Atelier C06. Cyber résilience : Protéger ses données et celles de ses clients

1 Atelier C06 Cyber résilience : Protéger ses données et celles de ses clients

Atelier C06 Cyber résilience : Protéger ses données et celles de ses clients Intervenants Jérôme GOSSÉ Anne MAGNAN Hubert CHENUT Souscripteur RC Professionnelle Département Financial Lines jerome.gosse@zurich.com Directrice technique adjointe de la Direction technique RC et lignes Financières anne.magnan@aon.fr Senior Consultant cyber sécurité Hubert.chenut@cgi.com Modérateur François BEAUME Responsable du Département Risk Management fbeaume@dalkia.com 2

Q1. Existe-t-il au sein de votre organisation une personne dédiée à la protection des données ou du patrimoine informationnel? Q2. Si oui, a votre connaissance le Risk Manager / Responsable Assurance de votre entité travaille avec lui/elle? Q3. Considérez vous que votre organisation ou vousmême êtes exposé(e)s et/ou vulnérables à des menaces en la matière? 3

Cyber résilience? Deux notions préalables Cyber Réseau interdépendant d infrastructures de technologies de l information incluant les outils technologiques que sont internet, les réseaux de télécommunication, les systèmes informatiques etc. Cyber Risk Management Risk Management appliqué a ce domaine 4 Source : WEF 2012 Partnering for Cyber Resilience

Cyber résilience? Une définition Cyber Résilience Capacité des systèmes et organisations de résister aux événements dits «Cyber», mesurée par la combinaison de la durée moyenne d arrêt et du délai moyen de redémarrage de l activité. 5 Source : WEF 2012 Partnering for Cyber Resilience

Nous sommes tous concernés! Les idées préconçues «J ai un firewall, je suis protégé», «J ai une protection antivirus, je n ai pas de risque», «J ai le meilleur département IT», «Je ne suis pas une activité cible», «Je n ai pas de site de e-commerce», «Je suis «compliant» avec la réglementation», «Je ne détiens aucune donnée confidentielle», «De toute façon il n y a pas de virus sur Mac!» / 6

Nous sommes tous concernés! Les secteurs d activité les plus touchés 7 Source : 2011 Verizon Data Breach Investigations Report

Nous sommes tous concernés! Les facteurs de risques majeurs L utilisation des mobiles, tablettes, BYOD, Le Wi-fi, L utilisation planétaire d internet et des réseaux sociaux, Cloud computing et outsourcing, Le volume d information et de datas stockées augmente de 62% annuellement. 8

2012 1.2 M PB* Plus de données ont été créées et stockées sur les 2 dernières années qu il ne l a jamais été dans l histoire de l humanité! 2005 12B 40,000 BCE cave paintings bone tools 3500 writing 0 C.E. paper 105 1450 printing 1870 electricity, telephone transistor 1947 computing 1950 Late 1960s Internet (DARPA) 1993 The web 2001 2001 6B 2000 2000 3B 1999 9 *PB = PETABYTES 1Petabyte = 1,000,000 Gigabytes = 1.000 Terabytes

Nous sommes tous concernés! 5 milliards d appareils connectés et accessibles via internet (31 milliards en 2020) dont les systèmes industriels (SCADA, GPAO, MES, SNCC, )! 10

Nous sommes tous concernés! Quelques chiffres clés 2012 Plus de 6 milliards d attaques «cyber» bloquées, 50% des attaques dirigées vers le «small-medium business» et 50% vers le «big» business, 400 millions de variantes de logiciels malveillants («malware»), Plus d 1,5 millions de personnes victimes par jour (18 victimes/sec.), 110 milliards US$ = le coût annuel de la cybercriminalité. 11 Source : Norton by Symantec

Quelle exposition? 12 Source : WEF 2012 Partnering for Cyber Resilience

Une extrapolation? 18 victimes par secondes : Durée de l atelier : 2h Exposition cible pendant l atelier : 129.600p Durée des rencontres : 2,5j Exposition cible pendant les rencontres : 3.888.000p 13

Quelle exposition? 14 Quels acteurs? Etats nation / Concurrents Grand banditisme / Mafia Hacktivistes Types d impacts? Image Financier Légal Quelles données? Données personnelles / Données de santé Données financières Données client / savoir faire

Comment les identifier? L analyse de risque reste l instrument privilégié 15 Les nouvelles menaces et vulnérabilités doivent être identifiées Téléphonie Interconnections SCADA Les retours d expériences sur les incidents récents pris en compte CERT De nouvelles méthodes d investigation appliquées Internet footprint Ne pas oublier les nouveaux usages Cloud, BYOD, Big Data

Quels impacts financiers pour les entreprises? 16 Source : WEF 2012 Partnering for Cyber Resilience

Coût moyen d une violation de données Quels impacts financiers pour les entreprises? En EUR Source : Ponemon USA France Source : netdiligence Coût total pour l entreprise 6.750.000 2.550.000 2.700.000 Coût par donnée compromise dont : 155 122 2,91 Coûts directs 52 53 Coûts indirects 102 69 17 Sources :2010 Ponemon Institute - Five Countries: Cost of Data Breach 2011 Ponemon Institute - Cost of a Data Breach Study : France

Quels impacts financiers pour les entreprises? Coûts d une violation de données (moyenne) 18 Source : Ponemon Institute

19 Quelques exemples de sinistres

TJX Breach July 2005 - December 2006 January 12, 2007 January 17, 2009 Incident Occurred Incident Discovered January 29, 2009 Reports Breach TJX lawsuit filed First 20 94.000.000 affected records $256.000.000+ in total costs to date

Heartland Payment Systems Breach May 15, 2008 January 12, 2009 January 20, 2009 Incident Occurred Incident Discovered January 27, 2009 Heartland Reports Breach lawsuit filed First 21 130.000.000 affected records $143.000.000+ in total costs to date

Sony Playstation Breach April 14, 2011 April 19, 2011 April 26, 2011 reports incident April 27, 2011 April 27, 2011 mails notifications Incident Occurred Sony Sony lawsuit filed First 22 77.000.000 affected records $180.000.000+ projected cost

Comment s en protéger et/ou en minimiser les impacts? 23 Source : WEF 2012 Partnering for Cyber Resilience

Comment s en protéger et/ou en minimiser les impacts? «Technologie» Firewall Revers proxy, Intrusion Detection System Journalisation des actions Chiffrement des données 24

Comment s en protéger et/ou en minimiser les impacts? «Processus» Analyse de risques Règles de développement Normes de sécurité Audit de sécurité Surveillance en continu Analyses forensiques 25

«Personnes» Responsable sécurité Personnel formé à la sécurité Comment s en protéger et/ou en minimiser les impacts? Services (Veille, CERT, Analyse des traces ) 26

Comment s en protéger et/ou en minimiser les impacts? Le World Economic Forum (WEF) dresse une «check-list» de conseils et recommandations notamment en terme de Governance. 1. Focus sur certains thèmes relatifs à l humain et à l organisationnel, la sécurité relevant à hauteur de 50% de la qualité de l organisation interne 27

Comment s en protéger et/ou en minimiser les impacts? 1.1. Transversalité du management des risques «Cyber» 28 Source : Advisen

Comment s en protéger et/ou en minimiser les impacts? 1.2. Les salariés Sensibilisation et formation des salariés Chartes informatiques Gestion des droits d accès 29

Comment s en protéger et/ou en minimiser les impacts? 1.3. Mise en place d un plan de gestion de crise 50% des sociétés européennes n auraient pas de procédure en place (64% en France, 63% au Bénélux, 61% en Allemagne) 30

Comment s en protéger et/ou en minimiser les impacts? 31 2. La gestion du risque «sous-traitants» (cf. guides ANSSI, Recommandations CNIL, cahier technique Risques et infogérance AMRAE/CLUSIF) Localisation des données Nature des données Qualité juridique du sous-traitant (responsable du traitement ou sous-traitant) Hébergement mutualisé Risque de perte de maitrise de son SI Risque de captage de clientèle et d irréversibilité Clauses de responsabilités

Comment s en protéger et/ou en minimiser les impacts?? 3. La loi 3.1. Aux US : Historique des Accidents et réglementation 3.2. En France : Lois et Directives Européennes 32

Aux Etats-Unis Comment s en protéger et/ou en minimiser les impacts? 33

En Europe et en France Comment s en protéger et/ou en minimiser les impacts? Directive EU du 25/11/2009 (2009/139/CE) créant une obligation de notification au régulateur et toutes autres personnes concernées de toute violation de la sécurité entrainant la destruction, la perte, la divulgation ou l accès non autorisé à des données personnelles (ne concerne que les entreprises offrant des services de communications ouverts au public). Directive EU «Telecommunications Data Protection Act» - Mai 2011 Transposition de la directive de 2009 en droit français : Ordonnance du 24 Août 2011 et décret du 31 Mars 2012 procédure de notification des violations de données de la CNIL. Projet de règlement européen en matière de protection des données à caractère personnel (25.01.2012) 34

Traitement financier Avant de choisir une stratégie de gestion et éventuellement un mode de financement du risque : 1. Audit des risques Identification des vulnérabilités des SI Evaluation en termes d impacts Probabilité de survenance 35 2. Audit des polices d assurances en cours Police RC, police PDBI, police Fraude, Police K&R, police Data., Identification et évaluation des gaps

Traitement financier Audits des polices Dommages à l'assuré Dommages aux données de l'assuré suite événement incendie/explosion, inondation/etc - reconstitution Dommages aux données de l'assuré suite malveillance Dommages aux données suite à Virus/hacking - reconstitution Attaque en déni de service Perte d'exploitation Extorsion/menace - rançon Sabotage des données par un employé Perte d'image/frais de reconstitution d'image Gestion de Crise - Frais de gestion de crise Acte de Terrorisme RC DDPFC Fraude K&R Cyber Dommages aux tiers Resp. en cas de Vol/divulgation de données personnelles Resp. en cas de Divulgation de données confidentielles Resp. suite à escroquerie/détournement/négligence d'1 préposé notification aux personnes & autorité Dommages aux données de tiers Frais de Défense de l'assuré en cas mise en jeu resp. Dommages aux tiers suite acte de Terrorisme Dommages aux tiers suite à Virus Dommages suite à divulgation de secrets professionnels, propriété intellectuelle, brevets, 36 Absence de garantie Garantie dans certains cas Garantie

Traitement financier Stratégies de gestion : Évitement : mise en place de moyens de contrôle en adéquation avec l exposition / impact direct bilan Transfert à l assurance (choix) Solutions alternatives (dont captive) 37

Solution d assurance spécifique Impacts financiers transférables Gestion de crise / Frais pour restaurer la réputation (coûts directs) Dépenses de relations publiques, consultants Communication dans la presse, coûts associés Expertise informatique Dommages à l assuré Frais de notification / Centre d appel téléphonique Impression, mailings ou toute autre communication aux personnes concernées Frais pour mettre en place un centre d appel téléphonique Surveillance des comptes bancaires / Usurpation d identité Pertes de chiffre d affaires Pertes d exploitation Frais de reconstitution des données volées ou perdues Frais supplémentaires Dommages à un tiers 38 Enquêtes menées par des autorités administratives : CNIL, FSA, FTC, SEC, etc. Pénalités PCI DSS Responsabilité délictuelle / contractuelle Réclamations de clients ou fournisseurs (y compris les «class actions») Réclamations de partenaires commerciaux (violation d un accord de confidentialité)

Solution d assurance spécifique Autres impacts financiers Atteinte à la réputation Perte de clientèle / Perte de confiance Dévaluation des actions (sociétés cotées) Dépenses pour élaborer et mettre en place un plan global de sécurité informatique Dommages à l assuré Salaires des employés et dirigeants Dépenses pour améliorer la sécurité des systèmes d information et réseaux Frais pour réparer ou remplacer des équipements endommagés Dévaluation des actifs immatériels (propriété intellectuelle et secrets commerciaux) Frais de redéveloppement / de programmation des infrastructure critiques Dommages à un tiers Reclassement de personnel Frais médicaux suite à des dommages corporels 39

Solution d assurance spécifique Eléments de souscription Activités de la société (dont activités sous-traitées) Type d informations personnelles collectées Organisation et gouvernance Sécurité des systèmes d information Gestion des données Plan de gestion de crise / Plan de reprise d activités Statistique sinistres 40

Marché et capacité 41 41 Capacité totale du marché : plus de US$200 eel-400 m agg Encaissement Rating (ROL): PME de US$5,000 à US$25,000 du million Grandes entreprises de US$10,000 à US$50,000 du million Franchises/SIR: PME US$10,000 à US$100,000 par sinistre Grandes entreprises US$500,000 à US$1 m et plus, par sinistre Les limites achetées

Une police spécifique «Cyber»? AVANTAGES CONTRAINTES/INCONVENIENTS 42 Une seule police couvrant l ensemble des préjudices ý un seul interlocuteur assureur. Des textes sur mesure pour garantir ce type de risque. Pouvant servir de bouclier aux autres programmes. Capacité dédiée aux risques «Cyber». Une meilleure protection du bilan. Des services d accompagnement. Des garanties non octroyées par les polices traditionnelles (Frais de notification notamment). Une police venant «doublonner» les garanties traditionnelles. Des textes plus «étroits» avec certaines exclusions ne figurant pas dans les polices traditionnelles. Des franchises élevées. Des primes significatives. Un risque de dénaturer les polices traditionnelles, à terme. Des limites souvent moins importantes que sur les polices traditionnelles.

43 Source : WEF 2012 Partnering for Cyber Resilience En synthèse

44 Questions / Réponses

Webographie http://www.weforum.org/issues/partnering-cyber-resilience-pcr 45