Jeudi 15 octobre Évaluation financière d'un incident de sécurité SRE et SMP, deux mesures possibles d'un même risque Luc Vignancour Luc.vignancour@marsh.com 06 07 52 10 89 www.marsh.fr
SMP & SRE Terminologie qui vient de l assurance Dommage SMP : Sinistre Maximum Possible Correspond aux pertes estimées suite à un accident si rien n est fait pour l éviter ou le combattre Permet d évaluer le montant maximum auquel pourrait être exposée une entreprise (et donc son assureur) Doit prendre en compte les interactions (effet domino) SRE : Sinistre Raisonnablement Escomptable Correspond aux pertes estimées suite un accident lorsque la prévention et la protection sont effectives 1
SMP & SRE Exemple : incendie d un centre informatique SMP Absence de détection, de moyens d extinction automatique ou manuel, de plan de secours (centre de backup,.), Evaluation des coûts/pertes: Valeur de remplacement du centre détruit (bâtiment, contenu, équipements, ) Surcoûts de fonctionnement des ressources informatiques Impact hors du domaine informatique Surcoûts pour la logistique Surcoûts de production Perte de production 2
SMP & SRE Exemple : incendie d un centre informatique SRE Bon fonctionnement des moyens de détection, des moyens d extinction automatiques ou manuels, des plan de secours (centre de backup,.), Evaluation des coûts/pertes: Valeur de remplacement d une partie du centre détruit (contenu, équipements, ) Surcoûts de fonctionnement des ressources informatiques, coût de backup, Impact hors du domaine informatique Normalement plus limités (logistique, production) 3
SMP & SRE Limites de l exercice Démarche réaliste pour des sinistres de type incendie (dommages aux équipements) Dans la mesure ou l analyse ne s arrête pas aux limites du système d informations L évaluation financière doit aller jusqu au niveau de l impact sur les métiers 4
SMP & SRE Devient beaucoup plus problématique pour des atteintes logiques aux données (pertes, modifications, ) Traditionnellement les risques sont exprimés en Disponibilité des données Confidentialité des données Intégrité des données Traçabilité des données (preuve) 5
L entreprise gère ses risques selon un socle commun à l ensemble des modèles Permet d analyser tous les risques sur un modèle unique (standardisé) Permet la détermination des priorités Ce modèle contient une partie évaluation (composante de l appréciation du risque) Objectifs de l organisation Appréciation du risque Compte rendu sur le risque Décision Traitement du risque Compte rendu sur le risque résiduel Suivi 6
Exprimer les conséquences d un sinistre en DCIP n est pas suffisant Il faut passer à l étape d après : La valorisation Les notions SMP & SRE vont être difficilement applicables Pas de méthodes disponibles car trop dépendant des spécificités de chaque entreprise Imaginer des scénarios 7
Disponibilité Un directeur de réseau a été accusé d avoir détruit un réseau informatique L administrateur de réseau pose une bombe logique à retardement chez Omega Engineering, une entreprise du New Jersey et qui leur a coûté plus de $12 millions de dommages. Lorsque l administrateur réseau a vu que petit à petit son statut se dégradait au sein de la compagnie, il a commencé à mettre en place un programme informatique de destruction des données. 3 semaines après son licenciement, le système s est crashé et la totalité des programmes et données a été effacée. Il avait en plus volé les sauvegardes. Le système informatique contrôlait notamment la fabrication des instruments. L entreprise a dépensé $2 millions pour reconstruire son système et a estimé l impact sur son chiffre d affaire à environ $10 millions.. 8
Intégrité En Octobre 2008, Express Scripts, un des plus grands opérateurs de prescriptions pharmaceutiques a révélé en effet que des pirates menaçaient de divulguer des informations médicales et personnelles concernant des millions d'américains si l'entreprise ne payait pas la rançon exigée. Les pirates exigent 10 M$ en échange du mot de passe permettant de déverrouiller le dispositif et donner à nouveau accès aux données. Le pirate affirme en substance : «J'ai en ma possession les dossiers de 8.257.378 patients et un total de 35.548.087 prescriptions. J'ai fait une sauvegarde cryptée et supprimé l'original. Malheureusement pour la Virginie, les sauvegardes vous sembleront avoir disparu, elles aussi. Uhoh : Pour 10 M$, je me ferai un plaisir de vous envoyer le mot de passe.» 9
Confidentialité TJX Cos : Une entreprise de la grande distribution s est fait pirater son système informatique de gestions des paiements. Les pirates ont réussi à prendre une copie de la base de données qui contenait les identités des clients ainsi que les numéros de cartes bancaires correspondants. Ensuite, il y a eu usages frauduleux des numéros de cartes (achats par correspondance, ) qui ont nécessité dans certains cas d annuler des cartes bancaires existantes et de les réémettre. L ensemble des coûts (fraudes, coûts de réémissions,.) a atteint un montant de l ordre de $ 45 M qui a été imputé à la banque de l entreprise de grande distribution. Cette banque s est alors retournée contre son client qui a été condamné à rembourser la banque pour toutes ses pertes. 10
Traçabilité Entreprise internationale mise en cause aux USA doit produire à la partie adverse les documents relatifs à l affaire Environs 600 personnes Mails, copie disques durs, serveurs Identification, traduction Tris Conservation, transport Environ 10 à 15 M uniquement pour le e-discovery 11
En conclusion Il n existe pas de méthode pour évaluer l impact financier d un sinistre informatique logique Il ne faut pas se cantonner à l impact au niveau des systèmes Mais cela est vraiment nécessaire pour permettre une prise en compte correcte des risques informatiques au niveau de la gestion globale des risques de l entreprise 12
www.marsh.fr