Stratégie de gestion des cyber-risques dans les entreprises : Quelles (ré)actions?

Documents pareils
La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

Évaluation financière d'un incident de sécurité SRE et SMP, deux mesures possibles d'un même risque

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

s é c u r i t é Conférence animée par Christophe Blanchot

Gestion du risque numérique

Indicateur et tableau de bord

Malveillances Téléphoniques

Atelier C06. Cyber résilience : Protéger ses données et celles de ses clients

Atelier B 06. Les nouveaux risques de la cybercriminalité

Intégrer l assurance dans la gestion des risques liés à la sécurité des données

La sécurité des systèmes d information

Atelier A 26. Les Risques liés aux Systèmes d Information : comment les approcher, en avoir une vision objective et challenger les DSI?

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

La sécurité informatique

l informatique est vitale pour mon activité je protège mon matériel et mon entreprise

L analyse de risques avec MEHARI

CHARTE WIFI ET INTERNET

L USAGE PAISIBLE DE L INFORMATIQUE. Les solutions assurantielles pour mieux gérer les risques de dommages immatériels

Gestion des Incidents SSI

Qualité et ERP CLOUD & SECURITY (HACKING) Alireza MOKHTARI. 9/12/2014 Cloud & Security

7 avril 2009 Divulgation de données : mise en place du chiffrement au sein des PME

Assurance des risques cybernétiques

Sécurité informatique: introduction

Fraude interne, malveillance interne Couverture des risques

TIC : QUELS RISQUES JURIDIQUES POUR L ENTREPRISE? COMMENT LES LIMITER? Présentation 9 Avril 2015

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet

Gestion des cyber-risques

Découvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE

Des passionnés et des curieux avec un regard avisé et exigeant sur :

Politique de sécurité de l information et des technologies. Direction des systèmes et technologies de l information

LA SÉCURITÉ ÉCONOMIQUE, UN ENJEU-CLÉ POUR LES ENTREPRISES

L entreprise face à la Cybercriminalité : menaces et enseignement

Politique de sécurité de l information

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012

CONDITIONS GENERALES

La sécurité IT - Une précaution vitale pour votre entreprise

Centre de Recherche sur l Information Scientifique et Technique. Par Mme BOUDER Hadjira Attachée de Recherche

Conditions Générales d Utilisation de l Espace adhérent

Data Breach / Violation de données

Les Infrastructures critiques face au risque cybernétique. Par M. Ahmed Ghazali Président de la Haute Autorité de la Communication Audiovisuelle

transformez le risque en valeur grâce à la conformité et à la sécurité numérique Your business technologists. Powering progress

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

Les cyber risques sont-ils assurables?

INCIDENTS DE SECURITE : cadre juridique et responsabilités de l'entreprise

Management de la sécurité des technologies de l information

CyberRisks Pro. Questionnaire. Nom de la société proposante. Description des activités de la société proposante. Informations financières

CHARTE D UTILISATION DU SYSTÈME D INFORMATION ET EN PARTICULIER DES RESSOURCES INFORMATIQUES.

Menaces du Cyber Espace

CHARTE D UTILISATION DU SYSTEME D INFORMATION

Cybersurveillance: quelle sécurité Internet en interne et en externe pour l entreprise? 23/03/2012

Stratégie nationale en matière de cyber sécurité

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES

La gestion des risques en entreprise de nouvelles dimensions

Michel TCHONANG LINZE Coordonnateur Région Afrique Centrale ACSIS - CAPDA capdasiege@gmail.com

CHARTE INFORMATIQUE LGL

FAIRE FACE A UN SINISTRE INFORMATIQUE

Primer LE CLOUD COMPUTING DÉMYSTIFIÉ PME ET CLOUD COMPUTING : 5 IDÉES REÇUES

CONDITIONS GENERALES D'UTILISATION DU LOGICIEL SYNCHRONISATION ET PARTAGEUBIKUBE / B CLOUD

La cyberdéfense : un point de vue suisse

Charte de bon usage du SI (Étudiants)

Qu est-ce qu un système d Information? 1

Forum Suisse pour le Droit de la Communication. Séminaire du 28 novembre 2008

Sécurité des données en télétravail

Cyber Secure. Déjeuner SMCAR 13 Novembre 2014

Fiche de l'awt La sécurité informatique

CONDITIONS GENERALES DE VENTE

Fonctionne avec toute plate-forme de virtualisation contrôle centralisé des postes de travail et serveurs physiques, virtuels et mobiles contrôlée

SITE INTERNET ET CONDITIONS

ANSSI PROCEDURES DE REPORTING DES INCIDENTS AVEC LE CIRT RÔLES DES PARTIES PRENANTES 15/02/2014. SEMINAIRE DE Joly Hôtel

BANQUE NEUFLIZE OBC LES BONNES PRATIQUES INTERNET ET MESSAGERIE

Protection des infrastructures critiques vitales contre les cyber-attaques. Vers une culture de sécurité

Cybercriminalité. les tendances pour 2014

Connaître les Menaces d Insécurité du Système d Information

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

Guide de Conduite éthique des Affaires Guide de bonnes pratiques en matière de gestion de l information

Charte d'utilisation des systèmes informatiques

Sécurité. Tendance technologique

Attention, menace : le Trojan Bancaire Trojan.Carberp!

Qu'est-ce qu'un virus?

Maîtriser les risques au sein d une d PMI. Comment une PME-PMI peut-elle faire face à ses enjeux en toutes circonstances?

Atelier A6 DECROISSANCE DES FOURNISSEURS, COMMENT SE PREMUNIR, SE PROTEGER DE LEURS DEFAILLANCES

Présentation CERT IST. 9 Juin Enjeux et Mise en Œuvre du DLP. Alexandre GARRET Directeur des Opérations ATHEOS agarret@atheos.

Peut-on faire confiance au CLOUD Computing? Sécurité physique du CLOUD

Présenté par : Mlle A.DIB

données à caractère personnel (ci-après "la LVP"), en particulier l'article 30 ;

Sécurité des systèmes informatiques Introduction

onditions Générales P h o n e W e b M é d i t e r r a n é e Club des Pins - STAOUELI- Tél : Fax: info@phoneweb-med.

Sécurité de l'information

Sûreté de fonctionnement. Cyber-sécurité et sécurité informatique Similitudes d approche avec la sécurité fonctionnelle

Attaques ciblées : quelles évolutions dans la gestion de la crise?

Comment protéger ses systèmes d'information légalement et à moindre coût?

La sécurité applicative

GRAS SAVOYE CONSEIL ET COURTAGE EN ASSURANCES. Risques Supply Chain : le point sur le marché de l'assurance

Conditions d'utilisation de la plateforme NFX - NEXTER FILE EXCHANGE

Transcription:

Cyber-sécurité Cyber-crime Stratégie de gestion des cyber-risques dans les entreprises : Quelles (ré)actions? SIRM Forum 2011 Nov. 9 th, 2011, Pfäffikon Par Alexandre VOISIN, Corporate Insurance & Risk manager

Back to basics Le risque est la menace qu un évènement, une action ou une inaction affecte : la capacité de l entreprise à atteindre ses objectifs, les principaux actifs nécessaires à la mise en œuvre de son business model, la création de valeur ou les valeurs de l entreprise.

Le constat

Le constat La prolifération de PDA, clefs USB, ordinateurs portables et autre disques durs amovibles multiplient les risques de perte, de vols et d intrusion

Les entreprises sont devenues dépendantes de leurs systèmes informatiques L utilisation des technologies de réseaux d information constitue presque une nécessité pour leur survie!

Les risques des systèmes d'information Où sont ils? Un système d information est composé : D équipements De logiciels et progiciels De données L évènement générateur du risque sera représenté par ce qui peut impacter chacun des points ci-dessus

Les risques des systèmes d'information Les équipements Où sont ils? Destruction ou altération de l équipement Incendie, bris de machine, vol, dégâts des eaux, évènements naturels Arrêt ou dysfonctionnement Carence d énergie, panne, défaillance humaine (prestataire ou non)

Les risques des systèmes d'information Où sont ils? Les logiciels et progiciels Disparition Vol, erreur humaine, malveillance, incendie, bris, virus, défaillance de prestataire Dysfonctionnement Erreur de conception, erreur d utilisation, virus, malveillance, défaillance de prestataire Utilisation non conforme Utilisation abusive de droit, non conformité avec la politique de l entreprise

Les risques des systèmes d'information Les données Où sont ils? Disparition Vol, erreur humaine, malveillance, incendie, bris, virus, inefficacité de gestion, défaillance de prestataire Utilisation non conforme Utilisation abusive de droit, perte de confidentialité Modification Erreur humaine, malveillance

Un système d information exposé Menaces Internes Menaces Externes Protéger l entreprise contre les risques du virtuel Protection de la propriété intellectuelle, Données sensibles, personnelles identifiables, financières etc. Conformité (RH, traçabilité, etc.)

Les motivations des pirates la vengeance la vantardise, les défis la curiosité le vandalisme Mais de plus en plus d attaques lucratives : chantage, extorsion, vol, attaques ciblées (kacktivisme...) Plus les outils de pirates sont disponibles sur le web et moins les compétences des pirates sont grandes!

Les risques des systèmes d'information Comment se traduisent-ils? Premier niveau d impact suite à ces événements: La disponibilité L intégrité La confidentialité La traçabilité

Les risques des systèmes d'information Comment se traduisent-ils? Dysfonctionnement de l entreprise Perte d actifs Dommage à des tiers Obligation de faire (notifications)

Conséquences Financières : perte de valeur ou de biens, dépenses supplémentaires Atteinte à l image de l entreprise Humaines Juridique : risque vital ou désorganisation Responsabilité civile ou pénale vis-àvis d autrui, des cocontractants, des autorités, des clients.

Piratage Royal Bank of Scotland Janv 09 : piratage système monétique de RBS, Divulgation des informations de 1,5 millions de porteurs Fev 09 : retraits frauduleux (fausses vraies cartes) 2 000 distributeurs répartis dans 60 villes dans le monde entier En moins de 12 heures Nov 09 : jugement de 4 personnes pour piratages Les pertes + Le montant détourné ($ 9 M) Les coûts de communication vers les victimes (estimé à US$ 10 M) Les frais d analyse Quelques exemples

Air tran1

Air tran2

Quelques exemples I have your [.]! In *my* possession, right now, are 8,257,378 patient records and a total of 35,548,087 prescriptions. Also, I made an encrypted backup and deleted the original For $10 million, I will gladly send along the password." Virginia Medical Records Thursday, May 07, 2009

European directive 2009-136 Obligation de faire Notification / Violation de données (Data Breach) Mai 2011, obligation de notification pour les opérateurs de télécommunication Juin 2011, Dans un interview, la commissaire européenne Viviane Reeding indique sa volonté d étendre cette obligation à toutes les activités d ici la fin 2011 per capita Detection & escalation Notification Ex-post response Lost business Total US 6 11 32 95 143 UK 13 7 18 32 69 DE 36 6 38 43 123 FR 25 4 29 25 83 AU 27 3 23 27 79 EU average 25 5 27 32 89 Average 21 6 28 44 99

European directive 2009-136

La cybercriminalité est une vraie menace aujourd hui pour les entreprises et la société civile (World Economic Forum, DAVOS 2011 = Top 5 risk to watch) Que peut on faire pour prévenir, se protéger et transférer ce risque? Nécessité d une réponse globale et dynamique : Prévention + protection + réaction

Moyens de prévention / protection Réduction de la probabilité de réalisation Réduction d impact Transfert du risque résiduel vers l assurance?

Moyens de prévention / protection Sur le plan technique des solutions existent : - Firewall(s) - Mise en place VPN - Antivirus - Chiffrement total du disque dur ou partiel - Effacement sécurisée des données - Transmission chiffrée des courriers électroniques -

Moyens de prévention / protection Mesures organisationnelles - Définir les responsabilités - Elaborer les procédures et les contrôler - Sécurité des postes de travail (écran de veille, login, mot de passe). - Restriction des droits utilisateur - Extinction des droits en cas de départ - Compartimenter l accès à l information - Blocage ou reconnaissance des clés USB sur le réseau - Interdiction du peer to peer. - Mise en place d un journal d activité du réseau (enregistrement des logs de connections). - Traçabilité. - Blocage d accès à certains site (blacklister les sites de réseaux sociaux )

Moyens de prévention / protection Actions de formation, éducation, sensibilisation - Informer le personnel du besoin de confidentialité entourant les données. - Le sensibiliser aux vulnérabilités des SI - le responsabiliser en lui faisant prendre connaissance et signer une charte informatique. - Vie privée / vie professionnelle ( les réseaux sociaux changent les frontières!...) Réglementation, veille - Connaitre et influencer l environnement

Moyens de réaction suite à un incident Mesure techniques et organisationnelles Action judiciaire Gestion de crise Plan de reprise / Plan de continuité Communication

Les limites du transfert vers l assurance Quelle part du risque résiduel l assureur est il prêt à supporter? Perte de chiffre d affaire Dépenses supplémentaires pour limiter le sinistre Couts de notification Claims Rançon Fonds perdus

"The modern thief can steal more with a computer than with a gun. Tomorrow's terrorist may be able to do more damage with a keyboard than with a bomb". (US) National Research Council, "Computers at Risk", 1991.

http://www.cybercrime.admin.ch/content/kobik/fr/home.html http://www.clusif.asso.fr/ http://www.clusis.ch/site/ http://www.isss.ch/ http://www.ponemon.org http://www.gartner.com www.weforum.org http://www.zataz.com http://www.ffsa.fr/webffsa/risques.nsf/html/risques_77_0025.htm http://www.cert.org/ Webographie Special thanks to : Luc VIGNANCOUR, Directeur adjoint de FINPRO chez MARSH France et membre actif du CLUSIF

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back