée aux PME et ETI Des garanties complètes, utiles et rassurantes Des garanties dommages complètes et innovantes : Atteinte aux informations suite à malveillance informatique Atteinte aux informations suite à erreur humaine (en option) Pertes d exploitation consécutive (en option) Tentative de cyber-extorsion de fonds Cyber espionnage économique ou industriel Cyber détournement de fonds (en option) La garantie de l atteinte à la protection des données personnelles : Frais de notifications et frais règlementaires Une protection juridique étendue : Assistance téléphonique, aide à la résolution de conflits Litiges avec les e-clients, les e-fournisseurs Atteinte à l e-réputation Usurpation d identité Une garantie «Cyber RC» optionnelle par CS séparée, Option inutile pour les entreprises déjà assurées en Responsabilité Civile auprès d AXA! 6
Cyber Secure L offre cyber d AXA Entreprises dédiée aux PME et ETI Une offre complète et cohérente et rassurante pour accompagner nos clients dans la durée, en leur apportant une forte valeur ajoutée: 1) Diagnostic amont Pour chaque client, est réalisé un diagnostic sur mesure de ses vulnérabilités, de ses aggravations, et de l efficacité de ses moyens de prévention et protection, complété par des conseils dédiés, pragmatiques et priorisés, sur la base d un questionnaire ou d un audit préalable. 2) Des garanties complètes et utiles Dommages et pertes d exploitation suite à malveillance informatique, et aussi suite à erreur humaine, Atteinte à la protection des données personnelles et frais de notifications, Cyber RC optionnelle, mais inutile pour les entreprises déjà assurées en RC auprès d AXA! 7 Une PME, ayant rarement les contacts nécessaires, se trouve démunie quand survient un sinistre! 3) Un accompagnement de proximité par des services rassurant La vocation d AXA Entreprises est d assister complètement nos clients dans la gestion de leurs crises (de la 1 ère heure jusqu à la clôture du sinistre). Pour cela, AXA Entreprises a bâti des services de qualité avec des partenaires de renom : a) un réseau d expertise Cyber capable d intervenir en temps réel (GM Consultants en 24/24) b) une protection juridique réactive (plateforme téléphonique d assistance en 10/24) c) des conseils d ingénierie sur mesure (experts d AXA Entreprises et de notre partenaire de référence Airbus Defence and Space CyberSecurity (état des lieux, pentests, sensibilisation, formation, conseils ) d) des régleurs spécialisé d AXA Entreprises, dont le professionnalisme et la qualité de service ont encore été récemment récompensés (SFAC: prix du Baromètre du Courtage 2013) e) Et toujours, l accompagnement d AXA Entreprises en cas de crise majeure!
Atteinte à la protection des données personnelles Qu est-ce que l atteinte aux données personnelles? En cas de fuite de données personnelles des clients d une entreprise celle-ci est tenue : - d en informer la Cnil, - d en informer / notifier ces clients. (concerne les opérateurs télécom et à priori les fournisseurs d accès internet et bientôt toutes les entreprises en 2015 (?)) L objectif des cyber pirates (phishers) : dérober des données des clients réaliser du phishing dérober des informations (ex. identifiants, mots passe, no carte bleue). Evènements garantis : malveillance + erreur humaine + vol + dommage matériel. Exemples : - Orange, site commercial piraté 2 fois en 2014 : soit 800 000 + 1 300 000 clients - Target aux USA en 2013 : 110 millions de clients - dont 40 millions de no CB - Sony : plateforme internet dédiée à la Playstation piratée : 77 millions de comptes Ce qu on indemnise : Frais d expertise et d assistance informatique Frais de protection juridique (frais de défense) Frais de notification (= informer les clients) Frais de gestion de crise + plateforme téléphonique pour répondre aux appels des clients 8 8
Tentative de cyber extorsion de fonds (ranconning) Définition Les 2 méthodes d extorsion de fonds : Soit implantation d un virus cryptolocker : qui va coder toutes les données et programmes besoin de la clé de décryptage chantage / rançon Soit par phishing / vol de données chantage / rançon. Ex. Domino s pizza. Juin 2014. Le groupe de hackers Rex Mundi a menacé Domino s pizza de publier les données volés / piratés de 600 000 clients Belges / Français) si la société ne versait pas 30 000. Domino n a pas cédé. RexMundi avait déjà fait chanter, avec la même méthode Numéricable, qui n avait pas cédé. Ce qu on indemnise : Frais d expertise et d assistance informatique Frais de protection juridique (recherche coupable) Frais de traitement de données déjà atteintes ( Atteinte aux informations) On n indemnise pas : la rançon 9-9
Cyber espionnage économique ou industriel Définition Exemples : Tentative de Vol de secrets de fabrication du dioxyde de titane chez Dupont par un employé sino-américain pour le compte de Sociétés d état chinoises Vol de secrets de fabrication d écrans plats chez LG (Corée du sud) pour le compte de la concurrence chinoise Ce qu on indemnise : Frais d expertise et d assistance informatique Frais de protection juridique (recherche coupables) On n indemnise pas les conséquences : - Perte de marché (brevet exploité par concurrents), - Pertes exploitation 10 1
Cyber détournement de fonds - 1 Définition Exemple de mode opératoire du détournement de fonds : Les attaques DDos (Distributed Denial of service = déni de service) dirigées contre les institutions financières servent souvent de couverture à des fraudes, conduisant au détournement de fonds. Les hackers prennent le contrôle du système de transfert monétaire. Le Ddos empêche la banque d identifier rapidement la transaction frauduleuse. Ce qu on indemnise : Les frais d expertise et d assistance informatique Les frais de protection juridique Les pertes de fonds 11 1
Cyber détournement de fonds - 2 Exclusions si l acte de détournement de fonds n est pas d origine informatique (exclusion chef d entreprise qui part «simplement» avec la caisse! ) s il a été réalisé par un des dirigeants (exclusion générale no 8) des détournements de fonds ayant pour conséquence la surfacturation téléphonique (phreaking) si le détournement a nécessité la validation d un préposé dans le cadre de ses habilitations = Faux ordres de virement (FIV) / Escroquerie au «président» l usurpation d identité est garantie (au titre de la garantie PJ), mais pas les conséquences en matière de pertes de fonds Ex. 1 : comptable recevant un appel tél. d une personne qui se fait passer pour un dirigeant, en indiquant que c est très confidentiel et qui lui fait faire des opérations illicites Ex. 2 : un haut cadre de Sté Malakoff-Médéric a reçu un faux message de Guillaume Sarkosy - président, dont l adresse mail a été usurpée demandant d effectuer des virements illicites 12 1
Atteinte à l e-réputation - 1 Définition L atteinte à la réputation = de l entreprise ou du chef d entreprise Doit faire suite à une diffamation, une injure, un dénigrement de l entreprise ou du chef de l entreprise, ou une divulgation de la vie privée du chef d entreprise Et avoir été réalisée via internet (écrit, blog, vidéo, forum de discussion, réseau social) AXA PJ gère en direct cette garantie (numéro d appel téléphonique CP) Ce qu on indemnise : Frais de protection juridique (voir transparent Protection juridique - 3 ) Prestations de nettoyage et noyage réalisées par Stés spécialisées (garantie = 5000 / 7500 sous limite 2500 / 4000 pour les Frais de noyage) 13 1
Atteinte à l e-réputation - 2 Frais de nettoyage et noyage : opérations réalisées par Stés spécialisées Nettoyage : procédé qui consiste à faire retirer les contenus portant atteinte à la réputation, des sites internet, forums, réseaux sociaux par ex. en négociant avec les sites hébergeurs) Noyage : enfouissement des informations (ex : on repousse les propos litigieux à la 2è ou 3è page Google) par la diffusion de nombreuses autres informations répertoriées et bien placées dans les moteurs de recherche 14 1
Protection juridique - 1 Garantie usurpation d identité Usurpation d identité La garantie couvre les cas d usurpation d identité : de l entreprise ou d un salarié ou dirigeant, par l utilisation à leur insu de leur adresse mail professionnelle (ex. Guillaume Sarkosy / Malakoff Médéric) Les usurpations d identité survenues hors informatique (hors net) sont aussi couvertes Exemple : Une personne s est faite passer pour le salarié d une entreprise et a passé commande de matériel auprès d un fournisseur. Les sommes afférentes à la commande on été prélevées sur les comptes de l entreprise. Mode opératoire pour récupérer les différents éléments d identification de l entreprise Les escrocs commencent par contacter l entreprise afin d obtenir un devis. Ils récupèrent ainsi adresse, no téléphone, no siret, nom d un contact commercial. Ils récupèrent le nom du dirigeant sur le net. Les fraudeurs demandent un RIB à l entreprise pour soi-disant la régler par virement. Ils disposent maintenant de tous les éléments pour se faire passer pour l entreprise! 15 1
Protection juridique - 2 Garantie e-litiges Définitions AXA PJ L e-client est l acheteur qui se fournit auprès de l entreprise assurée pour un bien ou un service et qui a passé commande via internet L e-fournisseur est la personne ou l entreprise qui fabrique, transforme, emballe, ou installe les biens ou services ou exerce des activités d importation ou de vente des biens ou services de l entreprise et auprès de laquelle l entreprise a passé commande via internet. Exemples : Litige e-client : une entreprise mise en cause car les produits livrés étaient défectueux garanti si commande via internet Litige e-fournisseur : un des fournisseurs d une entreprise n a pas respecté les délais de livraison, faisant perdre à l entreprise des clients 16 1
Protection juridique - 3 Les prestations d AXA PJ Les prestations d AXA PJ Service spécifique AXA PJ cellule de 10 à 20 personnes En prévention d un litige : Information juridique Orientation dans les démarches En cas de litige : Phase amiable : Conseil juridique Intervention auprès de la partie adverse Recherche d une solution amiable Phase judiciaire : Mise en œuvre de l action judiciaire Suivi de l affaire jusqu en phase d exécution 17 1
18 Cyber Secure Commentaires sur le cas Domino s Pizza Les faits Domino's Pizza, s'est fait dérober les données personnelles de 600.000 clients (adresses mails, postales, noms et mots de passe ; les données bancaires n'ont, elles, pas été volées) Chantage par des hackers «30.000 euros, sinon les données sont rendues publiques» Refus de payer la rançon réclamée Commentaire vs «Cyber Secure» Avec plus de 10 000 magasins partout dans le monde, Domino s pizza ne fait pas partie des clients potentiels pour AXA Entreprises. Domino s pizza France avec ses 120 salariés au siège plus ses 230 franchises aurait pu être dans le périmètre si son système d information n avait pas été commun avec d autres pays de la marque. Coût du sinistre (si Domino s Pizza avait souscrit un contrat CYBER SECURE) : 1) Rançon de 30 K : pas assurable (interdit en droit français) 2) Expertise informatique : 10K pour comprendre la faille + 50 K pour nettoyer et aider à la sécurisation (intervention des partenaires AXA : Airbus D&S + GMC). 3) Pas de PE (absence de destruction, altération, perte ou indisponibilité des données informatique 4) Frais de communication et de gestion de crise : 5 à 10K, 5) Eventuels frais d avocats : 5 K par instance (maxi 45 K, portés par Axa PJ), 6) Pas de frais de notification : probablement non nécessaires en l absence de données bancaires et/ ou médicales ; sinon 5 à 10 par personnes soit 3 à 6M au total. Conclusion : sans notification (cas le plus probable) 70 K à 115 K. avec notification (cas assez improbable) potentiellement quelques M.
Cyber Secure Cibles de l offre cyber d AXA Entreprises Une offre dédiée aux PME et ETI : Pour les entreprises, qui en plus d un produit d assurance Cyber, recherchent un service d excellence pour les accompagner et les rassurer dans la durée, Activités concernées : Toute entreprise, quelle que soit son activité industrielle ou commerciale, dès lors qu elle utilise un système informatique, est potentiellement assurable avec Cyber Secure. Activités exclues : Syndicats de salariés, organisations religieuses, politiques, professionnelles, patronales et consulaires (et autres organisations dont les enjeux en e-réputation dépassent largement les capacités d intervention de nos contrats d assurance), Entreprises de télécom et fournisseurs d accès à internet, Institutions financières : banques, assurances (*) (*) : L exclusion ne concerne pas les courtiers d assurance! Bien au contraire, les courtiers : - sont de plus en plus dépendants de leur informatique, - collectent de plus en plus de données personnelles, - sont nos meilleurs ambassadeurs auprès de leurs clients. 19
Cyber risques Questions / Réponses 20