Évaluation financière d'un incident de sécurité SRE et SMP, deux mesures possibles d'un même risque



Documents pareils
Stratégie de gestion des cyber-risques dans les entreprises : Quelles (ré)actions?

Fraude interne, malveillance interne Couverture des risques

COURS SUR LA GESTION DES RISQUES ASSURABLES

s é c u r i t é Conférence animée par Christophe Blanchot

Conditions Générale de «Prestations de services»

CONTRAT CLIP ( Contrat de Location Informatique Pure ) John Dow entreprise de location-vente, réparation informatique et graphisme numérique.

GUIDE DE L UTILISATEUR CONDITIONS LÉGALES

GCS EMOSIST-fc. DataCenter. Journée du 30 Novembre Jérôme Gauthier

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

CONDITIONS GENERALES DE SERVICE APRES VENTE (S.A.V.)

Sommaire. AIDAUCLIC BACKUP : Solution de sauvegarde en ligne 3. Quelles problématiques résout la solution? 3. Fonctionnement de la solution 4

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

Connaître les Menaces d Insécurité du Système d Information

Demande d assistance en Protection Juridique Nouvelle déclaration

L'assurance et les vacances

Assurance responsabilité civile Du fait d un chien de catégorie 1 ou d un chien de catégorie 2 ou de tout autre chien

Backup. Solution de sauvegarde en ligne pour les professionnels LE PARTENAIRE SECURITE DE VOTRE ENTREPRISE!

L assurance des moules, gabarits, modèles, archives,

Protecteur des spécialistes de l industrie automobile. qu il vous FAUT!

TRANSPORT ET LOGISTIQUE :

ING Luxembourg - Visa DECLARATION DE SINISTRE (Page 1 sur 14) Numéro de police

Cour d appel de Lyon 8ème chambre. Arrêt du 11 février Euriware/ Haulotte Group

Demande d assistance en Protection Juridique Nouvelle déclaration

Aperçu de la sauvegarde sous Windows 7

PGSSI-S : Politique générale de sécurité des systèmes d information de santé Guide Pratique Plan de Continuité Informatique Principes de base V 0.

PRINCIPES DE BASE DE LA SAUVEGARDE POUR LA PROTECTION DE VOS DONNÉES ET DE VOTRE ACTIVITÉ

l informatique est vitale pour mon activité je protège mon matériel et mon entreprise

Atelier B 06. Les nouveaux risques de la cybercriminalité

FORMULAIRE DE DECLARATION ASSURANCE VOYAGE ET ANNULATION

LAR Police IZEO pour mandataires sociaux

PLAN. Industrialisateur Open Source LANS DE SECOURS INFORMATIQUES PRINCIPES GENERAUX ETAT DE L ART SELON BV ASSOCIATES

27 mars Sécurité ECNi. Présentation de la démarche sécurité

Le guide des assurances Working Holiday

Questionnaire proposition Tous Risques Informatique

AMMA HOSPI-PLAN Déclaration de sinistre

ASSUR ANCE PROTECTION JURIDIQUE PROFESSIONS MEDIC ALES ET P AR AMEDIC ALES

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

PLAN DE REPRISE D ACTIVITE INFORMATIQUE

L analyse de risques avec MEHARI

Conditions générales d'hébergement de site web et de données informatiques

Conditions générales concernant la fourniture de prestations informatiques par HMS Hauri Micro Solutions - Backup et restauration - "Conditions MSP"

Cahier des Clauses Techniques Particulières

Prévention des risques: des experts vous conseillent

Plan de Continuité d'activité Concepts et démarche pour passer du besoin à la mise en oeuvre du PCA

CERTIFICAT D ASSURANCE DES ACHATS ET PROLONGATION DE GARANTIE

Mission de prospection commerciale - Espagne 27 & 28 juin 2012

TIVOLI STORAGE MANAGER. Denis Vandaele

Le risque opérationnel - Journées IARD de l'institut des Actuaires

Progressons vers l internet de demain

CONVENTION DE GESTION ET DE REGLEMENT (CORRESPONDANT)

ID Concept. Informatique et Communications. 21 rue d Esbly Lésigny Tél : Fax : Mail : info@id concept.

SBMNET: conditions de l accord. 1. Définitions

La sécurité informatique

CONDITIONS GÉNÉRALES DE

Nos conditions particulières de vente

DISPOSITIONS EN CAS DE SINISTRE ANNEXE 11bis DISPOSITIONS EN CAS DE SINISTRE «ANNULATION VOYAGE»

Qu est-ce qu un système d Information? 1

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

BUSINESS CONTINUITY MANAGEMENT. Notre plan C pour situations d'urgence et de crise

UV DIRECT MODALITÉS DU COMPTE

Situation actuelle : Sommaire d une recommandation Page 1 de 5

LINUX LIVE SERVER. Allied Data Sys S.A - Luxembourg Vos Solutions Open-Source

AGEA Préparez votre dossier assurance

Assurance combinée ménage

A la suite de ce sinistre, l activité n a pas été interrompue, la SAS ayant pu poursuivre son activité sur un autre site.

Sauvegarde et archivage

Contrat d'hébergement application ERP/CRM - Dolihosting

CONDITIONS GENERALES

ADDENDA AU CONTRAT BLACKBERRY SOLUTION DE LICENCE POUR WATCHDOX CLOUD DE BLACKBERRY («le ADDENDA»)

La dématérialisation au service des entreprises. Ysoria

Conditions générales de vente Drone Experience

AVANT PENDANT APRES LA CRISE

La sécurité des systèmes d information

Concours Gagnez vos achats payés avec votre carte Shoppers Optimum MasterCard RBC de Shoppers Drug Mart

Peut-on faire confiance au CLOUD Computing? Sécurité physique du CLOUD

Conditions Générales de vente de services et noms de domaine

Pour faire vos demandes d assurances ce dossier est composé :

MARCHE A SUIVRE ASSURANCES FFVV 2015 ESPACE WEB FFVV OFFRES COMPLEMENTAIRES «SPECIAL FFVV» Nous contacter.

Bonnes pratiques de l'ocde pour la gestion des sinistres d assurance

Généralités. 1 Introduction

CONDITIONS GENERALES DE VENTE PRODUITS & SERVICES SPGO HIGH TEC

Q U E S T I O N N A I R E

CA ARCserve Backup r12

LIGUE DE FOOTBALL PARIS ILE DE FRANCE RESUME DES GARANTIES CONTRAT N ASSURANCES DES LICENCIES SAISON 2015/2016.

Charte. Hébergement par la Ville de Marche-en-Famenne de sites web.

POLICE COMMERCE ET SERVICES

CONDITIONS GENERALES DE VENTE

Adresse : Code postal : Ville : Tél :... Web : .@... Pays Préfixe Numéro tel direct : +... Adresse :... 3 année

Contrat de fourniture de services applicatifs (ASP)

Pour faire vos demandes d assurances ce dossier est composé :

Conditions Générale. Article 1 - Définitions. Article 2 - Objet. Article 3 - contenu des prestations

SOMMAIRE. 1 Pourquoi sauvegarder? Sur quel support? La procédure idéale... 5 GUIDE DE LA SAUVEGARDE

Sauvegarde collaborative en pair-à-pair

Transcription:

Jeudi 15 octobre Évaluation financière d'un incident de sécurité SRE et SMP, deux mesures possibles d'un même risque Luc Vignancour Luc.vignancour@marsh.com 06 07 52 10 89 www.marsh.fr

SMP & SRE Terminologie qui vient de l assurance Dommage SMP : Sinistre Maximum Possible Correspond aux pertes estimées suite à un accident si rien n est fait pour l éviter ou le combattre Permet d évaluer le montant maximum auquel pourrait être exposée une entreprise (et donc son assureur) Doit prendre en compte les interactions (effet domino) SRE : Sinistre Raisonnablement Escomptable Correspond aux pertes estimées suite un accident lorsque la prévention et la protection sont effectives 1

SMP & SRE Exemple : incendie d un centre informatique SMP Absence de détection, de moyens d extinction automatique ou manuel, de plan de secours (centre de backup,.), Evaluation des coûts/pertes: Valeur de remplacement du centre détruit (bâtiment, contenu, équipements, ) Surcoûts de fonctionnement des ressources informatiques Impact hors du domaine informatique Surcoûts pour la logistique Surcoûts de production Perte de production 2

SMP & SRE Exemple : incendie d un centre informatique SRE Bon fonctionnement des moyens de détection, des moyens d extinction automatiques ou manuels, des plan de secours (centre de backup,.), Evaluation des coûts/pertes: Valeur de remplacement d une partie du centre détruit (contenu, équipements, ) Surcoûts de fonctionnement des ressources informatiques, coût de backup, Impact hors du domaine informatique Normalement plus limités (logistique, production) 3

SMP & SRE Limites de l exercice Démarche réaliste pour des sinistres de type incendie (dommages aux équipements) Dans la mesure ou l analyse ne s arrête pas aux limites du système d informations L évaluation financière doit aller jusqu au niveau de l impact sur les métiers 4

SMP & SRE Devient beaucoup plus problématique pour des atteintes logiques aux données (pertes, modifications, ) Traditionnellement les risques sont exprimés en Disponibilité des données Confidentialité des données Intégrité des données Traçabilité des données (preuve) 5

L entreprise gère ses risques selon un socle commun à l ensemble des modèles Permet d analyser tous les risques sur un modèle unique (standardisé) Permet la détermination des priorités Ce modèle contient une partie évaluation (composante de l appréciation du risque) Objectifs de l organisation Appréciation du risque Compte rendu sur le risque Décision Traitement du risque Compte rendu sur le risque résiduel Suivi 6

Exprimer les conséquences d un sinistre en DCIP n est pas suffisant Il faut passer à l étape d après : La valorisation Les notions SMP & SRE vont être difficilement applicables Pas de méthodes disponibles car trop dépendant des spécificités de chaque entreprise Imaginer des scénarios 7

Disponibilité Un directeur de réseau a été accusé d avoir détruit un réseau informatique L administrateur de réseau pose une bombe logique à retardement chez Omega Engineering, une entreprise du New Jersey et qui leur a coûté plus de $12 millions de dommages. Lorsque l administrateur réseau a vu que petit à petit son statut se dégradait au sein de la compagnie, il a commencé à mettre en place un programme informatique de destruction des données. 3 semaines après son licenciement, le système s est crashé et la totalité des programmes et données a été effacée. Il avait en plus volé les sauvegardes. Le système informatique contrôlait notamment la fabrication des instruments. L entreprise a dépensé $2 millions pour reconstruire son système et a estimé l impact sur son chiffre d affaire à environ $10 millions.. 8

Intégrité En Octobre 2008, Express Scripts, un des plus grands opérateurs de prescriptions pharmaceutiques a révélé en effet que des pirates menaçaient de divulguer des informations médicales et personnelles concernant des millions d'américains si l'entreprise ne payait pas la rançon exigée. Les pirates exigent 10 M$ en échange du mot de passe permettant de déverrouiller le dispositif et donner à nouveau accès aux données. Le pirate affirme en substance : «J'ai en ma possession les dossiers de 8.257.378 patients et un total de 35.548.087 prescriptions. J'ai fait une sauvegarde cryptée et supprimé l'original. Malheureusement pour la Virginie, les sauvegardes vous sembleront avoir disparu, elles aussi. Uhoh : Pour 10 M$, je me ferai un plaisir de vous envoyer le mot de passe.» 9

Confidentialité TJX Cos : Une entreprise de la grande distribution s est fait pirater son système informatique de gestions des paiements. Les pirates ont réussi à prendre une copie de la base de données qui contenait les identités des clients ainsi que les numéros de cartes bancaires correspondants. Ensuite, il y a eu usages frauduleux des numéros de cartes (achats par correspondance, ) qui ont nécessité dans certains cas d annuler des cartes bancaires existantes et de les réémettre. L ensemble des coûts (fraudes, coûts de réémissions,.) a atteint un montant de l ordre de $ 45 M qui a été imputé à la banque de l entreprise de grande distribution. Cette banque s est alors retournée contre son client qui a été condamné à rembourser la banque pour toutes ses pertes. 10

Traçabilité Entreprise internationale mise en cause aux USA doit produire à la partie adverse les documents relatifs à l affaire Environs 600 personnes Mails, copie disques durs, serveurs Identification, traduction Tris Conservation, transport Environ 10 à 15 M uniquement pour le e-discovery 11

En conclusion Il n existe pas de méthode pour évaluer l impact financier d un sinistre informatique logique Il ne faut pas se cantonner à l impact au niveau des systèmes Mais cela est vraiment nécessaire pour permettre une prise en compte correcte des risques informatiques au niveau de la gestion globale des risques de l entreprise 12

www.marsh.fr

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back